【漏洞复现】Nodebb 被爆未授权拒绝服务攻击

简介: 本文复现了旧版 Nodebb 存在的拒绝服务攻击漏洞,通过本案例提醒各位读者,赶紧升级 Nodebb 的版本,同时提高自身的安全意识,在自己编写代码时,一定要对变量进行校验以及强制类型转换,以防被绕过造成危害!

前言

本篇博文主要内容是通过代码审计来分析 Nodebb 存在拒绝服务攻击的原因,并对此进行复现

严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。

介绍

漏洞的 CVE 编号为 CVE-2023-30591,适用于 Nodebb 版本小于 2.8.10;


Nodebb 是一个基于 Node.js 构建的开源社区论坛平台,该平台的特点之一是利用 Socket.IO 进行即时交互和实时通知。 以下是 NodeBB 的一些优势:

  • 快速和实时:Nodebb 使用了实时框架,使得帖子和聊天信息可以即时更新,用户可以实时交流和回复。这使得讨论更加活跃和生动。
  • 响应式设计:Nodebb 的界面采用响应式设计,可以在不同的设备上自动适应,包括桌面电脑、平板电脑和手机等。
  • 多功能的帖子和用户管理:Nodebb 具有丰富的功能,包括多级子论坛、标签、帖子置顶、编辑权限、用户组管理等,可以满足各种不同的论坛需求。
  • 安全性和可扩展性:Nodebb 采用现代化的 Web 开发框架,具有良好的安全性和可扩展性,可以通过插件系统灵活地扩展功能或自定义主题。

1721740876211.jpg

分析

由于对 Socket.IO 消息的解析和处理不当,未经身份验证的攻击者能够发送恶意 Socket.IO 消息,导致 Nodebb 工作实例崩溃。尽管 Nodebb 的集群管理器尝试生成新的替代工作器,但在短时间内多次使 Nodebb 工作器崩溃后,可能会导致 Nodebb 集群管理器终止。


利用该漏洞,可以通过使用数组作为 Socket.IO 事件名称,在调用 eventName.startsWith() 时触发崩溃,或者使用对象作为 Socket.IO 事件名称,并设置属性toString,在调用 eventName.toString() 时触发崩溃。


主要代码源自 /src/socket.io/index.js:

async function onMessage(socket, payload) {
    ...
    
    const eventName = payload.data[0];
    
    ...
    
    const parts = eventName.toString().split('.');  // [1]
    const namespace = parts[0];
    const methodToCall = parts.reduce((prev, cur) => {  // [2]
        if (prev !== null && prev[cur] && (!prev.hasOwnProperty || prev.hasOwnProperty(cur))) {
            return prev[cur];
        }
        return null;
    }, Namespaces);
    if (!methodToCall || typeof methodToCall !== 'function') { // [3]
        ...
        return callback({ message: `[[error:invalid-event, ${escapedName}]]` });
    }
    
    ...
    
    if (!eventName.startsWith('admin.') && ratelimit.isFlooding(socket)) {  // [4]
        winston.warn(`[socket.io] Too many emits! Disconnecting uid : ${socket.uid}. Events : ${socket.previousEvents}`);
        return socket.disconnect();
    }
    
    ...
}

根据上述源码,只需要绕开 [3] 在 [4] 处抛出异常或者直接在 [1] 处抛出异常,都将导致 Nodebb 拒绝服务,因为在 /loader.js 中,集群管理器尝试重新启动异常退出的工作进程,如果太多工作线程在硬编码的 10 秒阈值内异常退出,集群管理器就会得出结论,发生了启动错误,并将自行终止,从而杀死所有 Nodebb 工作线程:

1721740917181.jpg

由于攻击者可以随意导致 Nodebb 工作线程突然退出,这使得攻击者能够完全终止 Nodebb,从而导致持续的拒绝服务。

复现

只需要直接在 [1] 处抛出异常或者绕开 [3] 在 [4] 处抛出异常,都将导致 Nodebb 拒绝服务。


源码没有对 eventName 执行类型验证或强制转换,并且假定 String 是类型。

通过 Socket.IO 事件名称的对象类型进行 DoS

结合 [1] 处将 eventName 转换成 String 的处理方式,因此可以直接构造 eventName 为 {"toString": 1};,运行结果:

通过 Socket.IO 事件名称的数组类型进行 DoS

结合 [1] 处将 eventName 转换成 String 后进行分割提取事件名,可以构造如下 eventName:

const eventName = ["topics.loadMoreTags"];

eventName 为 topics.loadMoreTags 是因为在 /src/socket.io/index.js 源码中,modules 数组中的其中一个元素就是 topics,而 loadMoreTags 是它的一个方法,如下所示:

function requireModules() {
  const modules = [
    'admin', 'categories', 'groups', 'meta', 'modules',
    'notifications', 'plugins', 'posts', 'topics', 'user',
    'blacklist', 'uploads',
  ];
  modules.forEach((module) => {
    Namespaces[module] = require(`./${module}`);
  });
}

