关于Pulse Secure Desktop Client (Juniper Junos Pulse) 权限提升漏洞的安全公告

2016-07-26 09:39:23

安全公告编号:CNTA-2016-0034

近日,国家信息安全漏洞共享平台(CNVD)收录了由CNVD成员单位腾讯公司(玄武实验室)提交的Pulse Secure Desktop Client (Juniper Junos Pulse)权限提升漏洞(CNVD-2016-05257 ,对应CVE-2016-2408)。Pulse Secure Desktop Client 安装的系统服务在访问控制设置上存在漏洞。通过模拟可信的进程与该服务通讯,攻击者可提升权限并执行任意代码。

一、 漏洞情况分析

Pulse Secure Desktop Client(原用名为Juniper Junos Pulse)是访问 Juniper Pulse Secure 网关的终端设备的客户端程序软件,Pulse Secure Desktop Client安装的系统服务dsAccessService.exe会创建一个名为NeoterisSetupService的命名管道。该命名管道的访问控制列表被设置为Everyone完全控制,所有用户均具有读写权限。管道服务端使用了自定义的加密算法,该管道用于安装新的系统服务时,可以作为自动升级机制的一部分。

当有新数据写入管道时,这段数据会被当作文件路径解密,指向的文件会被复制到C:\Windows\Temp\并执行。服务安装逻辑在dsInstallService.dll中实现,它首先读入路径并从路径中切出文件名。这个实现逻辑存在一个漏洞:只切出了路径中 “\” 字符之后的部分,但忽略了 “/” 字符。攻击者可以传入一个恶意构造的路径,再通过DLL劫持的方式即可实现权限提升和任意代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响Pulse Secure Desktop Client (Juniper Junos Pulse) v5.2r3之前的所有版本。目前已知该软件产品在境内高校中应用较为广泛,根据初步获得的应用案例,CNVD已经将受影响的十余所重点高校用户通报给教育网应急组织(中国教育和科研计算机网以及上海交通大学网络信息中心)进行处置。同时,CNVD建议境政府部门和重要信息系统行业单位、高校用户开展自查,及时修复安全漏洞。

三、漏洞修复建议

Pulse Secure 已在 Pulse Secure Desktop Client v5.2r3 中修复了此漏洞,请在Pulse Secure 官网下载最新版本。

附:参考链接:

http://xlab.tencent.com/en/advisories/2016/07/19/xlab-16-001/

http://www.cnvd.org.cn/flaw/show/CNVD-2016-05257

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40241(官方补丁连接)