OpenSSH命令注入漏洞CVE-2020-15778該如何分析

# OpenSSH命令注入漏洞CVE-2020-15778該如何分析

## 漏洞概述

CVE-2020-15778是OpenSSH客戶端(scp組件)中存在的一個命令注入漏洞，于2020年7月披露。該漏洞允許攻擊者在特定條件下通過精心構造的惡意文件名執行任意命令，影響OpenSSH 8.3p1及之前版本。

## 技術背景

### SCP協議工作機制
SCP(Secure Copy Protocol)基于SSH協議實現文件傳輸，其工作流程包括：
1. 客戶端通過SSH通道建立連接
2. 服務器啟動`scp -t`(接收模式)或`scp -f`(發送模式)
3. 通過標準輸入/輸出傳輸文件元數據和內容

### 漏洞根源
漏洞存在于scp客戶端的**文件名處理邏輯**中。當使用SCP遞歸復制(`-r`參數)時，客戶端會直接將文件名拼接到本地shell命令中執行，未對特殊字符進行過濾。

## 漏洞復現分析

### 攻擊場景
假設攻擊者控制遠程服務器，并創建惡意文件名：
```bash
touch 'malicious_file$(id>exploit).txt'

當受害者執行：

scp -r user@attacker-server:/malicious_dir/ .

實際會執行：

/usr/bin/scp -r -f 'malicious_file$(id>exploit).txt'

關鍵代碼分析

在openssh-portable/scp.c中：

void sink(int argc, char **argv)
{
    /* ... */
    if (recurse) {
        run_err("scp: %s: not a regular file", cp);
        (void) snprintf(cmdbuf, sizeof(cmdbuf),
            "cd %s && exec scp -%scp %s %s",  // 命令拼接點
            cmd, sflag, cmd, src);
        (void) system(cmdbuf);  // 直接執行系統命令
    }
}

影響范圍評估

受影響版本

• OpenSSH <= 8.3p1
• 所有使用SCP協議的客戶端工具

利用限制

1. 需要攻擊者能控制服務器文件名
2. 必須使用遞歸復制(-r參數)
3. 依賴客戶端的shell環境特性

修復方案

官方補丁

OpenSSH 8.3p2通過以下方式修復： 1. 禁用SCP協議中的遞歸復制功能 2. 推薦使用更安全的sftp或rsync替代

臨時緩解措施

# 禁用scp命令別名
unalias scp 2>/dev/null
# 使用完整路徑執行
/usr/bin/scp

分析工具推薦

1. 靜態分析工具

   • CodeQL: 檢測命令注入模式
   • Semgrep: 查找危險函數調用

2. 動態測試工具

   strace -f -e execve scp -r test@localhost:/malicious/ .
   

3. 漏洞驗證POC

   # 生成惡意文件名
   open("payload$(touch /tmp/pwned).txt", "w").close()
   

經驗總結

1. 永遠不要信任用戶輸入，包括間接輸入(如文件名)
2. 系統調用必須進行嚴格的輸入凈化
3. 考慮使用白名單機制而非黑名單過濾
4. 最小權限原則：避免使用高權限執行敏感操作

該漏洞再次證明：即使是廣泛使用的成熟工具，也可能存在基礎安全缺陷。安全研究人員應持續關注協議實現細節，特別關注數據流與控制流的交互點。 “`