圖片來源: 

PortSwigger

每年有無數安全研究人員,分享網站安全領域上的各式攻擊技巧發現,近日2019年10大網站駭客技法(Top 10 Web Hacking Techniques)結果出爐,公布相關創新與重要攻擊技巧,是各大型資訊安全會議之外,每年網站安全研究人員關注的重要參考知識庫,當中藉由社群力量提名,再產生每年最值得關注的創新研究,方便日後安全研究人員閱覽,並可以從中獲得啟發。

這項活動,今年持續由網站安全公司PortSwigger舉辦,特別的是,臺灣資安研究人員再以兩項研究入選。

年度網站攻擊技法研究揭露,臺灣資安研究人員發表內容獲年度第四與第八

在這次評選過程中,共有51項研究獲提名,在1月13日透過網站安全社群投票,產生前15名入圍名單,接著,再於27日由4人組成的專家小組,經確認、投票與評定,選出前10名。

在2月中旬,PortSwigger在網站公布結果。第一名是由Sajjad Arshad等專家所發表,內容是:Cached and Confused: Web Cache Deception in the Wild。簡單來說,這是基於Omer Gil在2017年的研究而起,新提出了5種利用Web Cache Deception的方式,當中並有相當嚴謹度與研究統計,包括了Alexa Top 5000的網站。

值得我們關注的是,臺灣資安研究人員連續三年入榜,繼前兩年的提名都獲得年度第1名之後,今年再以兩項研究提名,獲選年度第4與第8。

挖掘Jenkins漏洞從Meta Programming下手,打破不執行就沒有漏洞的迷思

其中年度排名第4的研究內容,是由身為臺灣資安公司戴夫寇爾(DEVCORE)資安研究員的Orange Tsai(蔡政達)所發表,內容是:「Abusing Meta Programming for Unauthenticated RCE」,揭露開源Jenkins持續整合工具的RCE漏洞。

關於這項漏洞,身為PortSwigger首席研究員,也是這項活動幕後推手的James Kettle發表評論,他說,這項研究使用了Meta Programming來建立後門,是可以持續研究的一個案例。

為何這項研究能夠擠身榜內前5名?蔡政達指出,他認為有兩大原因:一是Jenkins非常流行,現在使用Jenkins的開發人員很多,同時也有很多人在協助Jenkins的程式碼安全審核,因此近年較少看到嚴重的漏洞;另一是因為漏洞情境較為深入,使得以往關於Meta Programming的漏洞並不多。

他進一步解釋,過去Jenkins的漏洞攻防,聚焦於序列化及反序列化,隨著2017年Jenkins重新改寫序列化機制,此後就沒有RCE漏洞出現,而他這次的發現是近來的首例。

而且,這個漏洞不僅使用新的攻擊面──Meta Programming,同時這還打破了普遍認為「沒有執行就不會有漏洞產生」的迷思。

具體而言,Jenkins團隊為了檢查使用者傳入的Pipeline是否有錯誤語法,因此使用了Groovy進行編譯,一旦語法有錯誤發生,編譯就會失敗,當開發者認為僅僅只是「編譯」不去「執行」,就不會有任何危險,這就是問題所在,而Meta-Programming就是在編譯時期是能被利用的技術。

蔡政達強調,資訊安全不是單一學科的技術,而是各種資訊領域跨學科的結合,而他提出的這項研究,其實也展示了如何將電腦科學與程式語言的知識,應用到漏洞挖掘上。

發現SSL VPN漏洞,對企業安全具有極大影響層面

另一項年度排名第8的研究成果,是由蔡政達與他同公司的Meh Chang(張亭儀)所共同揭露,這項在2019年8月於美國Black Hat與DEFCON大會發表的內容:「Infiltrating Corporate Intranet Like NSA: Pre-Auth RCE On Leading SSL VPNs」,當中介紹了大型企業所在用的SSL VPN,可以如何被駭客攻擊,由於影響層面廣又深,因此獲得極大關注,當時並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎,獲得有如電影界奧斯卡金像獎的殊榮。

為何這項研究能再次獲肯定,入選2019年度的十大駭客技法?根據James Kettle的說法,儘管當中大部分使用的是較經典的技術,但是研究人員使用了一些創造性的技巧。而且,這項研究還促進了安全審核SSL VPN的浪潮,像是近期有其他資安人員揭露一系列的SonicWall VPN漏洞。

關於這項研究的創新之處,蔡政達表示,過去SSL VPN業者為了產品本身的安全,已經加上許多保護及加固,因此,即使產品出現一些漏洞,但攻擊者就也無法進一步利用,而這次他們在研究其弱點時,為了繞過既有的保護及加固,就使用到一些特殊的技巧。他解釋,例如,在Pulse Secure SSL VPN的研究中,他利用了命令解析器的解析錯誤,再配合模板引擎的特性,將錯誤訊息(STDERR)變成後門。

