當git遇上ssh——CVE-2017-1000117漏洞淺析
Git是一個開源的分布式版本控制系統,主要用于項目管理。
而SSH是一種應用層的安全通信協議,最常用的就是為通信雙方在在不安全網絡上提供安全的遠程登錄。
當他們二者相遇會發生什么有趣的事呢?這里以CVE-2017-1000117漏洞為例,簡要剖析該漏洞的成因及防護方法。
漏洞相關信息:
版本控制軟件爆出遠程命令執行漏洞 涉及Git、SVN、Mercurial、CVS版本控制
簡述:幾個流行的版本控制系統受到可能嚴重的遠程命令執行漏洞的影響。受影響產品的開發人員本周發布了更新補丁來修補安全漏洞。該缺陷影響版本控制軟件, 如 Git (CVE-2017-1000117)、Apache Subversion (CVE-2017-9800)、Mercurial (CVE-2017-1000116) 和 CVS。由于CVS 系統上次更新已經是9年前的事情了, 因此沒有為它分配 CVE 標識符。
背景知識
ssh客戶端登錄時,有一個ProxyCommand選項,該選項的指定鏈接服務器時執行的命令。
- ProxyCommand
- Specifies the command to use to connect to the server. The
- command string extends to the end of the line, and is executed
- with the user’s shell. In the command string, any occurrence
- of ‘%h’ will be substituted by the host name to connect,‘%p’
- by the port, and ‘%r’ by the remote user name.
該選項常用的場景是通過代理服務器與目標機器相連,因此被稱作ProxyCommand,如下圖。
本地的機器(Local)無法直接與目標機器(Target)相連,必須通過一個代理機器(Proxy)才能和目標機器建立連接。此場景多見于企業或有較強訪問控制的需求的地方。
因此在這種情況下,ssh客戶端可以采用ProxyCommand選項,通過下面命令最終和目標機器建立連接。
- ssh -o ProxyCommand=’ssh user@proxy nc %h 22′ user@Target
加上ProxyCommand選項后。ssh客戶端會先用當前用戶的shell執行ProxyCommand中的內容。
例如下面的命令,在Linux桌面環境中執行,就會彈出gedit文本編輯器。
- ssh -oProxyCommand=gedit user@Target
即便最后的user@hostname不合法,也不會影響ProxyCommand中先執行的命令,照樣可以彈出gedit。
好了介紹完了ProxyCommand,可以理解為這個選項如處理不當,是可以進行命令注入的!
CVE-2017-1000117漏洞
CVE-2017-1000117這個漏洞就是沒有正確處理ssh鏈接的請求,導致受害人通過Git版本控制系統,訪問惡意鏈接時,存在安全隱患,一旦黑客攻擊成功,可在受害人機器上執行任意命令。
git clone是Git版本控制系統中常用的將遠程倉庫克隆到本地的命令。當使用git clone訪問下面的惡意ssh鏈接時,會在本地執行命令,彈出gedit。
- git clone ssh://-oProxyCommand=”gedit /tmp/xxx”
下面我們來詳細看一看其中的過程,當git遇上ssh后,最終是如何觸發這個漏洞執行的。
git客戶端在執行上面的命令后,通過一系列的參數解析后,進入git_connect函數,向git的服務端建立連接。
- struct child_process *git_connect(int fd[2], const char *url,
- const char *prog, int flags)
- {
- char *hostandport, *path;
- struct child_process *conn = &no_fork;
- enum protocol protocol;
- struct strbuf cmd = STRBUF_INIT;
- /* Without this we cannot rely on waitpid() to tell
- * what happened to our children.
- */
- signal(SIGCHLD, SIG_DFL);
- protocol = parse_connect_url(url, &hostandport, &path);
- if ((flags & CONNECT_DIAG_URL) && (protocol != PROTO_SSH)) {
- printf(“Diag: url=%s\n”, url ? url : “NULL”);
- printf(“Diag: protocol=%s\n”, prot_name(protocol));
- printf(“Diag: hostandport=%s\n”, hostandport ? hostandport : “NULL”);
- printf(“Diag: path=%s\n”, path ? path : “NULL”);
- conn = NULL;
- } else if (protocol == PROTO_GIT) {
- …..
