JBoss Application Server におけるディレクトリトラバーサルの脆弱性

Size: px

Start display at page:

Download "JBoss Application Server におけるディレクトリトラバーサルの脆弱性"

なぎささわい
5 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 Japan Computer Emergency Response Team Coordination Center DN c=jp, st=tokyo, l=chiyoda-ku, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 '00' Javaアプリケーション脆弱性事例調査資料についてこの資料は Javaプログラマである皆様に脆弱性を身近な問題として感じてもらいセキュアコーディングの重要性を認識していただくことを目指して作成しています Javaセキュアコーディングスタンダード CERT/Oracle版と合わせてセキュアコーディングに関する理解を深めるためにご利用ください JPCERTコーディネーションセンターセキュアコーディングプロジェクト 1

2 JBoss Application Server におけるディレクトリトラバーサルの脆弱性 CVE JVNDB

3 JBoss とは JavaEE のアプリケーションサーバ JBoss の名のもとに 40 以上のさまざまなプロジェクトが存在し JBoss.org コミュニティによって開発運営されている Web サーバ Web アプリケーション 3

4 JBoss Application Server とは Java で記述されたサーバサイドアプリケーションを動作させるための基盤を提供する JBoss の様々なソフト群の中核になるソフトであることからこのソフトを指して単に JBoss と呼ぶ場合もある 4

0 Administration And Development Guide から引用

5 JBoss Application Server とは JBoss プロジェクトポートフォリオ JBoss Application Server 内に JBoss と名の付く複数のコンポーネントが存在している JBoss Application Server Administration And Development Guide から引用 http//docs.jboss.org/jbossas/docs/server_configu ration_guide/beta500/html-single/index.html 5

6 脆弱性の概要 JBoss Application Server には JMX コンソールという管理機能が存在する JMX コンソールは外部からサーバのシャットダウンやファイルのアップロードなどの管理機能を提供しているその中のファイル操作機能においてディレクトリトラバーサルの脆弱性が存在する 6

7 ディレクトリトラバーサルとはパスの値を不正に操作されることで想定外のファイルやディレクトリに対して操作が行われてしまう攻撃ファイル操作 ( 読み出し / 変更 / 削除等 ) におけるパスの値を外部から受け取った入力を元に動的に生成するアプリケーションで発生する 2 ファイル操作 1 http// 3 機密情報の漏えい 7

8 脆弱性が悪用された場合のリスク機密情報の漏えいアプリケーションが動作するサーバ上のファイルの内容が読み出され機密情報が漏えいする可能性がありますシステムやデータの破壊改ざんアプリケーションが動作するサーバ上のファイルが改ざん削除されアプリケーションの誤動作停止などサービス提供に影響が及ぶ可能性があります 8

9 JMX コンソールとは JMX コンソールはサーバの実行状況モニタリングや設定の変更などを行う機能 JMX コンソールのファイル操作機能では以下の操作が可能ファイル作成ファイル削除ファイル存在確認本来はアプリケーションのプログラムが配置されているパス配下のファイルに対してのみ上記の操作が可能である 9

10 JMX コンソールの悪用 JMX コンソールから不正なリクエストを送信するだけで脆弱性が悪用できアプリケーションが稼働するサーバ内の任意のファイル作成削除存在確認を行うことが可能となる JBoss Application Server のフォルダ構成 jboss server 本来ファイル操作が可能な範囲 default deploy Manage ment 脆弱性を悪用することでサーバ内の任意のパスのファイル操作が可能となる!! 10

11 JMX コンソールの悪用 JMX コンソールを通じてファイル作成 / 削除 / 存在確認機能を悪用することでこんなことが可能!! ファイル作成機能 / ファイル削除機能設定ファイルの削除 / 作成による上書きセキュリティ設定の変更ユーザーの追加等不正なバイナリの配置ウイルスやバックドアの配置等サーバ上で稼働するサービスへの攻撃 Web コンテンツの改ざん等ファイル存在確認機能ディレクトリ構造を調べることで OS バージョンの特定等 11

12 JMX コンソールにおけるファイル作成 JMX コンソールを利用したファイル作成時の処理フローは以下のようになる 1 クライアントからリクエストが送信される 2 アプリケーション (Jboss Application Server) がリクエストを受信しフォルダ名ファイル名拡張子ファイルデータの情報を取り出す 3 DeploymentFileRepository クラスの store メソッドでファイルを作成する 4 結果を含むレスポンスがクライアントへ送信される 12

13 1 クライアントからリクエストが送信されるファイル./testfolder/testfile.txt 作成リクエストがどのように処理されるか見てみよう JMX コンソール 13

