写点什么

【漏洞复现】Nodebb 被爆未授权拒绝服务攻击

  • 2024-07-24
    湖南
  • 本文字数:2117 字

    阅读完需:约 7 分钟

前言


本篇博文主要内容是通过代码审计来分析 Nodebb 存在拒绝服务攻击的原因,并对此进行复现


严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。

介绍


漏洞的 CVE 编号为 CVE-2023-30591,适用于 Nodebb 版本小于 2.8.10;


Nodebb 是一个基于 Node.js 构建的开源社区论坛平台,该平台的特点之一是利用 Socket.IO 进行即时交互和实时通知。


以下是 NodeBB 的一些优势:

  • 快速和实时:Nodebb 使用了实时框架,使得帖子和聊天信息可以即时更新,用户可以实时交流和回复。这使得讨论更加活跃和生动。

  • 响应式设计:Nodebb 的界面采用响应式设计,可以在不同的设备上自动适应,包括桌面电脑、平板电脑和手机等。

  • 多功能的帖子和用户管理:Nodebb 具有丰富的功能,包括多级子论坛、标签、帖子置顶、编辑权限、用户组管理等,可以满足各种不同的论坛需求。

  • 安全性和可扩展性:Nodebb 采用现代化的 Web 开发框架,具有良好的安全性和可扩展性,可以通过插件系统灵活地扩展功能或自定义主题。

分析

由于对 Socket.IO 消息的解析和处理不当,未经身份验证的攻击者能够发送恶意 Socket.IO 消息,导致 Nodebb 工作实例崩溃。尽管 Nodebb 的集群管理器尝试生成新的替代工作器,但在短时间内多次使 Nodebb 工作器崩溃后,可能会导致 Nodebb 集群管理器终止。


利用该漏洞,可以通过使用数组作为 Socket.IO 事件名称,在调用 eventName.startsWith() 时触发崩溃,或者使用对象作为 Socket.IO 事件名称,并设置属性 toString,在调用 eventName.toString() 时触发崩溃。


主要代码源自 /src/socket.io/index.js:

async function onMessage(socket, payload) {    ...        const eventName = payload.data[0];        ...        const parts = eventName.toString().split('.');  // [1]    const namespace = parts[0];    const methodToCall = parts.reduce((prev, cur) => {  // [2]        if (prev !== null && prev[cur] && (!prev.hasOwnProperty || prev.hasOwnProperty(cur))) {            return prev[cur];        }        return null;    }, Namespaces);
if (!methodToCall || typeof methodToCall !== 'function') { // [3] ... return callback({ message: `[[error:invalid-event, ${escapedName}]]` }); } ... if (!eventName.startsWith('admin.') && ratelimit.isFlooding(socket)) { // [4] winston.warn(`[socket.io] Too many emits! Disconnecting uid : ${socket.uid}. Events : ${socket.previousEvents}`); return socket.disconnect(); } ...}
复制代码

根据上述源码,只需要绕开 [3] 在 [4] 处抛出异常或者直接在 [1] 处抛出异常,都将导致 Nodebb 拒绝服务,因为在 /loader.js 中,集群管理器尝试重新启动异常退出的工作进程,如果太多工作线程在硬编码的 10 秒阈值内异常退出,集群管理器就会得出结论,发生了启动错误,并将自行终止,从而杀死所有 Nodebb 工作线程:

由于攻击者可以随意导致 Nodebb 工作线程突然退出,这使得攻击者能够完全终止 Nodebb,从而导致持续的拒绝服务。

复现

只需要直接在 [1] 处抛出异常或者绕开 [3] 在 [4] 处抛出异常,都将导致 Nodebb 拒绝服务。


源码没有对 eventName 执行类型验证或强制转换,并且假定 String 是类型。

通过 Socket.IO 事件名称的对象类型进行 DoS。

结合 [1] 处将 eventName 转换成 String 的处理方式,因此可以直接构造 eventName 为 {"toString": 1};,运行结果:

通过 Socket.IO 事件名称的数组类型进行 DoS

结合 [1] 处将 eventName 转换成 String 后进行分割提取事件名,可以构造如下 eventName:

const eventName = ["topics.loadMoreTags"];
复制代码



eventName 为 topics.loadMoreTags 是因为在 /src/socket.io/index.js 源码中,modules 数组中的其中一个元素就是 topics,而 loadMoreTags 是它的一个方法,如下所示:

function requireModules() {	const modules = [		'admin', 'categories', 'groups', 'meta', 'modules',		'notifications', 'plugins', 'posts', 'topics', 'user',		'blacklist', 'uploads',	];
modules.forEach((module) => { Namespaces[module] = require(`./${module}`); });}
复制代码


这样子 methodToCall 就会获取到相应的值,使得 !methodToCall || typeof methodToCall !== 'function' 值为 false,从而进行绕过。


举个例子,下面将用 url.parse 来代替 topics.loadMoreTags:


根据代码给 Namespaces[module] 赋值:

  1. 根据代码给 methodToCall 赋值:

  2. 输出 !methodToCall || typeof methodToCall !== 'function' 的值:

  3. 然后在 eventName.startsWith('admin.') 处抛出异常:

后记

本文复现了旧版 Nodebb 存在的拒绝服务攻击漏洞,通过本案例提醒各位读者,赶紧升级 Nodebb 的版本,同时提高自身的安全意识,在自己编写代码时,一定要对变量进行校验以及强制类型转换,以防被绕过造成危害!


作者:sidiot

链接:https://juejin.cn/post/7296301797811241010

用户头像

欢迎关注,一起学习,一起交流,一起进步 2020-06-14 加入

公众号:做梦都在改BUG

评论

发布
暂无评论
【漏洞复现】Nodebb 被爆未授权拒绝服务攻击_网络安全_我再BUG界嘎嘎乱杀_InfoQ写作社区