OpenSSH命令注入漏洞CVE-2020-15778该如何分析

# OpenSSH命令注入漏洞CVE-2020-15778该如何分析

## 漏洞概述

CVE-2020-15778是OpenSSH客户端(scp组件)中存在的一个命令注入漏洞，于2020年7月披露。该漏洞允许攻击者在特定条件下通过精心构造的恶意文件名执行任意命令，影响OpenSSH 8.3p1及之前版本。

## 技术背景

### SCP协议工作机制
SCP(Secure Copy Protocol)基于SSH协议实现文件传输，其工作流程包括：
1. 客户端通过SSH通道建立连接
2. 服务器启动`scp -t`(接收模式)或`scp -f`(发送模式)
3. 通过标准输入/输出传输文件元数据和内容

### 漏洞根源
漏洞存在于scp客户端的**文件名处理逻辑**中。当使用SCP递归复制(`-r`参数)时，客户端会直接将文件名拼接到本地shell命令中执行，未对特殊字符进行过滤。

## 漏洞复现分析

### 攻击场景
假设攻击者控制远程服务器，并创建恶意文件名：
```bash
touch 'malicious_file$(id>exploit).txt'

当受害者执行：

scp -r user@attacker-server:/malicious_dir/ .

实际会执行：

/usr/bin/scp -r -f 'malicious_file$(id>exploit).txt'

关键代码分析

在openssh-portable/scp.c中：

void sink(int argc, char **argv)
{
    /* ... */
    if (recurse) {
        run_err("scp: %s: not a regular file", cp);
        (void) snprintf(cmdbuf, sizeof(cmdbuf),
            "cd %s && exec scp -%scp %s %s",  // 命令拼接点
            cmd, sflag, cmd, src);
        (void) system(cmdbuf);  // 直接执行系统命令
    }
}

影响范围评估

受影响版本

• OpenSSH <= 8.3p1
• 所有使用SCP协议的客户端工具

利用限制

1. 需要攻击者能控制服务器文件名
2. 必须使用递归复制(-r参数)
3. 依赖客户端的shell环境特性

修复方案

官方补丁

OpenSSH 8.3p2通过以下方式修复： 1. 禁用SCP协议中的递归复制功能 2. 推荐使用更安全的sftp或rsync替代

临时缓解措施

# 禁用scp命令别名
unalias scp 2>/dev/null
# 使用完整路径执行
/usr/bin/scp

分析工具推荐

1. 静态分析工具

   • CodeQL: 检测命令注入模式
   • Semgrep: 查找危险函数调用

2. 动态测试工具

   strace -f -e execve scp -r test@localhost:/malicious/ .
   

3. 漏洞验证POC

   # 生成恶意文件名
   open("payload$(touch /tmp/pwned).txt", "w").close()
   

经验总结

1. 永远不要信任用户输入，包括间接输入(如文件名)
2. 系统调用必须进行严格的输入净化
3. 考虑使用白名单机制而非黑名单过滤
4. 最小权限原则：避免使用高权限执行敏感操作

该漏洞再次证明：即使是广泛使用的成熟工具，也可能存在基础安全缺陷。安全研究人员应持续关注协议实现细节，特别关注数据流与控制流的交互点。 “`