JM00NJ/HPE-Aruba-AOS8-Vulnerabilities

# 详细分析来源 https://netacoding.com/posts/ghost-leak/ https://netacoding.com/posts/smurf-reflection/ https://netacoding.com/posts/xxe-ssrf/ # HPE-Aruba-AOS8-Vulnerabilities ArubaOS 8.13.2.0 预认证攻击面研究。XXE+SSRF、ICMP 反射、缓冲区过读、硬编码凭证 — 全部提交至 HPE Bugcrowd，被标记为 N/A。未发布任何修复。 # ArubaOS 8.13.2.0 安全研究 **研究员：** Vesqer / JM00NJ **博客：** [netacoding.com](https://netacoding.com) **目标：** HPE Aruba Networking Wireless — AOS-8 Controller **版本：** ArubaOS 8.13.2.0 LSR (Build 95415, compiled 2026-03-25) **型号：** ArubaMC-VA-US **项目：** HPE Networking Product Public Program (Bugcrowd) **研究周期：** 2026 年 5 月至 6 月 ## 概述 本仓库记录了作为 Bugcrowd 上的 HPE Networking Bug Bounty Program 一部分，针对 ArubaOS 8.13.2.0 LSR 进行的安全研究。所有研究均在授权的实验室实例（ArubaMC-VA-US 虚拟机）上进行，使用了该项目在官方固件链接提供的固件映像和 OVA。 共发现并提交了六个漏洞。这些发现涵盖 ICMP IP 栈、XML 管理接口（端口 32000）以及 FTP 服务（端口 21）。所有测试均为预认证状态 — 此处记录的任何发现均未使用管理员凭证或活动会话。 ## 发现 | # | 标题 | 提交编号 | CWE | CVSS | 状态 | |---|-------|------------|-----|------|--------| | 1 | [预认证 XXE → HTTP SSRF](01-xxe-http-ssrf/writeup.md) | 9e946ca3 | CWE-611 | 9.3 Critical | N/A — RaR 过期未答复 | | 2 | [ICMP 反射 + Smurf](02-smurf-reflection/writeup.md) | 09e49fa1 | CWE-290, CWE-406 | 7.4 High | N/A — RaR 处理中 | | 3 | [Ghost Leak](03-ghost-leak/writeup.md) | c5eda0ae | CWE-126, CWE-1284, CWE-354 | 6.5 Medium | N/A — RaR 已提交 | | 4 | 预认证 XXE → 通过 RETR 实现 FTP SSRF | 0c716fec | CWE-611 | — | 等待外部审查 | | 5 | 硬编码 FTP 凭证 (CWE-798) | d13d0e83 | CWE-798, CWE-125 | — | 活跃 — 等待供应商响应 | | 6 | ICMP 载荷中继 — 无 DPI | b5727197 | CWE-20, CWE-693 | — | N/A | 发现 4 和 5 在通过活跃的披露渠道解决之前，未在此处发布。 ## 攻击面 所有记录的发现均为预认证状态。攻击面由三个组件组成： ``` ArubaOS 8.13.2.0 LSR │ ├── Port 32000/TCP XML Management Interface │ ├── [1] Pre-auth XXE → HTTP SSRF (9e946ca3) │ └── [4] Pre-auth XXE → FTP SSRF (0c716fec) [pending] │ ├── IP/ICMP Stack │ ├── [2] ICMP Reflection + Smurf (09e49fa1) │ ├── [3] Ghost Leak — IP Length over-read (c5eda0ae) │ └── [6] ICMP Payload Relay / Zero DPI (b5727197) │ └── Port 21/TCP FTP Service (vsftpd) └── [5] Hardcoded credential sap:x (d13d0e83) [pending] ``` ## 技术摘要 ### 发现 1 — 预认证 XXE → HTTP SSRF 端口 32000 上的 XML 解析器在未经身份验证的情况下解析 `SYSTEM` 外部实体声明。通过以下方式确认： - 线路级别的数据包捕获：由控制器向攻击者基础设施发起的 `GET /test HTTP/1.0` - 目标系统自身的 sshd 日志：`Bad protocol version identification 'GET / HTTP/1.0' from 127.0.0.1` — 由控制器自身记录的 SSRF 执行服务端证据 - 从攻击者的 HTTP 服务器独立获取了 3 次外部 DTD - 通过 `