14 1 クライアントからリクエストが送信される HTTP リクエスト POST /jmx-console/htmladaptor HTTP/1.1 Host localhost8080 action=invokeop&name=jboss.admin%3aservice%3ddeploymentfilerepository& methodindex=5&arg0=testfolder&arg1=testfile&arg2=.txt&arg3=testcontent&ar g4=true 上記 HTTP リクエストを送信するための HTML <form action= /jmx-console/htmladaptor method= POST > <input type= hidden name= arg0 value= testfolder > <input type= hidden name= arg1 value= testfile > <input type= hidden name= arg2 value=.txt > <input type= hidden name= arg3 value= testcontent > </form> arg0 作成するファイルの上位フォルダ名 arg1 ファイル名 arg2 ファイル拡張子 arg3 ファイルの内容 14

2 アプリケーションがリクエストを受信しコピー処理を開始ファイル作成は DeploymentFileRepository クラスの store メソッドで行われる HTTP リクエスト POST /jmx-console/htmladaptor HTTP/1.1 Host localhost8080 &arg0=testfolder&arg1=testfile&arg2=.

15 2 アプリケーションがリクエストを受信しコピー処理を開始ファイル作成は DeploymentFileRepository クラスの store メソッドで行われる HTTP リクエスト POST /jmx-console/htmladaptor HTTP/1.1 Host localhost8080 &arg0=testfolder&arg1=testfile&arg2=.txt&a rg3=testcontent&arg4=true 経由するメソッド HtmlAdaptorServlet.doPost() HtmlAdaptorServlet.processRequest() HtmlAdaptorServlet.invokeOp() Server.invokeOp() Server.invokeOpByName() MBeanServerImpl.invoke() XMBean(AbstractMBeanInvoker).invoke() Invocation.invoke() Invocation.dispatch() ReflectedDispatcher.invoke() Method.invoke() DelegatingMethodAccessorImpl.invoke() NativeMethodAccessorImpl.invoke() NativeMethodAccessorImpl.invoke0() DeploymentFileRepository.store() DeploymentFileRepository.java public class DeploymentFileRepository public void store( 15

16 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository extends ServiceMBeanSupport implements DeploymentFileRepositoryMBean public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException arg0 testfolder arg1 testfile arg2.txt arg3 testcontent store メソッドの第 1 引数 (folder) にリクエストの arg0 第 2 引数 (name) に arg1 第 3 引数 (fileextension) には arg2 第 4 引数 (data) には arg3 の値が渡される 16

17 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository testfolder public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists()) if (!dir.mkdirs()) throw new RuntimeException("Failed to create directory " + dir.tostring()); } } 17

18 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException testfolder log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists())./deploy/management/testfolder }./deploy/management if (!dir.mkdirs()) 引数 folderを使用してfileオブジェクトを作成する baseはjmxコンソール上で設定されたコンテンツ保存 throw new RuntimeException("Failed のディレクトリパスの to create Filedirectory オブジェクトでありデ " + フォルトでは dir.tostring());./deploy/management となる } そのためここで作成されるFileオブジェクトのパスは./deploy/management/testfolder となる 18

19 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException./deploy/management/testfolder log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists()) } if (!dir.mkdirs()) }./deploy/management/testfolder が作成される throw new RuntimeException("Failed to create directory " + dir.tostring()); 19

20 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository testfile.txt public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException 第 2 引数と第 3 引数を使ってfilenameを作成するここでは testfile.txt となる if (!dir.mkdirs()) String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close(); 20

21 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException./deploy/management/testfolder/testfile.txt if (!dir.mkdirs())./deploy/management/testfolder testfile.txt String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close(); File オブジェクト./deploy/management/testfolder /testfile.txt を作成 21

22 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException./deploy/management/testfolder /testfile.txt.tmp./deploy/management/testfolder if (!dir.mkdirs()) testfile.txt String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close(); 一時ファイル用の File オブジェクト./deploy/management/testfolder /testfile.txt.tmp を作成する 22

23 3DeploymentFileRepository クラスの store メソッドでファイルを作成 DeploymentFileRepository.java public class DeploymentFileRepository testcontent public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException 一時ファイル if (!dir.mkdirs())./deploy/management/testfolder /testfile.txt.tmp に第 4 引数 dataの値を書きこむ String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close();./deploy/management/testfolder /testfile.txt.tmp 23

24 3DeploymentFileRepository クラスの store メソッドでファイルを作成 24 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close(); if (file.exists() && nohotdeploy) file.delete(); } if (!tmpfile.renameto(file)) File オブジェクト./deploy/management/testfolder /testfile.txt./deploy/management/testfolder /testfile.txt が既に存在していたら削除する

