该漏洞自 2014 年以来一直未被发现,允许通过 cookie 攻击设备。
两年前被披露的 Ivanti 漏洞,由于其神秘的起源,至今仍引起专家们的关注。
这是 Ivanti EPM 云服务设备 (CSA) 中的 代码注入漏洞 CVE-2021-44529 (CVSS 评分:9.8),允许未经身份验证的攻击者以有限的权限(“无人”权限级别)执行任意代码。继2021年发现该漏洞后 ,Ivanti发布了安全公告 ,指出该漏洞代码位于“/opt/landesk/broker/webroot/lib/csrf-magic.php”,攻击目标为“/client” /index.php”。
在 Bug 猎人和 Viettel 网络安全员工 Tuan Anh Nguyen 在 2020 年提到 csrf-magic 库中存在后门后,人们对该漏洞的兴趣增加了,据他说,该后门不再受支持。在 csrf-magic 中搜索有关后门的更多信息没有得到任何结果,但使用 Way Back Machine 存档使我们能够检测到一个受损文件,该文件的最后一次更改是在 2014 年 2 月进行的。这意味着该漏洞可能多年未被发现。
对代码的进一步 分析 发现了隐藏在混淆代码文件末尾的后门机制。代码反混淆过程显示,为了激活后门,必须满足与用户浏览器 cookie 相关的某些条件。
值得注意的是,代码动态生成一个函数,允许实现基于 cookie 的 RCE,即使 create_function() 在 PHP 8 及更高版本中已被弃用。该漏洞是通过特制的包含 base64 编码的 PHP 代码的 cookie 标头来利用的。要执行攻击,cookie对的数量必须大于3,并且第一对的值必须是“ab”。如果满足这些条件,则解码并执行与计数器值减三相对应的 cookie 中的代码。
问题仍然在于将此类代码添加到软件中的原因:它是测试的残余还是访问硬件的隐藏方法。在 Shodan 上的搜索显示,有超过 2000 台此类设备仍然连接到互联网,其中约 15% 运行着易受攻击的版本。
要进一步提升设备权限,您可以利用 Ivanti CSA 底层 CentOS 操作系统中的CVE-2021-4034漏洞(CVSS 评分:7.8)。利用该错误可以让您获得 root 权限。
正如专家指出的那样,检测和防止利用此类漏洞需要采取综合方法,包括定期扫描系统是否存在漏洞,以及使用现代安全和监控工具。 CVE-2021-44529 的故事是一个引人注目的例子,说明旧漏洞如何长时间未被发现,从而对信息系统的安全造成潜在风险。
发表评论
您还未登录,请先登录。
登录