紧急修补:多个高危漏洞正被积极利用
摘要
在Kudelski安全公司,随着年终临近,我们观察到多个漏洞最近被利用。这包括长期存在的漏洞,如Adobe Commerce(前身为Magento)的CVE-2024-34102(称为“CosmicSting”),以及最近的Cleo文件传输软件漏洞(CVE-2024-50623),还有Windows轻量级目录访问协议(LDAP)的关键CVE-2024-49112。我们的关键信息是快速处理环境中发现的漏洞。请不要让开放的漏洞腐烂,迟早会反噬。这是一年中我们感觉许多漏洞被利用的时候。下面描述的关键CVE并非详尽无遗,因此我们鼓励客户依赖其漏洞管理实践,确保没有明显的漏洞被忽略。
Adobe Commerce的关键漏洞(CVE-2024-34102)–“CosmicSting”
在Adobe Commerce(前身为Magento)中发现了一个关键漏洞,标识为CVE-2024-34102。这个漏洞是称为“CosmicSting”系列的一部分,允许攻击者利用系统反序列化过程中的缺陷,可能导致未经授权访问敏感数据,甚至获得REST API、GraphQL或SOAP接口的管理员级访问权限。因此,攻击者可以在没有适当身份验证的情况下获得应用程序的完全控制。这个漏洞已经在瑞士被积极利用,进一步强调了解决这个问题的紧迫性。
Cleo文件传输软件漏洞的广泛利用(CVE-2024-50623)
Cleo文件传输产品(包括Cleo VLTrader、Cleo Harmony和Cleo LexiCom)中的一个关键漏洞(CVE-2024-50623)已在野外被积极利用。这个缺陷最初于2024年10月披露,导致未经授权的命令执行,可能危及受影响系统的完整性。尽管已为受影响版本(5.8.0.21)发布了补丁,但在高达5.8.0.21的版本中发现了更多漏洞,导致利用升级。
Windows轻量级目录访问协议(LDAP)远程代码执行漏洞(CVE-2024-49112)
在Windows轻量级目录访问协议(LDAP)中发现了一个关键的远程代码执行漏洞(CVE-2024-49112),并作为微软最近补丁星期二的一部分披露。这个漏洞影响运行受影响Windows版本的LDAP客户端和服务器,允许未经身份验证的远程攻击者在LDAP服务的上下文中执行任意代码。
受影响系统和/或应用程序
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Commerce | 2.4.7及更早版本、2.4.6-p5及更早版本、2.4.5-p7及更早版本 | 所有 |
| Magento Open Source | 2.4.4-p8及更早版本、2.4.3-ext-7及更早版本*、2.4.2-ext-7及更早版本*、2.4.7及更早版本、2.4.6-p5及更早版本 | 所有 |
| Adobe Commerce Webhooks Plugin | 2.4.5-p7及更早版本、2.4.4-p8及更早版本、1.2.0至1.4.0 | 手动插件安装 |
Cleo文件传输软件漏洞的广泛利用(CVE-2024-50623)
以下Cleo产品版本易受CVE-2024-50623和新发现的漏洞(CVE待定)影响:
- Cleo Harmony版本5.8.0.24之前
- Cleo VLTrader版本5.8.0.24之前
- Cleo LexiCom版本5.8.0.24之前
Windows轻量级目录访问协议(LDAP)远程代码执行漏洞(CVE-2024-49112)
这个漏洞影响多个Windows操作系统版本,包括但不限于:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows 10(版本21H2、22H2、23H2等)
- Windows 11(版本22H2、23H2、24H2)
受影响版本和相应更新的完整列表包含在微软安全更新表中。
技术细节
Adobe Commerce的关键漏洞(CVE-2024-34102)–“CosmicSting”
CVE-2024-34102源于Adobe Commerce(Magento)REST API中不正确的反序列化机制。这个缺陷特别影响从HTTP请求处理数据的方式,允许攻击者注入恶意负载,绕过安全过滤器,导致远程代码执行或未经授权的访问。
该漏洞是在常规漏洞赏金调查中发现的,攻击者识别了系统处理客户地址数据时的不安全反序列化。这允许攻击者注入恶意XML负载,利用XXE(XML外部实体)攻击读取敏感文件,并最终获得对管理员面板的未经授权访问。
该缺陷存在是因为系统的反序列化逻辑过于灵活,未能将用户控制的数据与系统控制的数据分开,为通过恶意XML负载进行拒绝服务(DoS)和远程代码执行(RCE)创造了机会。
攻击流程:
-
初始发现:
- 攻击者发现Adobe Commerce中的某些REST API端点可以在没有适当身份验证的情况下访问,例如
/V1/guest-carts/:cartId/collect-totals。 - 通过发送精心制作的HTTP请求,攻击者可以在没有身份验证的情况下与系统交互并触发反序列化过程。
- 攻击者发现Adobe Commerce中的某些REST API端点可以在没有适当身份验证的情况下访问,例如
-
反序列化缺陷:
- 在反序列化输入参数(如地址数据)时,攻击者可以注入特殊字符,如XML数据或无效对象类型,这会触发不安全的反序列化行为。
- 这允许攻击者操纵请求,导致执行任意代码或访问敏感系统文件(例如
