葡京游戏平台

漏洞病毒
当前位置: 葡京游戏 >> 信息安全 >> 漏洞病毒 >> 正文
ColdFusion远程执行漏洞.docx
发布时间:2018年09月03日 14:38  点击:[]

首先,事件背景

ColdFusion是Adobe拥有的动态Web服务器。它的CFML(ColdFusionMarkup Language)是一种类似于JSP中的JSTL(JSPStandard Tag Lib)的编程语言。它自1995年开发以来,其设计理念被一些人考虑。非常先进,借用了一些语言。

今年6月,国家信息安全漏洞共享平台(CNVD)包括Adobe ColdFusion远程执行代码漏洞(CNVD-2018-11802,对应于CVE-2018-4939)。 Adobe ColdFusion有一个反序列化漏洞,允许攻击者利用漏洞执行任意代码。最近,利用互联网发布了对此漏洞的利用,如果使用它,后果将非常严重。

相关链接如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11802

二,漏洞复发

方法一:利用ysoserial(java反序列化工具)

894441BBAC0C12B8CFAB6B22367_D6BA4331_5315.jpg

上述RMI客户端程序的演示,它从RMI注册表服务检索ColdFusion DataServicesCFProxy对象,然后使用null参数远程调用count()方法。

count()方法的第二个参数是java.lang.Object数组,这意味着可以在此参数中提供任何对象,并且它们将在服务器上反序列化。任何有效负载对象都可以由ysoserial生成并传递给count()方法,但服务器将报告错误,因为serialVersionUID字段不匹配。此时,我们可以通过关注ColdFusion安装目录中的“libs/rome-cf.jar”来重建ysoserial。重写的程序将根据我们的传入域名,端口和命令生成并传送有效负载。如下图所示:

A35CAF16194E21BC46980EEA600_983BECBD_4F3E.jpg

方法二:利用BaRMIe(枚举和攻击JavaRMI(远程方法调用)服务的工具)

远程方法调用涉及两个网络服务和两个不同的网络连接。一个网络用于RMI注册服务,另一个网络用于与对象本身通信。在两个网络连接中构建代理框架,它的工作方式如下:1。启动RMI注册代理,将代理转发到目标RMI注册表

2.使用RMI注册表代理的主机和端口而不是RMI注册服务的主机和端口调用LocateRegistry.getRegistry()

3.通过RMI注册表代理调用Registry.lookup()(用于将请求转发到真正的RMI注册表服务)以检索远程对象引用

4.当RMI注册表代理检测到返回的远程对象引用时:

答:它启动RMI方法代理以将连接转发到真正的RMI对象服务

B.它修改远程对象引用以指向新的RMI方法代理而不是真正的RMI对象服务

5.在远程对象引用上调用方法时,连接是RMI方法代理

使用RMI方法代理,您可以使用占位符参数而不是有效负载对象以正常方式调用远程方法。当方法代理检测到表示占位符对象的字节时,它可以用表示任何反序列化有效负载的字节流替换该字节

通过代理,可以实现完整的控制协议,并且一些Java虚拟机否则将阻止允许操作。

三,漏洞分析和危害

1) 漏洞分析

5E98DDF1EBDF3840C22F468E664_4C91B9CF_42BA.jpg

上图显示了ColdFusion安装目录中“libs /cfusion.jar”文件中的coldfusion.flex.rmi.DataServicesCFProxy。

在此方法中,您可以使用任何参数调用并与此RMI服务交互而无需身份验证。然后,任何人都可以提供任意Java对象来尝试利用Java反序列化攻击。

2) 漏洞危害

远程攻击者可以利用此漏洞在应用程序上下文中执行任意代码,获取敏感信息或通过执行任意命令获取服务器权限。反序列化漏洞网络中有开源漏洞利用脚本。从一开始,您只能命令执行和弹跳shell。后来,有回显的命令执行。对于最终的代码执行,使用它们越来越方便。它是有害的,具有广泛的影响。

四,数据分析

1) 世界分布

全球使用Adobe ColdFusion的服务器数量约为63,000台。前五大国家是:中国,美国,澳大利亚,日本和加拿大。

下图显示了全球使用Adobe ColdFusion的服务器分布:

BB6BD49EF9787F326746DA47674_4345BBAE_18582.png

图1,世界分布图

下图显示了使用Adobe ColdFusion的世界排名前10位的国家/地区:

FBCDDA4EB0B1B81E51B26C3E663_8799943B_4E7A.png

图2.世界统计数据中的前十名

2) 国内分布

在中国使用Adobe ColdFusion的服务器数量约为27,000台。其中,前五个省或地区分别是:广东省,香港特别行政区,北京,台湾省和浙江省。

下图显示了在中国使用Adobe ColdFusion的服务器分布:

ECE25C279C3525107CB747E612C_E2881167_29191.png

图3,国内分布图

下图显示了在中国使用Adobe ColdFusion的十大省份或地区:

14E35514B44C82130B80983B5E7_31DC3A81_56B6.png

图4,国内统计数字前十名

下图显示了使用Adobe ColdFusion的服务器的国内运营商排名:

1FAFBFEBC8D48DC0C8B6965F3FF_63B25456_5CE4.png

图5,国内十大运营商

五,预防建议

1)  漏洞版本

Adobe ColdFusion(2016年发布)<=Update 5

Adobe ColdFusion 11<=Update 13

2) 漏洞修复建议(或缓解措施):

目前,供应商已发布升级补丁以修复此安全问题。相关链接如下:

https://helpx.adobe.com/security/products/coldfusion/apsb18-14.html

下一条:WebLogic漏洞

关闭

办公地点:图书馆204、207;办公时间:周一至周五 8:00-11:30 14:30-17:30;
*办理个人业务请携带本人身份证件
0535-6903622(内线63622)网络故障
0535-6903644(内线63644)信息服务
0535-6885632(内线65632)一卡通
办公电话:
版权所有 山东葡京游戏平台工商学院 葡京游戏平台