25 3DeploymentFileRepository クラスの store メソッドでファイルを作成 25 DeploymentFileRepository.java public class DeploymentFileRepository Fileオブジェクト./deploy/management/testfolder public void store(string folder, /testfile.txt String name, String fileextension, String data, boolean nohotdeploy) throws IOException Fileオブジェクト./deploy/management/testfolder/testfile.txt.tmp File file = new File(dir, filename); File tmpfile = new File(dir, filename + ".tmp"); PrintWriter writer = new PrintWriter(new FileOutputStream(tmpfile)); writer.write(data); writer.close(); if (file.exists() && nohotdeploy) file.delete(); } if (!tmpfile.renameto(file)) 一時ファイル./deploy/management/testfolder /testfile.txt.tmp を./deploy/management/testfolder /testfile.txt に変更して処理が完了

26 4 結果を含むレスポンスがクライアントへ送信されるファイル作成処理が終了し結果をレスポンスとしてクライアントへ送信する Success!! 26

27 攻撃コード HTTP リクエスト POST /jmx-console/htmladaptor HTTP/1.1 Host localhost8080 action=invokeop&name=jboss.admin%3aservice%3ddeploymentfilerepository&methodind ex=5&arg0= testfolder&arg1=testfile&arg2=.txt&arg3=testcontent&arg4=true arg0 作成するファイルの上位フォルダ名 arg1 ファイル名 arg2 ファイル拡張子 arg3 ファイルの内容攻撃コードのポイントパラメータ arg0 の値として上位ディレクトリを示す値を含んだ testfolder が指定されている 27

28 攻撃コード攻撃コードの HTTP リクエストを送信するための HTML <form action= /jmx-console/htmladaptor method= POST > <input type= hidden name= arg0 value= testfolder > <input type= hidden name= arg1 value= testfile > <input type= hidden name= arg2 value=.txt > <input type= hidden name= arg3 value= testcontent > </form> arg0 作成するファイルの上位フォルダ名 arg1 ファイル名 arg2 ファイル拡張子 arg3 ファイルの内容 28

29 攻撃コードが実行された際の処理 JMX コンソールでのファイル作成時の処理フロー 1 クライアントからリクエストが送信される 2 アプリケーション (Jboss Application Server) がリクエストを受信しフォルダ名ファイル名拡張子ファイルデータの情報を取り出す 3 DeploymentFileRepository クラスの store メソッドでファイルを作成する 4 結果を含むレスポンスがクライアントへ送信される攻撃コードが実行された際に 3 の処理でディレクトリトラバーサル攻撃が成立する 29

30 攻撃コード実行時 3DeploymentFileRepository クラスの store メソッドでファイル作成 DeploymentFileRepository.java public class DeploymentFileRepository extends ServiceMBeanSupport implements DeploymentFileRepositoryMBean public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException arg testfolder arg2.txt arg3 testcontent arg1 testfile store メソッドの第 1 引数 (folder) にリクエストの arg0 第 2 引数 (name) に arg1 第 3 引数 (fileextension) には arg2 第 4 引数 (data) には arg3 の値が渡される 30

31 攻撃コード実行時 3DeploymentFileRepository クラスの store メソッドでファイル作成 DeploymentFileRepository.java testfolder public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists()) if (!dir.mkdirs()) throw new RuntimeException("Failed to create directory " + dir.tostring()); } } 31

32 攻撃コード実行時 3DeploymentFileRepository クラスの store メソッドでファイル作成 DeploymentFileRepository.java testfolder public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists())./deploy/management if (!dir.mkdirs()) 引数 folderを使用して作成したfileオブジェクトは./deploy/management/../../../../testfolder throw new RuntimeException("Failed となる to create directory " + これはフォルダ dir.tostring()); deployの2 階層上に位置する } testfolder フォルダを意味する } 32

33 攻撃コード実行時 3DeploymentFileRepository クラスの store メソッドでファイル作成 DeploymentFileRepository.java public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); log.debug("absolute " + dir.getabsolutepath()); if (!dir.exists()) if (!dir.mkdirs()) } }./deploy/management/../../../../testfolder という File オブジェクト./deploy/management/../../../../testfolder が作成されてしまう throw new RuntimeException("Failed to create directory " + dir.tostring()); 33

34 攻撃コード実行時 3DeploymentFileRepository クラスの store メソッドでファイル作成その後は正常処理と同様の処理が実行され下記の場所にファイルが作成されてしまう本来は./deploy/management 配下にフォルダファイルが作成されるはずが攻撃コードでパスを操作することで任意のパスにファイルを作成することが可能となる JBoss Application Server のフォルダ構成 jboss server default 本来フォルダやファイルが作成されるパス (./deploy/management 配下 ) deploy testfolder Manage ment 攻撃コードによってファイルが作成されるパス (./deploy/management/../../../../testfolder) testfolder 34

