如何進行郵件網關身份驗證繞過漏洞CVE-2018-12242分析

本篇文章給大家分享的是有關如何進行郵件網關身份驗證繞過漏洞CVE-2018-12242分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

前言

在一些信息安全評估工作中，有時很難清楚地了解目標網絡的外圍情況，作為不得已的手段，我們可能會對目標網絡相關曝露在網的應用服務進行安全測試，這種情形下往往會有所突破，就像我在這里要分享的賽門鐵克（Symantec）郵件網關授權繞過漏洞（CVE-2018-12242）一樣。

發現漏洞

賽門鐵克郵件網關（Symantec Messaging Gateway）和大多應用登錄界面一樣，也存在密碼重置功能，當登錄嘗試失敗后，會出現“忘記密碼”按鈕鏈接，之后，用戶名會被提示輸入。這里，賽門鐵克郵件網關在創建的密碼重置鏈接中，包含了一個加密令牌（token），保證密碼重置須是相應用戶，以此來驗證密碼重置的用戶合法身份。

肯定的是，這個令牌是加密的，那么我們如何獲得密鑰呢？好在之前有一個關于賽門鐵克郵件網關中類似bug的披露，安全研究者Philip Pettersson發現了賽門鐵克郵件網關的一個認證繞過漏洞，這其中涉及了用類似方式進行加密的參數，他還分析到了一個硬編碼密鑰，他是這樣描述的：

非常好，加密使用的竟然是PBEWithMD5AndDES 算法生成的一個靜態密碼，且簡單地儲存在其源代碼中，但我不會在此透露該加密密碼或完整的加密通知字符串。

漏洞測試

回到我們的測試中來。實際上，在賽門鐵克郵件網關的安裝過程中，這個密碼key都是靜態的，在此我們也不會公布這個密碼信息。在這種加密機制下，如果攻擊者發起加密令牌（token）中形如“admin:”的加密，并把它傳遞給下述GET參數 “authorization”， 那么，他就會收到一個有效的管理員會話。以下為相應的GET請求示例：

GET /brightmail/action2.do?method=passwordReset&authorization=<..>%3d HTTP/1.1Host: 192.168.17.15Connection: closeCache-Control: max-age=0Origin: https://192.168.17.15User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.62 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: en-US,en;q=0.9

賽門鐵克網關的響應如下：

HTTP/1.1 302 FoundServer: Apache-Coyote/1.1Cache-Control: no-store,no-cachePragma: no-cacheExpires: Thu, 01 Jan 1970 00:00:00 GMTX-Frame-Options: SAMEORIGINSet-Cookie: JSESSIONID=97B8786DB8CC163EB2A4C595D1028E1D; Path=/brightmail; Secure; HttpOnlyLocation: /brightmail/viewWelcome.do?userID=1Content-Type: text/html;charset=UTF-8Content-Length: 0Connection: close

在Brup中的請求和響應如下所示：

當然，其中生成的Cookie消息就是一個有效的管理員會話：

總結

這個漏洞利用的前提是，需要賽門鐵克郵件網關開啟了密碼重置功能。

漏洞危害程度為：高

利用場景：遠程

CVSS得分：7.1

影響版本：賽門鐵克郵件網關10.6.6之前的所有版本

2018.7.11   上報漏洞

2018.7.11    分類漏洞

2018.9.12   修復漏洞，發布安全公告和補丁

以上就是如何進行郵件網關身份驗證繞過漏洞CVE-2018-12242分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。