URL
type
status
date
slug
summary
tags
category
icon
password
近日,Goby安全研究团队发现Clash verge 两个RCE漏洞:
4月28日,Clash verge RCE漏洞:此漏洞需要本地提权触发,官方告知广大用户无需过渡恐慌。
5月19日,Clash verge RCE漏洞:攻击者通过该漏洞构造恶意网页,可在用户无感知的情况下篡改Mihomo(Clash核心)配置文件,最终可以实现任意文件写入和远程命令执行。
全团队随即响应测试,我们在测试过程中发现了一些不一样的东西:实际上,远程攻击者可实现的攻击链路不仅于此,最直接的攻击链路可以通过篡改Mihomo(Clash核心)配置文件达到例如:删除配置文件导致用户机器断网或修改指定配置文件监听流量的目的。
再通过进一步深入测试发现,不止Clash Verge ,只要对外开启了Web控制服务的Clash相关产品都存在此攻击风险。最重要的是,Clash的Web控制服务下载后默认开启的(默认端口为9090/9097),且所有历史版本(Clash ≤2.2.4 , Mihomo ≤v1.19.8)都受此漏洞影响,那么我们可以直接通过FOFA查询公网影响资产情况:
body="\"hello\":\"mihomo\"" || body="\"hello\":\"clash\"”
通过FOFA资产搜索引擎的搜索结果显示,暴露在公网的相关资产数量达到了13700 + 。
【漏洞分析】
以“修改配置文件,导致目标机器页面显示异常”为例
只要局域网内有机器使用Clash并且对外打开web控制服务端口,攻击者入侵后极有可能修改机器的配置信息。这可能会导致机器的页面显示异常,从而影响正常工作。
复现过程如下:
未授权API调用
利用CORS缺陷,恶意网页可跨域操控
127.0.0.1:9097接口路径穿越投毒
通过
external-ui: ../../../tmp突破目录限制,将恶意UI包写入系统临时目录
篡改的配置文件触发Clash GUI核心模块异常
【漏洞危害分析】
按照上述漏洞触发原理,还有可能导致以下危害:
1.修改指定配置文件,劫持代理,截取流量
同理,攻击者还可以通过修改指定的配置文件,对网络流量进行截取。这意味着用户在网络上传输的敏感信息,如账号密码、交易记录等,都有可能被攻击者获取。这将严重威胁用户的隐私安全和财产安全,可能会导致用户遭受诈骗、信息泄露等风险。
2.通过特定链路,可能导致RCE(以Clash Verge客户端为例)
Clash Verge客户端默认配置下在http://127.0.0.1:9097开启了一个RESTFul API服务,且存在CORS问题,恶意网页可以通过该服务修改Mihomo(Clash核心)的配置文件。Clash核心配置文件包含如下字段,可以从互联网下载一个ZIP文件到本地并解压,注意external - ui字段存在路径穿越检查,但是检查不完善,可以通过external - ui - name字段绕过,最终实现本地文件写入。攻击者可以利用这一漏洞,通过特定的链路实现远程命令执行(RCE),从而完全控制受影响的机器。这将给用户带来极其严重的安全后果,如数据被窃取、系统被破坏等。
【安全修复建议】
- 应尽快将Clash客户端和Mihomo升级至已修复版本:
Clash>= v2.3.0
Mihomo >= v1.20.1
- 关闭不必要的服务端口
由于web控制服务端口是默认开放的,所以用户应检查并关闭Clash客户端对外打开的web控制服务端口,避免将其暴露在公网环境中。这样可以减少被攻击者发现和利用漏洞的风险。
• 为外部控制添加密码验证
- 作者:NickYam
- 链接:https://www.nickyam.com/article/clash-user-careful-web-contol-bug-danger
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