35 JMX コンソールにはファイル作成以外にも次の 3 つの機能に同様の脆弱性が存在する 1. ファイル削除 (remove メソッド ) public void remove(string folder, String name, String fileextension) File dir = new File(base, folder); String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); file.delete(); } 2. ファイル存在確認 (isstoredメソッド) public boolean isstored(string folder, String name, String fileextension) File dir = new File(base, folder); String filename = name.replace(' ', '_') + fileextension; File file = new File(dir, filename); return file.exists(); } 35

36 3. ファイル保存パス設定 (setbasedir メソッド ) public void setbasedir(string basedir) this.basedir = basedir; this.base = new File(serverHome, basedir); } 36

37 問題点今回のアプリケーションにおける具体的な問題点引数として渡されたパスの値を検証せずに処理を行っていた以下のコーディングガイドに違反している MET00-J. メソッドの引数を検証する IDS02-J. パス名は検証する前に正規化する 37

38 問題点問題点に対してどうすべきだったか引数の値を使って構成したパスが想定しているディレクトリの下にあることを検証した上でファイルを作成すべきであったパスの検証のためにはパスの正規化処理が必要 38

39 修正版コード脆弱性はバージョンで修正されている JMX コンソールでのファイル作成時の処理フロー 1 クライアントからリクエストが送信される 2 アプリケーション (Jboss Application Server) がリクエストを受信しフォルダ名ファイル名拡張子ファイルデータの情報を取り出す 3 DeploymentFileRepository クラスの store メソッドでファイルを作成する 4 結果を含むレスポンスがクライアントへ送信される 3 の処理を行うコードが修正されている 39

40 修正前 / 修正後の処理比較 3DeploymentFileRepository クラスの store メソッドでファイル作成 DeploymentFileRepository.java ( 修正前 ) public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = new File(base, folder); log.debug("respository folder " + dir.tostring()); DeploymentFileRepository.java ( 修正後 ) public class DeploymentFileRepository public void store(string folder, String name, String fileextension, String data, boolean nohotdeploy) throws IOException log.debug("store called"); File dir = getfile(base, folder); log.debug("respository folder " + dir.tostring()); getfile メソッドを使用するようにコードが変更されている 40

41 修正前 / 修正後の処理比較 3DeploymentFileRepository クラスの store メソッドでファイル作成 getfile メソッド./deploy/management store メソッドの第 1 引数 ( フォルダ名 ) private File getfile(file parent, String child) throws IOException 新規作成するフォルダの File childfile = new File(parent, child); Fileオブジェクトを作成 } if (childfile.getcanonicalpath().indexof(parent.getcanonicalpath())!= 0) throw new IllegalArgumentException( "child '" + child + "' should be a child of parent '" + parent + "' ); getcanonicalpathメソッドで正規化をした後に return childfile; indexofメソッドを使用して parentがchildfileの一部に含まれているか検証している getcanonicalpath メソッドを使用すると /parent/child1/child2/../../child0 /parent/child0 というように正規化される 41

42 修正前 / 修正後の処理比較 3DeploymentFileRepository クラスの store メソッドでファイル作成修正版コードが攻撃を受けるとどうなるか getfile メソッド内で getcanonicalpath メソッドにより parent./deploy/management /jboss/server/default/deploy/management childfile./deploy/management/../../../../testfolder /jboss/server/testfolder と正規化されるパスを検証するコードが childfile のパスに parent が含まれていないことを検知しエラーとして処理する 42

43 その他の修正下記のメソッドも getfile メソッドを利用したパスの正規化と検証を行うように修正されているファイル削除 (remove メソッド ) ファイル存在確認 (isstored メソッド ) ファイル保存パス設定 (setbasedir メソッド ) 43

44 まとめこの脆弱性から学べるプログラミングの注意点アプリケーションの処理内容や扱うデータ構造に応じて引数が適切な値であることを検証すべき今回のケースではファイル / ディレクトリ操作で扱うパス名を細工されることでディレクトリトラバーサルの脆弱性につながった上記への対策引数のパス名を正規化してから (IDS02-J) 想定した範囲に収まっていることを確認する 44

45 著作権引用や二次利用について本資料の著作権は JPCERT/CC に帰属します本資料あるいはその一部を引用転載再配布する際は引用元名資料名および URL の明示をお願いします記載例引用元一般社団法人 JPCERT コーディネーションセンター Java アプリケーション脆弱性事例解説資料 Jboss Application Server におけるディレクトリトラバーサルの脆弱性 https// 本資料を引用転載再配布をする際は引用先文書時期内容等の情報を JPCERT コーディネーションセンター広報までメールにてお知らせくださいなおこの連絡により取得した個人情報は別途定める JPCERT コーディネーションセンターのプライバシーポリシーに則って取り扱います本資料の利用方法等に関するお問い合わせ JPCERTコーディネーションセンター広報担当本資料の技術的な内容に関するお問い合わせ JPCERT コーディネーションセンターセキュアコーディング担当 45

Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性

Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer