Ivanti的隐藏后门:意外还是故意?

阅读量31034

发布时间 : 2024-02-21 10:47:40

该漏洞自 2014 年以来一直未被发现,允许通过 cookie 攻击设备。

两年前被披露的 Ivanti 漏洞,由于其神秘的起源,至今仍引起专家们的关注。

这是 Ivanti EPM 云服务设备 (CSA) 中的 代码注入漏洞 CVE-2021-44529 (CVSS 评分:9.8),允许未经身份验证的攻击者以有限的权限(“无人”权限级别)执行任意代码。继2021年发现该漏洞后 ,Ivanti发布了安全公告 ,指出该漏洞代码位于“/opt/landesk/broker/webroot/lib/csrf-magic.php”,攻击目标为“/client” /index.php”。

在 Bug 猎人和 Viettel 网络安全员工 Tuan Anh Nguyen 在 2020 年提到 csrf-magic 库中存在后门后,人们对该漏洞的兴趣增加了,据他说,该后门不再受支持。在 csrf-magic 中搜索有关后门的更多信息没有得到任何结果,但使用 Way Back Machine 存档使我们能够检测到一个受损文件,该文件的最后一次更改是在 2014 年 2 月进行的。这意味着该漏洞可能多年未被发现。

对代码的进一步 分析 发现了隐藏在混淆代码文件末尾的后门机制。代码反混淆过程显示,为了激活后门,必须满足与用户浏览器 cookie 相关的某些条件。

值得注意的是,代码动态生成一个函数,允许实现基于 cookie 的 RCE,即使 create_function() 在 PHP 8 及更高版本中已被弃用。该漏洞是通过特制的包含 base64 编码的 PHP 代码的 cookie 标头来利用的。要执行攻击,cookie对的数量必须大于3,并且第一对的值必须是“ab”。如果满足这些条件,则解码并执行与计数器值减三相对应的 cookie 中的代码。

问题仍然在于将此类代码添加到软件中的原因:它是测试的残余还是访问硬件的隐藏方法。在 Shodan 上的搜索显示,有超过 2000 台此类设备仍然连接到互联网,其中约 15% 运行着易受攻击的版本。

要进一步提升设备权限,您可以利用 Ivanti CSA 底层 CentOS 操作系统中的CVE-2021-4034漏洞(CVSS 评分:7.8)。利用该错误可以让您获得 root 权限。

正如专家指出的那样,检测和防止利用此类漏洞需要采取综合方法,包括定期扫描系统是否存在漏洞,以及使用现代安全和监控工具。 CVE-2021-44529 的故事是一个引人注目的例子,说明旧漏洞如何长时间未被发现,从而对信息系统的安全造成潜在风险。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66