FireEye系统上如何获得root权限

FireEye AX 5400是国外安全公司FireEye的一套恶意软件分析系统，日前安全公司Silent Signal通过分析FireEye AX 5400，发现可以通过特殊操作获得FireEye AX 5400系统的ROOT权限，以下为翻译原文：

几个月以前我们得到一个试用FireEye AX 5400恶意软件分析系统的机会。火眼的系统在捕获传统安全设备无能为力的APT攻击领域非常有名。所以我们也很兴奋的想仔细研究研究一下这套系统。

受限shell的逃逸

FireEye AX 5400 提供了HTTPS和SSH两种管理方式。SSH登陆之后获得的是一个受限制的shell，跟大多数的网络设备一样。管理员可以通过这个shell来配置设备，但是屏蔽了跟操作系统底层相关的各种操作。因为这个受限shell也是通过一个普通的SSH Server提供服务的。所以也可以使用SCP命令。经过测试发现SCP命令也是受限的。只能读写家目录的文档，而且不能创建目录。我们尝试的第一个方式是想上传一个SSH的公钥，然后就可以不使用密码来连接SSH。因为SCP不能创建目录，所以采用初始化一个到远程系统的SSH连接的方式来创建$HOME/.ssh目录。(初始化ssh连接的时候会创建该目录用于存放known_hosts文件)。但是通过这种方式登陆之后发现默认获得的依然是受限制的shell。

最后，我们通过ssh的ProxyCommand配置选项实现了获得完整shell，执行任意命。$HOME/.ssh/config文件提供了对SSH客户端的一些配置选项。而ProxyCommand这个配置项可以配置初始化一个SSH连接时执行的命令。我们创建了一个新的config文件。配置ProxyCommand选项为执行一个添加UID为0用户的命令。通过SCP命令上传到服务器上。主要内容如下图所示：

使用内置的"slogin"命令就可以触发配置文件里的命令执行。

之后使用新添加的s2crew用户登陆，就获得了一个没有限制的shell。

测试成功这个问题之后，我们很快联系厂商，上报了这个漏洞。官方已经发布了针对FEOS的补丁。攻击者要想利用这个漏洞首先得有一个管理员账号，所以造成的影响不会很大。但是却给了我们一个深入研究火眼系统内部工作机制的机会，也激励着我们继续研究火眼平台。