success

` 的 SSRF 响应确认了 9 个内部端口处于开放状态 分类响应：*"理论上的 / 无有效 PoC"* — 在提供了包括 sshd 日志在内的四项证据后仍未得到解决。首次 RaR 在未获回复的情况下过期。 ### 发现 2 — ICMP 反射 + Smurf 放大 ICMP Echo 处理程序不根据 ARP 表绑定验证源 IP 地址，也不应用反向路径过滤（BCP38/uRPF）。伪造的 ICMP Echo Request 会导致控制器向伪造的源地址发送主动回复。广播源地址导致控制器向 `ff:ff:ff:ff:ff:ff` 回复，将回复发送给 L2 网段上的所有主机。 证据：来自两台物理隔离的机器的两份独立数据包捕获。受害者端的捕获显示，在一台未发送任何 ICMP 请求的主机上出现了主动的 Echo Reply。 分类响应：*"预期的网络功能"* — 受害者端的 pcap 未被处理。 ### 发现 3 — Ghost Leak (TTL=0 + IP 总长度过读) ICMP Echo 处理程序信任 `IP_Total_Length`，而不根据实际接收到的帧大小进行验证。发送 `IP_Total_Length=46` 但实际 IP 数据为 28 字节时，会导致处理程序从网络接收缓冲区中读取超出数据包边界 18 字节的内容，并将这些字节包含在回复中回显。 该攻击使用 `TTL=0` 数据包（RFC 791 强制要求丢弃），使其对路由器、IDS、防火墙和日志系统不可见。27/27 个精心构造的 TTL=0 数据包均收到回复 — 100% 的响应率。 与 CVE-2003-0001 (EtherLeak) 和 CVE-2021-3031 (Palo Alto PAN-OS) 机制相同，这两者均被其各自的供应商所接受。 分类响应：*"只有被置零的字节"* — 将 VirtualBox 虚拟网卡干净的填充特性归结为不存在漏洞。 ## 固件分析 作为对发现 5（未在此发布）研究的一部分，对通过 FTP 服务分发的 AP 固件映像进行了逆向工程。以下是对所有四个固件映像进行静态分析的主要发现： **固件格式：** Aruba Image Container (`.ari`) — 采用 LZMA 压缩，未加密。主体使用代码签名（X.509）而非机密性加密。 **涵盖的 AP 平台：** | 文件 | 平台 | SoC | 架构 | 内核 | AP 型号 | |------|----------|-----|------|--------|-----------| | ipq40xx.ari | 30x | Qualcomm IPQ40xx | ARM32 Cortex-A7 | Linux 3.12.19-rt30 | AP-303/303H/303P/304/305/365/367 | | ipq806x.ari | 32x | Qualcomm IPQ806x | ARM32 Cortex-A7 | Linux 3.12.19-rt30 | IPQ806x 系列 | | arm64.ari | 51x | Broadcom BCM94908 | ARM64 Cortex-A53 | Linux 4.1.45 | ARM64 AP 系列 | | ipq807x.ari | 53x | Qualcomm IPQ8074 | ARM64 Cortex-A53 | Linux 4.1.45 | AP-534/535/555/584/587 | **重要固件发现：** - 所有四个固件映像在文件末尾都包含明文 X.509 DER 证书，由 *Aruba Networks Code Signing CA1* 签名，其 Subject CN 格式为 `ARUBA-PROD-{SERIAL}::{MAC}`，嵌入了真实的生产 AP MAC 地址 - 相同的两份证书出现在所有四个固件平台中（跨平台身份重用） - Linux 3.12.19 (ARM32 APs) — 自 2014 年起已 EOL。Linux 4.1.45 (ARM64 APs) — 自约 2022 年起已 EOL - `arm64.ari` 包含 `/dev/tpm-cert` (TPM 芯片)、MACsec 硬件 (EIP-62/EIP-217)、`gponPassword` 函数 - 固件字符串中暴露了内部 AP 代号：`Glenmorangie` (AP-304/305)、`Aberlour` (AP-303H)、`Bunker` (AP-365/367)、`Aultmore` (AP-555)、`Hendricks` (AP-58x) - 暴露了构建服务器的主机名：`jenkins@c96556966d48`、`jenkins@317fcb08bd82`、`jenkins@aec499ab9b0f`、`jenkins@352b80449f0a` ## 时间线 | 日期 | 事件 | |------|-------| | 2026 年 5 月 6 日 | 提交 XXE → HTTP SSRF (9e946ca3) | | 2026 年 5 月 7 日 | 提交 XXE → FTP SSRF (0c716fec) | | 2026 年 5 月 10 日 | 9e946ca3 被关闭为 N/A — "理论上的" | | 2026 年 5 月 14 日 | 提交硬编码 FTP 凭证 (d13d0e83) | | 2026 年 5 月 15 日 | 提交 Smurf/反射 (09e49fa1) | | 2026 年 5 月 15 日 | 提交 Ghost Leak (c5eda0ae) | | 2026 年 5 月 15 日 | 提交 ICMP DPI 中继 (b5727197) | | 2026 年 5 月 19 日 | d13d0e83 转交至 HPE 安全团队 | | 2026 年 5 月 11 日 | 提交关于 9e946ca3 的 RaR | | 2026 年 5 月 21 日 | 关于 9e946ca3 的正式 RaR 回复 — 引用了全部 4 项证据 | | 2026 年 5 月 27 日 | **关于 9e946ca3 的 RaR 在未获回复的情况下过期** | | 2026 年 5 月 28 日 | 提交关于 9e946ca3 的第二次也是最终的 RaR | | 2026 年 6 月 1 日 | 09e49fa1、c5eda0ae、b5727197 在同一天均被关闭为 N/A | | 2026 年 6 月 1 日 | 提交关于 09e49fa1 和 c5eda0ae 的 RaR | | 2026 年 6 月 1 日 | 对研究员放置了关于 d13d0e83 的阻碍 | | 2026 年 5 月 31 日 | 研究员正式结束了在 Bugcrowd 上关于 9e946ca3 的披露 | ## 关于分类模式的说明 六项提交中有五项收到了 N/A 的回复。唯一一项进入供应商审查的提交 (d13d0e83) 是具有最直接影响演示的一项（凭证 → 文件下载）。其余五项 — 包括线路级别的 pcap 证据、服务端 daemon 日志以及直接的 CVE 先例引用 — 均在分类阶段被关闭。 在发现 1 的情况中，首次请求响应（RaR）在未获任何回复的情况下过期。在发现 2、3 和 6 的情况中，分类回复并未针对所提交的具体证据进行处理。在任何情况下，分类的关闭操作都未在技术上与所附证据达成一致。 邀请安全社区审阅各个详细报告并形成自己的评估。 ## 负责任的披露 在发布之前，所有发现均已提交至 Bugcrowd 上的 HPE Networking Product Public Program。该项目已将发现 1、2、3 和 6 归类为非漏洞。发现 4 和 5 仍处于活跃披露阶段，未在此发布。 *Vesqer / JM00NJ — netacoding.com — github.com/JM00NJ*

标签：ArubaOS, CISA项目, rizin, SSRF, XXE, 漏洞披露, 网络设备, 逆向工具