這樣的發現給出不少研究人員一條新的思路。在他發表此漏洞之後,有不只一位國外研究者與他交流,表示他們過去也有發現這個瑕疵,只是一直沒有想出利用的方法。

而在Fortigate SSL VPN的研究中,張亭儀是利用jemalloc及應用程式架構特性,進而偽造SSL結構,透過精妙的操作記憶體達到遠端執行漏洞(RCE),也被認為是相當精采的過程。

新研究雖未能持續奪冠,但為企業安全找出更大隱憂

另一個我們關切的話題是,蔡政達在前兩年的這項活動都獲得年度第一,已經備受全球專家肯定,這次很可惜沒能三連霸。對此,他並不感到意外,他表示,今年的研究主要著重在影響層面,因此在講求創新攻擊手法的這項活動上,已經可以預料不會獲選第一。

確實,若是單論影響力的話,從上述的SSL VPN研究結果來看,已是年度最有影響力的研究之一,不僅發現企業所信任並用來提供保護的資安設備的弱點,並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎,而在他們通報產品業者修補並對外揭露後,至今仍有許多駭客組織試圖利用這樣的漏洞,而這樣的狀況,也就能看出其影響性。前面提及的Jenkins的漏洞也是如此,揭露至今,也被很多殭屍網路利用來安裝挖礦程式。

再從另一角度來看,每年獲提名的創新研究項目,約在50多個內,入選已是不易,還要能獲得社群投票與專家小組評選,才能入選前10名。事實上,與前兩年入選10大的研究者相比,我們發現,也只有Orange能夠持續名列榜上。此外,雖然不像前兩年的提名,臺灣資安研究人員能在創新性上獲得最高認可,但今年研究成果的影響性更顯著。

最後,對於臺灣資安研究人員而言,如果要像蔡政達一樣獲得全球研究人員肯定,有什麼祕訣呢?他認為,自己必須要有興趣與熱情,能夠24小時投入,就是最重要就是一點。

此外,對於國內後起之秀的培育,他本身也有參與,例如,在2017年「教育部資訊安全人才培育計畫」中,蔡政達擔任「臺灣好厲駭」的導師,帶領國內有潛力的學生,現在一些學生也已取得不錯的成績,參與國內外的漏洞獎勵計畫,並挖掘CVE漏洞。

2019年度十大網站攻擊技術手法


Top 10 Web Hacking Techniques of 2019 (點擊連結前往提名項目)
1. Cached and Confused: Web Cache Deception in the Wild  -  Sajjad Arshad、Kaan Onarlioglu、Seyed Ali Mirheidari、Bruno Crispo、Engin Kirda、William Robertson
2. Cross-Site Leaks - Eduardo Vela
3. Owning The Clout Through Server Side Request Forgery - Ben Sadeghipour、Cody Brocious 
4. Abusing Meta Programming for Unauthenticated RCE - Orange Tsai
5. Google Search XSS - Masato Kinugawa
6. All is XSS that comes to the .NET - Paweł Hałdrzyński
7. Exploring CI Services as a Bug Bounty Hunter - EdOverflow
8. Infiltrating Corporate Intranet Like NSA: Pre-Auth RCE On Leading SSL VPNs Orange Tsai、Meh Chang
9. Microsoft Edge (Chromium) - EoP to Potential RCE Abdulrhman Alqabandi
10. Exploiting Null Byte Buffer Overflow for a $40,000 bounty Sam Curry與其友人

資料來源:PortSwigger,iThome整理,2020年3月

 

2019年度10大駭客技法活動的第4名,是關於Jenkins未經身份驗證RCE漏洞,由Orange在去年2月於自己的部落格與戴夫寇爾官方網站上揭露,當中描述了利用Meta Programming來產生新攻擊面的過程。這項研究是在2018年5月開始與Jenkins安全團隊聯繫,經通報、CVE取得與修補發布。(中文版)

2019年10大駭客技法的第8名,是關於SSL VPN產品漏洞,以及入侵與利用手法,是臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang,在去年8月舉行的黑帽大會與DEFCON大會上所共同揭露。這項研究在2019年4、5月間已通報Pulse Secure、Fortinet等產品業者,對方已經完成修補,同時他們還參與漏洞懸賞計畫,利用此一漏洞成功駭入Twitter公司,獲得獎勵,以呼籲各企業應儘速修補。(圖片來源:DEFCON)


Advertisement

更多 iThome相關內容