잘못된 별칭 블록 설정이 있는 Nginx 구성 취약성

nginx가 있는 일부 서버는 2018년 Blackhat 컨퍼런스에서 제안된 Nginx Alias ​​Traversal 기술에 여전히 취약하며 "alias" 지시문에 지정된 루트 디렉토리 외부에 있는 파일 및 디렉토리에 대한 액세스를 허용합니다. 문제는 매개변수가 "/" 문자로 끝나지 않고 "alias"가 "/"로 끝나는 "location" 블록 내부에 배치된 "alias" 지시문이 있는 구성에서만 나타납니다.

문제의 본질은 요청된 경로를 위치 지시어의 마스크와 일치시키고 이 마스크에 지정된 경로의 일부를 잘라낸 후 요청된 경로를 첨부하여 별칭 지시어가 있는 블록에 대한 파일을 제공한다는 것입니다. 위에 표시된 취약한 구성의 예에서 공격자는 "/img../test.txt" 파일을 요청할 수 있으며 이 요청은 "/img" 위치에 지정된 마스크와 일치하고 나머지 테일 "../ test.txt"는 별칭 지시문 "/var/images/"의 경로에 첨부되며 결과적으로 "/var/images/../test.txt" 파일이 요청됩니다. 따라서 공격자는 "/var/images/"의 파일뿐만 아니라 "/var" 디렉토리의 모든 파일에 액세스할 수 있습니다. 예를 들어 nginx 로그를 다운로드하려면 "/img../log/" 요청을 보낼 수 있습니다. nginx/access.log".

별칭 지시문의 값이 "/" 문자로 끝나지 않는 구성(예: "alias /var/images;")에서 공격자는 상위 디렉터리로 변경할 수 없지만 /var에서 다른 디렉터리를 요청할 수 있습니다. 그 이름은 구성에서 지정된 것으로 시작합니다. 예를 들어 "/img.old/test.txt"를 요청하면 "var/images.old/test.txt" 디렉토리에 액세스할 수 있습니다.

GitHub의 리포지토리를 분석한 결과 문제를 일으키는 nginx 구성 오류가 실제 프로젝트에서 여전히 발견되는 것으로 나타났습니다. 예를 들어, 문제의 존재는 Bitwarden 암호 관리자의 백엔드에서 식별되었으며 /etc/bitwarden 디렉토리의 모든 파일에 액세스하는 데 사용될 수 있습니다(/attachments에 대한 요청은 /etc/bitwarden/attachments/에서 발행됨). 암호 "vault.db", 인증서 및 로그와 함께 저장된 데이터베이스를 포함하여 "/attachments../vault.db", "/attachments../identity.pfx", "/attachments 요청을 보내기에 충분했습니다. ../logs/api.log" 등 .P.

이 방법은 또한 /static 요청이 "../hpc-toolkit/community/front-end/website/static/" 디렉토리로 리디렉션되는 Google HPC 툴킷과 함께 작동했습니다. 개인 키와 자격 증명이 있는 데이터베이스를 얻기 위해 공격자는 "/static../.secret_key" 및 "/static../db.sqlite3" 쿼리를 보낼 수 있습니다.

출처 : opennet.ru