这样子 methodToCall 就会获取到相应的值,使得 !methodToCall || typeof methodToCall !== 'function' 值为 false,从而进行绕过。


举个例子,下面将用 url.parse 来代替 topics.loadMoreTags:

  1. 根据代码给 Namespaces[module] 赋值:
  2. 根据代码给 methodToCall 赋值:
  3. 输出 !methodToCall || typeof methodToCall !== 'function' 的值:


然后在 eventName.startsWith('admin.') 处抛出异常:

1721740996101.jpg

后记

本文复现了旧版 Nodebb 存在的拒绝服务攻击漏洞,通过本案例提醒各位读者,赶紧升级 Nodebb 的版本,同时提高自身的安全意识,在自己编写代码时,一定要对变量进行校验以及强制类型转换,以防被绕过造成危害!

相关文章
|
Java
最详细 keil5 和 cubeMX安装教程
最详细 keil5 和 cubeMX安装教程
788 0
|
10月前
|
存储 网络协议 Nacos
高效搭建Nacos:实现微服务的服务注册与配置中心
Nacos(Dynamic Naming and Configuration Service)是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台。它旨在帮助开发者更轻松地构建、部署和管理分布式系统,特别是在微服务架构中。
1683 82
高效搭建Nacos:实现微服务的服务注册与配置中心
|
11月前
|
JavaScript 前端开发 API
前端框架对比:Vue.js与Angular的优劣分析与选择建议
【10月更文挑战第26天】前端技术的飞速发展让开发者在构建用户界面时有了更多选择。本文对比了Vue.js和Angular两大框架,介绍了它们的特点和优劣,并给出了在实际项目中如何选择的建议。Vue.js轻量级、易上手,适合小型项目;Angular结构化、功能强大,适合大型项目。
351 1
|
12月前
|
人工智能 算法 前端开发
首个 AI 编程认证课程上线!阿里云 AI Clouder 认证:基于通义灵码实现高效 AI 编码
为了帮助企业和开发者更好使用通义灵码,阿里云上线了“AI Clouder 认证课程--基于通义灵码实现高效 AI 编码”。本课程汇聚了后端、前端、算法领域 5 名实战派专家,带你体验 4 大研发场景实践,上手 3 大实操演练,深度掌握智能编码助手通义灵码,实现全栈 AI 编码技能跃升。
|
消息中间件 缓存 数据库
Redis问题之如何解决缓存更新失败导致的数据不一致问题
Redis问题之如何解决缓存更新失败导致的数据不一致问题
415 7
|
存储 传感器 安全
云上智能物联网平台:构建未来智联世界的基石
四、未来发展趋势 4.1 边缘计算的融合 随着物联网设备数量的不断增加和数据量的快速增长,边缘计算将成为云上智能物联网平台的重要组成部分。通过将计算能力和数据存储能力下沉到边缘侧,可以减少数据传输延迟和带宽消耗,提高系统的响应速度和稳定性。
499 7
|
敏捷开发 数据可视化 持续交付
敏捷开发方法:理论与实践
【8月更文第22天】随着信息技术的发展,软件项目的复杂度不断提高,传统的瀑布式开发模式越来越难以适应快速变化的市场需求。为了解决这些问题,敏捷开发方法应运而生。本文将探讨敏捷开发的核心理念、敏捷宣言与原则、Scrum框架、Kanban方法以及相关的敏捷实践与工具。
1380 2
|
存储 分布式计算 资源调度
Hadoop生态系统概览:从HDFS到Spark
【8月更文第28天】Hadoop是一个开源软件框架,用于分布式存储和处理大规模数据集。它由多个组件构成,旨在提供高可靠性、高可扩展性和成本效益的数据处理解决方案。本文将介绍Hadoop的核心组件,包括HDFS、MapReduce、YARN,并探讨它们如何与现代大数据处理工具如Spark集成。
843 0
|
机器学习/深度学习 存储 自然语言处理
从零开始学习Java神经网络、自然语言处理和语音识别,附详解和简易版GPT,语音识别完整代码示例解析
从零开始学习Java神经网络、自然语言处理和语音识别,附详解和简易版GPT,语音识别完整代码示例解析
380 0
|
存储 安全 Java
【SSO-CAS部署】安装部署单点登录组件CAS(5.3.x版本)
【SSO-CAS部署】安装部署单点登录组件CAS(5.3.x版本)
1256 0
【SSO-CAS部署】安装部署单点登录组件CAS(5.3.x版本)