env.php)。
-
通过XXE攻击利用:
- 攻击者通过将XML外部实体(XXE)负载注入到正在反序列化的数据中来利用XXE漏洞。
- 通过这一点,攻击者能够泄露包含关键信息(如加密密钥)的敏感应用程序配置文件(如
env.php)。
-
权限提升:
- 通过访问
env.php文件和加密密钥,攻击者能够制作JSON Web Token(JWT)以获得管理员级访问权限。 - 这允许攻击者获得对平台的完全管理控制,包括读取和写入敏感客户和系统数据的能力。
- 通过访问
Cleo文件传输软件漏洞的广泛利用(CVE-2024-50623)
关于积极利用的报告于2024年12月9日开始流传。该漏洞允许未经身份验证的攻击者在易受攻击的系统上上传和执行任意bash或PowerShell命令,针对Cleo产品Autorun目录中的缺陷。这是一个关键的安全问题,因为它可以在没有任何身份验证的情况下导致系统完全受损。
Rapid7和Huntress观察到一系列后期利用活动,包括安装模块化后门和枚举系统信息。攻击者还利用用户帐户的NTLM哈希进行横向移动和权限提升,特别是使用“OverPass-The-Hash”技术。其他利用迹象包括执行系统命令,如systeminfo、whoami和nltest,以及可疑的PowerShell命令。
入侵指标(IOC):
-
网络IOC:
- 89.248.172[.]139
- 176.123.10[.]115
- 185.162.128[.]133
- 185.163.204[.]137
- 185.181.230[.]103
- 8.67.51[.]13
- 123.56.49[.]71
-
URL:
- http://8.67.51.13/1338
- http://123.56.49.71/1338
-
后期利用行为:
- 命令:
systeminfo、whoami、wmic logicaldisk get name,size、nltest /domain_trusts - 技术:使用“OverPass-The-Hash”进行横向移动,基于PowerShell的持久性
- 命令:
Windows轻量级目录访问协议(LDAP)远程代码执行漏洞(CVE-2024-49112)
CVE-2024-49112是由处理LDAP请求时的整数溢出问题引起的,可能导致远程代码执行。这个漏洞特别影响通过远程过程调用(RPC)暴露LDAP服务的Windows版本。利用此漏洞的攻击者可以在不需要身份验证的情况下获得对目标系统的控制。
可利用性和攻击场景:
- 域控制器: 攻击者必须发送专门制作的RPC请求,针对域控制器,以触发查找攻击者控制的域。
- LDAP客户端: 攻击者可以欺骗用户或应用程序连接到恶意的LDAP服务器。如果成功,这将允许攻击者在受害者系统上执行任意命令。
缓解措施
Adobe Commerce的关键漏洞(CVE-2024-34102)–“CosmicSting”
-
升级到最新版本:
- 确保您使用的是Adobe Commerce(Magento)的最新版本。Adobe已发布补丁来解决此问题。用户应尽快升级到固定版本以防范此漏洞。
-
应用安全补丁:
- 应用Adobe或第三方安全组织发布的任何可用安全补丁。查看Adobe的官方安全公告,了解如何更新系统的详细说明。
-
API身份验证:
- 禁用或限制匿名API访问。确保所有API端点在允许提交或处理数据之前需要适当的身份验证。
-
限制数据反序列化:
- 审查并收紧反序列化逻辑,确保没有用户控制的数据可以在没有适当验证的情况下反序列化为系统对象。
- 避免处理包含外部实体引用或不可信数据的XML或JSON输入。
Cleo文件传输软件漏洞的广泛利用(CVE-2024-50623)
- 立即行动: 将所有受影响的Cleo产品更新到版本5.8.0.24或更高版本。
- 网络分段: 将易受攻击的Cleo产品从公共互联网中移除,并确保它们位于正确配置的防火墙后面。
- 禁用Autorun目录: 禁用Autorun目录功能,该功能自动处理命令文件,以防止进一步利用。
Windows轻量级目录访问协议(LDAP)远程代码执行漏洞(CVE-2024-49112)
为减轻利用风险:
- 应用安全更新: 确保将微软的最新安全更新应用到受影响的系统。微软已发布针对所有受支持Windows版本的安全更新,以解决CVE-2024-49112。管理员应立即应用更新以保护系统免受潜在利用。请参阅微软安全更新页面以获取详细的补丁安装说明。
- 网络配置: 建议将域控制器配置为:
- 不访问互联网。
- 不允许来自不受信任网络的入站RPC连接。 这种双层方法将通过防止未经授权的连接到LDAP服务来降低利用风险。
- 防火墙规则: 限制对通过SSL(RPC和LDAP)的LDAP服务的访问,确保只有受信任的内部网络可以与域控制器通信。
网络融合中心正在做什么
CFC将继续监控情况,并在需要时发送公告更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即收到范围内发现关键漏洞的相关结果。
参考文献
- Magento漏洞
- Cleo产品安全公告–CVE-2024-50623–Cleo
- Cleo文件传输软件的广泛利用(CVE-2024-50623)| Rapid7博客
- CVE-2024-49112–安全更新指南–微软–Windows轻量级目录访问协议(LDAP)远程代码执行漏洞