- } else {
- conn = xmalloc(sizeof(*conn));
- child_process_init(conn);
- strbuf_addstr(&cmd, prog);
- strbuf_addch(&cmd, ‘ ‘);
- sq_quote_buf(&cmd, path);
- /* remove repo-local variables from the environment */
- conn->env = local_repo_env;
- conn->use_shell = 1;
- conn->in = conn->out = -1;
- if (protocol == PROTO_SSH) {
- const char *ssh;
- int putty = 0, tortoiseplink = 0;
- char *ssh_host = hostandport;
- const char *port = NULL;
- transport_check_allowed(“ssh”);
- get_host_and_port(&ssh_host, &port);
- if (!port)
- port = get_port(ssh_host);
- ssh = getenv(“GIT_SSH_COMMAND”);
- if (!ssh) {
- const char *base;
- char *ssh_dup;
- /*
- * GIT_SSH is the no-shell version of
- * GIT_SSH_COMMAND (and must remain so for
- * historical compatibility).
- */
- conn->use_shell = 0;
- ssh = getenv(“GIT_SSH”);
- if (!ssh)
- ssh = “ssh”;
- ssh_dup = xstrdup(ssh);
- base = basename(ssh_dup);
- free(ssh_dup);
- }
- argv_array_push(&conn->args, ssh);
- if (port) {
- /* P is for PuTTY, p is for OpenSSH */
- argv_array_push(&conn->args, putty ? “-P” : “-p”);
- argv_array_push(&conn->args, port);
- }
- argv_array_push(&conn->args, ssh_host);
- } else {
- transport_check_allowed(“file”);
- }
- argv_array_push(&conn->args, cmd.buf);
- if (start_command(conn))
- die(“unable to fork”);
- …..
- }
- }
git_connect函數的第二個參數url,即為傳入的ssh鏈接,在此例中為 “ssh://-oProxyCommand=gedit /tmp/xxx”。
在git_connect函數中通過parse_connect_url函數將待連接的url解析出來,返回url的主機名、相對路徑及url采用的協議。
https://github.com/git/git/blob/master/connect.c#L620
- /*
- * Extract protocol and relevant parts from the specified connection URL.
- * The caller must free() the returned strings.
- */
- static enum protocol parse_connect_url(const char *url_orig, char **ret_host, char **ret_path)
對于正常的ssh鏈接,如 ssh://user@host.xzy/path/to/repo.git/,經parse_connect_url解析后,其返回的ret_host和ret_path的值應該為 user@host.xzy 和 /path/to/repo.git/ 。
但由于沒有對ssh做正確過濾及識別,對于惡意的ssh鏈接,返回的ret_host和ret_path的值則是 -oProxyCommand=gedit 和 /tmp/xxx ,誤將 -oProxyCommand=gedit 作為了主機名ret_host。
在后續處理中,git_connect得到本地ssh的路徑,將上面獲取的ssh host和path填充到struct child_process *conn中,再通過start_command調用本地ssh執行。
在start_command函數中,最終調用exec系列函數執行ssh,由于錯誤的把 -oProxyCommand=gedit 作為遠程待連接的host,最終引發了命令執行。
但像上面ssh://-oProxyCommand=”gedit /tmp/xxx”的鏈接比較暴露,直接在鏈接中就出現命令。比較隱蔽的方法是,在正常倉庫的目錄下建立一個子模塊submodule,而將惡意的ssh鏈接藏在.gitmodule文件中。
修復防護方法
看完上面漏洞發生的成因,其實可以發現這個過程就是git處理ssh這類智能協議的傳輸過程:ssh遠程登錄git服務器后,通過執行git-upload-pack處理下載的數據,這種處理方式較http啞協議傳輸更高效。
但是在這過程中,對一些惡意的ssh鏈接,沒有正確識別,在解析時誤將 -oProxyCommand 這類參數當做了遠程主機名host,從而產生了漏洞。
在新版本中,我們看到增加了對host和path的識別過濾。
對包含疑似命令的host和path及時進行了阻止,阻斷了漏洞的發生。
建議用戶及時排查,更新系統存在漏洞的Git版本,在日常通過Git進行項目管理時,仔細檢查項目中是否存在一些惡意ssh鏈接來預防安全問題。
原文鏈接:http://blog.nsfocus.net/git-ssh-cve-2017-1000117/
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
