网络课程软件包Moodle中的代码注入问题
摘要: Moodle是一个网络课程软件包,攻击者会获得“教师”的权限,通过恶意代码为他参加的课程评定A。Moodle开发团队已经开发出相应补丁,分别是把包含漏洞的公式加入黑名单;删除嵌套占位符;黑名单和线性替换。
概要
在这篇文章中,说明了Moodle中的一个关键漏洞。Moodle通常集成到更大的系统中,将WebMailer,电子学习平台和其他技术加入到单一体系结构中,共享帐户凭据跨越一个巨大的攻击面,以供未经身份验证的攻击者进行网络钓鱼或提取教师帐户的凭据。在某些情况下,存在一个用于请求Moodle课程的自动服务,该服务将利用学生的权利进入他可以执行他选择的恶意软件的位置,并在他参加的大学课程中为自己评定长期A。
Moodle是一种广泛使用的开源电子学习软件,拥有超过1.27亿用户,允许教师和学生以数字方式管理课程活动和交换学习材料,这些材料通常由大型大学部署。但检测到的先前Moodle版本中的关键漏洞的技术内在性。它位于Moodle的Quiz组件中,可以通过教师角色成功利用,以执行远程代码执行。如果您正在运行Moodle <3.5.0,就强烈建议您立即将实例更新到最新版本。
影响 - 谁可以利用什么?
必须在使用默认配置运行的最新Moodle(早于3.5.0)的过程中为攻击者分配教师角色。通过另一个漏洞(例如XSS)升级到此角色也是可能的。鉴于这些要求和漏洞的知识,攻击者将能够在运行Moodle的服务器的底层操作系统上执行任意命令。通过使用由Moodle评估的特制数学公式 ——攻击者绕过内部安全机制,阻止恶意命令的执行。
测验组件中的数学公式
Moodle允许教师设置包含多种类型问题的测验。其中包括计算出的问题,允许教师输入一个数学公式,由Moodle动态评估随机输入变量。这可以防止学生作弊并简单地分享他们的结果。例如,教师可以输入{x}添加到{y}的内容?答案公式为{x} + {y}。然后,Moodle将生成两个随机数,并在问答文本(例如3.9 + 2.1)中为占位符{x}和{y}插入它们。最后,它将通过调用安全敏感的PHP函数来评估答案。6.0eval()公式输入因其恶意潜力而众所周知,因为它允许执行任意PHP代码。
为了强制使用无害的PHP代码,Moodle的开发人员引入了一个验证函数qtype_calculated_find_formula_errors(),该函数在危险调用之前被eval()调用,目的是检测教师提供的公式中的非法和恶意代码。
开发旁路
正如你在上面的源代码中所看到的,最后一次preg_match()调用,是在1939,非常严格,并且将禁止除-+/*%>:^\~
验证器拒绝第一个恶意公式qtype_calculated_find_formula_errors()。如果将它作为占位符并将其嵌入大括号中,如第二个有效负载所示,验证器将不会检测到我们的攻击,但Moodle将1.2在它到达之前用随机数替换我们的占位符eval()。但是,如果我们引入另一个占位符并将其嵌入到我们已有的占位符中,Moodle将只替换内部占位符,并且将在表eval()的第三行中看到一个危险的剩余占位符。此时,由于输入的原因,我们的有效负载将抛出PHP语法错误eval()是无效的PHP代码。因此,我们只需要纠正PHP语法,方法是使用PHP注释从PHP解析器中排除无效部分,从而得到第4行的最终有效公式,最终允许通过GET参数0执行代码。
适应不足的补丁
Moodle了解问题后,他们立即做出了一个快速解决问题的补丁。但是,再重新扫描应用程序后,仍然被检测到相同的漏洞,指向绕过刚刚引入的漏洞补丁。在更精确地检查相关的源代码结果之后,能够绕过补丁并实现与以前相同的影响。对于前三个提议的补丁,这是可能的,我们将在下一个小节中解释每个旁路。
第一个补丁:黑名单
Moodle开发人员提出的第一个补丁是基于拒绝包含漏洞有效负载中使用的PHP注释的公式的想法。正如你在代码中看到的那样,补丁前置了一个foreach循环,用于检查公式是否包含特定字符串。
这个补丁使我们当前的有效载荷不能作为验证功能qtype_calculated_find_formula_errors()检测其发起的PHP注释字符串//,/*,#在我们使用的电流攻击的有效载荷。此修补程序实现了黑名单方法,并基于以下假设:没有攻击者能够将上表中第3行的第3列的无效PHP语法更正为有效的PHP语法而不使用注释。但是,补丁程序不足并允许利用此有效负载的更复杂版本。
第二个补丁:拒绝嵌套占位符
第二个补丁的想法是通过在检测占位符时删除“递归”来防止在我们的有效负载中使用的嵌套占位符。但同样,再重新扫描应用程序仍然报告了相同的漏洞,这使我们更精确地查看以下新代码行。
每当我们输入一个嵌套占位符时,{a{b}}该方法qtype_calculated_find_formula_errors()现在只替换{b}占位符,并且剩余的公式{a1}被检测为非法。但是,如果我们将公式改为{b}{a1}{a{b}}两个占位符{b},{a1}并由函数检测并返回find_dataset_names()。一个接一个地,每个占位符都在foreach循环中替换,从我们开始{b}并离开我们的公式1{a1}{a1}。最后,在替换{a1}公式等于111并且验证器批准嵌套占位符,从而打破了此修补程序的意图。考虑到这个技巧,我们只需要适当调整我们的最后一个有效负载,以获得与以前相同的关键效果:
第三个补丁:黑名单和线性替换
第三个补丁结合了前两种方法,看起来非常适合防止嵌套占位符。但是,如果攻击者瞄准了Quiz组件的导入功能并重新导入了恶意破坏的XML问题文件,则攻击者能够控制(参见此处)的$dataset参数并使占位符替换无效。substitute_variables()
突出显示的行显示XML文件{x}在1951行上定义占位符的名称。此占位符从不在1946行中的公式中使用。这将使我们的危险占位符的替换无效,{system($_GET[0])}并导致我们在之前的补丁中遇到的相同代码注入漏洞。
在此首先要感谢Moodle团队在修补问题时的快速响应,并建议用户更新到最新的Moodle版本。
(作者:曲速未来安全区,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?