戴尔OMSA文件读取漏洞(CVE-2020-5377)分析报告

1. 漏洞概述

CVE-2020-5377是戴尔OpenManager Server Administrator(OMSA)软件中存在的一个高危漏洞，结合了文件读取和身份认证绕过两个安全问题，允许未经授权的攻击者读取服务器上的任意文件。

2. 受影响版本

• OMSA 9.4.0
• OMSA 9.4.0.2

3. OMSA简介

OpenManager Server Administrator(OMSA)是戴尔开发的中央监控软件，主要功能包括：

• 通过中央web接口管理远程系统
• 使用分布式Web服务器进行管理
• 提供"管理系统登录"功能进行远程控制

4. 漏洞原理分析

4.1 身份认证绕过机制

OMSA的身份验证机制存在缺陷：

1. 系统默认开启web管理界面
2. 使用VPS响应OMSA服务器的身份验证请求
3. 在9.4.0和9.4.2版本中，web会话允许用户对底层API进行特权访问

4.2 文件读取漏洞技术细节

漏洞位于DownloadServlet组件中，关键代码分析：

string str1 = paramHttpServletRequest.getParameter("file");
File file = new File(str1);

if (false == oMAWPUtil.checkUserRights(paramHttpServletRequest, 7)) {
    String str4 = file.getCanonicalPath();
    String str5 = "apache-tomcat" + File.separator + "temp";
    if (!str4.contains(str5)) {
        return; // 访问被拒绝
    }
}

FileInputStream fileInputStream = new FileInputStream(str1);
// 读取文件内容并返回给客户端

漏洞点分析：

1. file参数直接传递给FileInputStream，未进行充分验证
2. 权限检查不充分：仅检查用户权限是否为7或文件是否在tomcat临时目录
3. 通过身份认证绕过可获得权限7的会话

5. 漏洞利用方法

5.1 利用URL构造

POC格式：

https://omsa.server/{VID}/DownloadServlet?help=Certificate&app=oma&vid={VID}&file={file}

参数说明：

• {VID}：虚拟实例ID
• file：要读取的文件路径

5.2 利用步骤

1. 获取有效的VID（可通过信息收集获得）
2. 构造恶意请求，在file参数中指定目标文件路径
3. 发送请求获取文件内容

6. 漏洞修复建议

1. 升级到不受影响的OMSA版本
2. 临时缓解措施：
   • 限制对DownloadServlet的访问
   • 加强文件路径验证
   • 实施严格的权限检查

7. 参考链接

原始漏洞报告