CVE-1999-0168 漏洞分析报告

1 漏洞概述

CVE-1999-0168 是一个存在于 portmapper 服务（也称为 rpcbind）中的安全漏洞。该漏洞源于portmapper在设计上允许其充当一种代理，并可以重定向来自攻击者的服务请求。这种重定向机制会导致目标RPC服务认为请求源自受信任的本地主机（即127.0.0.1或localhost），从而可能绕过基于源IP地址的身份验证机制。例如，攻击者可以利用此漏洞，在违反配置的导出限制的情况下，远程挂载本应受保护的NFS文件系统。

2 漏洞原理与技术细节

2.1 背景知识：Portmapper 与 RPC

• RPC (Remote Procedure Call)：一种允许程序在不同的网络计算机上执行过程的协议。
• Portmapper：在Sun RPC（远程过程调用）架构中，portmapper作为一个服务注册表运行。RPC服务（如NFS、NIS等）在启动时会向portmapper注册自己监听的端口号。客户端需要访问某个RPC服务时，会先查询portmapper（默认运行在TCP/UDP 111端口）以获取该服务的实际端口号，然后再与该端口建立连接。

2.2 漏洞核心机制：代理与重定向

portmapper服务提供了一个名为 callit 的远程过程。正常情况下，callit 用于简化客户端对未知端口服务的调用：客户端将调用请求发送给portmapper，portmapper会将其转发给正确的服务，并将响应返回给客户端。

本漏洞的根源在于，攻击者可以滥用callit功能：

1. 攻击者构造请求：攻击者向目标服务器的portmapper服务发送一个精心构造的RPC请求，指定要调用的RPC程序编号（如NFS）和过程编号。
2. Portmapper充当代理：portmapper的callit功能接收此请求后，不会验证请求的意图是否合法。它会按照设计，将请求代理并重定向到本地主机上相应的RPC服务（如NFS服务）。
3. 身份验证绕过：当目标RPC服务（如NFS守护进程）收到经由portmapper重定向的请求时，该请求的源IP地址是portmapper所在的本地主机（127.0.0.1），而非攻击者的真实IP地址。许多基于RPC的服务，特别是旧版本的系统，对来自本地主机的连接会给予高度信任，可能完全跳过或简化身份验证检查。
4. 权限提升与未授权访问：因此，攻击者可以以本地主机的身份执行本应受限制的操作。例如，即使NFS导出设置（/etc/exports）明确配置为仅允许特定客户端挂载，攻击者也能通过此漏洞成功挂载该文件系统。

2.3 攻击场景示例：NFS挂载绕过

假设一台服务器的NFS服务配置为只允许IP地址为192.168.1.100的客户端挂载/home/share目录。

# /etc/exports 配置文件
/home/share 192.168.1.100(rw,sync)

正常情况下，IP为192.168.1.200的攻击者尝试挂载时会收到“Permission denied”错误。然而，利用CVE-1999-0168：

1. 攻击者（192.168.1.200）查询目标服务器（192.168.1.50）的portmapper，获取NFS的程序编号（通常为100003）。
2. 攻击者使用callit功能，通过portmapper向NFS服务发送挂载请求。
3. NFS服务收到请求，发现来源是127.0.0.1（本地portmapper），误以为是本地合法请求，遂允许挂载。
4. 攻击者成功挂载了本应受保护的NFS共享。

3 影响范围与危害评估

• 受影响系统：历史上，所有默认启用了portmapper/rpcbind且未进行安全配置的类Unix操作系统都可能受影响，包括但不限于SunOS/Solaris、各种Linux发行版（Red Hat、Debian等）、BSD变体（FreeBSD、OpenBSD）。该漏洞在1999年及更早的系统中尤为普遍。
• 危害等级：高。成功利用此漏洞可能导致：
  • 未授权数据访问：绕过NFS导出限制，访问、修改或删除敏感文件。
  • 信息泄露：通过其他RPC服务（如NIS）获取系统用户信息等。
  • 进一步权限提升：结合其他漏洞，可能获得更高的系统访问权限。

4 渗透测试利用方法

4.1 信息收集

• 使用`rpcinfo -p `命令探测目标是否运行portmapper，并列出所有已注册的RPC服务。 “`bash rpcinfo -p 192.168.1.50 “`

4.2 利用工具

历史上存在多种利用此漏洞的工具：

• 手工构造RPC数据包：使用rpcgen等工具编写自定义客户端。
• 自动化脚本：如早期的portmap-decode.pl、nfsbug等脚本能自动化利用过程。
• 现代扫描器：Nessus、OpenVAS等漏洞扫描器包含对此漏洞的检测模块[citation:7]。

4.3 利用步骤（概念性）

1. 确认portmapper可访问：`nc -zv 111`。
2. 枚举可用RPC服务：使用rpcinfo。
3. 选择攻击目标：确定存在访问控制策略的RPC服务（如NFS）。
4. 发起代理请求：利用工具通过portmapper的callit过程向目标服务发送指令。

5 修复与缓解措施

该漏洞的修复主要依赖于网络层访问控制和服务配置加固。

1. 限制对portmapper的访问（最有效）：

   • 使用防火墙（如iptables、firewalld）严格限制对UDP和TCP 111端口的访问，只允许可信网络或主机连接[citation:7]。

     # 示例：iptables规则，仅允许特定IP段访问portmapper
     iptables -A INPUT -p tcp --dport 111 -s 192.168.1.0/24 -j ACCEPT
     iptables -A INPUT -p udp --dport 111 -s 192.168.1.0/24 -j ACCEPT
     iptables -A INPUT -p tcp --dport 111 -j DROP
     iptables -A INPUT -p udp --dport 111 -j DROP

2. 使用TCP Wrappers：

   • 在/etc/hosts.allow和/etc/hosts.deny中配置访问控制列表，限制对portmap或rpcbind的访问。

3. 禁用不必要的RPC服务：

   • 检查系统，关闭非必需的RPC服务（如NFS、NIS服务器），从根本上减少攻击面[citation:7]。

4. 更新软件与系统：

   • 虽然这是一个协议设计层面的问题，但后续的软件更新可能包含了更严格的默认配置或额外的安全检查。始终确保系统和服务更新到最新版本[citation:6][citation:7]。

5. 网络分段与隔离：

   • 将运行RPC服务的服务器放置在安全的网络区域，通过 VLAN 或物理隔离，避免其直接暴露在不可信的网络中。

6 总结

CVE-1999-0168是一个典型的协议设计缺陷和身份验证绕过漏洞。它深刻揭示了过度信任本地网络流量以及服务代理功能设计不当所带来的安全风险。尽管这是一个年代久远的漏洞，但其背后的原理——滥用服务功能以伪造信任来源——在当今的网络安全中仍然具有重要的警示意义。在渗透测试和安全评估中，对遗留系统或配置不当的新系统进行portmapper和相关RPC服务的检查，仍可能发现严重的安全隐患。

---

免责声明：本报告仅用于教育目的和安全研究，旨在帮助管理员理解和防御安全威胁。未经授权对系统进行测试可能是非法的。