2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。此次漏洞的利用主要是ColdFusion服务器的两方面的缺陷造成的:一、服务器存在未授权任意文件上传。攻击者在未授权的情况下只要构造出POST上传包发送到特定页面就可以上传任意文件,这个问题即使在打了补丁后也存在(只是不能再上传jsp脚本);二、服务器的上传文件后缀黑名单没有把jsp写入。这导致jsp文件可直接在服务器被解析执行,配合菜刀使用可达到远程命令执行。而且经过测试,木马脚本的运行权限都是system,这导致服务器完全陷入黑客手中,面临僵尸网络和挖矿等安全风险。预计在未来一段时间,该漏洞预计会对Adobe的服务器市场造成一定的冲击。
Adobe ColdFusion在全球占据大量市场
Adobe ColdFusion从几年前开始就不断爆出高危安全问题,很多都是反序列化和任意命令执行漏洞,每次Adobe ColdFusion发布的补丁都会引起安全界的大量关注,整个程序的安全修复任重道远。
2016年就爆出Adobe ColdFusion高危漏洞
概况
Adobe ColdFusion是美国Adobe公司在1995年开发的一个动态Web服务器,最初是为了创建能与数据库连接的网站而开发的,后来成为了一个全面的开发平台,包括一个集成好的开发环境以及针对Web应用的程序设计的CFML脚本语言。CFML在功能和用途上与PHP、ASP和JSP类似,但它的标签语法更像HTML,其脚本代码也像ja vasc ript。除CFML之外ColdFusion也支持其它编程语言,比如服务器端的Actionsc ript。
目前FOFA系统最新数据(一年内数据)显示全球范围内共有173036个Adobe ColdFusion对外开放服务。美国使用数量最多,共有61973台,英国第二,共有11601台,越南第三,共有9458台,德国第四,共有8297台,澳大利亚第五,共有7714台。
全球范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)
中国大陆地区浙江省使用用数量最多,共有1075台;北京市第二,共有992台,广东省第三,共有699台,上海市第四,共有183台,江苏省第五,共有127台。
中国大陆范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)
危害等级
严重
漏洞原理
CVE-2018-15961
ColdFusion由于使用了CKEditor富文本编辑器代替了FCKEditor编辑器,导致了一个可绕过文件后缀验证的文件上传漏洞。在settings.cfm里,禁止上传的文件后缀有cfc,exe,php,asp,cfm,cfml。但没有禁止jsp文件,并且coldfusion支持解析jsp文件,导致可以上传jsp木马来getshell
默认禁止上传的文件类型
攻击者只要构造POST的文件上传包,发送HTTP请求到/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm,就可以实现任意文件上传。
当时上传成功时,文件会保存在默认的文件夹/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/
在成功上传一个webshell之后,连接菜刀
漏洞影响
目前漏洞影响版本号包括:
Adobe ColdFusion 2016.0 Update 6 Adobe ColdFusion 2016.0 Update 5 Adobe ColdFusion 2016.0 Update 4 Adobe ColdFusion 2016.0 Update 3 Adobe ColdFusion 2016.0 Update 2 Adobe ColdFusion 2016.0 Update 1 Adobe ColdFusion 2018.0.0.310739 Adobe ColdFusion 11 Update 9 Adobe ColdFusion 11 Update 8 Adobe ColdFusion 11 Update 7 Adobe ColdFusion 11 Update 6 Adobe ColdFusion 11 Update 5 Adobe ColdFusion 11 Update 4 Adobe ColdFusion 11 Update 3 Adobe ColdFusion 11 Update 2 Adobe ColdFusion 11 Update 14 Adobe ColdFusion 11 Update 13 Adobe ColdFusion 11 Update 12 Adobe ColdFusion 11 Update 11 Adobe ColdFusion 11 Update 10 Adobe ColdFusion 11 Update 1
漏洞POC
目前FOFA客户端平台已经更新CVE-2018-15961的检测POC。
CVE-2018-15961 POC截图
在研究过程中发现新版的系统还是存在文件的未授权上传,黑客有可能通过大量文件的上传对服务器进行Dos攻击。
CVE编号
CVE-2018-15961
修复建议
1、该漏洞补丁早已发出,用户可以关注通过https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html
获取漏洞补丁。
2、通过防火墙等设置限制公网ip对Web的访问,只允许本地访问。
白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接:https://nosec.org/home/detail/1958.html
参考
[1] https://www.securityfocus.com/bid/105314
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961
[3] https://zh.wikipedia.org/wiki/Adobe_ColdFusion
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
发表评论
您还未登录,请先登录。
登录