最后更新于2023年12月27日(星期三)14:49:07 GMT
在2023年8月,Rapid7在红木软件的 JSCAPE管辖 安全托管文件传输产品. 该漏洞后来被命名为CVE-2023-4528. 可以通过向管理器服务端口发送xml编码的Java对象来利用它, which, 默认情况下, 是TCP端口10880(通过SSL). 成功的开发可以运行任意Java代码作为 root Linux或 SYSTEM Windows用户. 如果攻击者具有对管理端口的网络级访问并且启用了管理器服务(这是默认值),则CVE-2023-4528是微不足道的。. 我们强烈建议关闭服务器(或禁用管理器服务),直到它可以修补.
产品描述
CVE-2023-4528影响2023版本之前的所有JSCAPE管辖服务器版本.1.支持所有平台(Windows、Linux和MacOS). See the JSCAPE咨询 了解更多信息.
发现者
这个问题是由Rapid7的罗恩Bowes发现的. 这是根据Rapid7的规定披露的 漏洞披露策略.
供应商声明
CVE-2023-4528已在JSCAPE 2023版本中得到解决.1.9,现在可用于客户部署. JSCAPE的客户已经得到通知,我们的支持团队全天候提供帮助. 红木感谢与Rapid7和我们的网络安全合作伙伴的合作. 如需更多资料,请参阅: http://www.jscape.com/blog/binary-management-service-patch-cve-2023-4528
Impact
成功的开发执行任意Java代码作为Linux root 或Windows SYSTEM user. 最可能的攻击向量将运行Java代码,例如 java.lang.Runtime.getRuntime ().exec("...shell命令...");, 但也可以创建仅java负载以避免执行另一个进程(因此不容易被检测到)。.
一旦攻击者在该级别执行代码,他们就完全控制了系统. 他们可以窃取数据, 转向攻击其他网络设备, 清除入侵的证据, 建立持久性, 以及他们选择的任何东西. Notably, 似乎很少有(如果有的话)JSCAPE管辖 Server的实例将其管理端口公开到internet, 这将显著降低攻击者到达受影响服务的能力.
妥协指标
成功的利用将在日志文件中显示出来. Windows日志文件为 C:\program files\MFT Server\var\log\server0.log,而Linux是 / opt / mft_server / var / log / server0.log. 应该特别调查任何引用“管理连接”的警告或错误消息, 类强制转换异常,例如:
08.22.2023 15:56:51[警告]管理连接错误:[10.0.0.77:10880 <-> 10.0.0.227:40085].
com.jscape.util.net.连接.连接ConnectionException美元:类java.lang.运行时不能强制转换为类com.jscape.inet.mftserver.adapter.管理.协议.消息.消息(java.lang.运行时在java模块中.base of loader 'bootstrap'; com.jscape.inet.mftserver.adapter.管理.协议.消息.消息在加载器'app'的未命名模块中)
at com.jscape.util.net.连接.连接ConnectionException美元.包装(未知来源)
at com.jscape.util.net.连接.SyncMessageConnectionSyncRawBase.读(未知源)
at com.jscape.util.net.连接.AsyncMessageConnectionSyncRawBase.readNextMessage(未知来源)
at com.jscape.util.net.连接.AsyncMessageConnectionSyncRawBase.运行(未知源)
at java.基地/ java.util.并发.执行人RunnableAdapter美元.调用(执行人.java: 539)
at java.基地/ java.util.并发.FutureTask.运行(FutureTask.java: 264)
at java.基地/ java.util.并发.ThreadPoolExecutor.runWorker (ThreadPoolExecutor.java: 1136)
at java.基地/ java.util.并发.美元ThreadPoolExecutor工人.运行(ThreadPoolExecutor.java: 635)
at java.基地/ java.lang.Thread.(线程运行.java: 833)
原因:java.io.IOException:类java.lang.运行时不能强制转换为类com.jscape.inet.mftserver.adapter.管理.协议.消息.消息(java.lang.运行时在java模块中.base of loader 'bootstrap'; com.jscape.inet.mftserver.adapter.管理.协议.消息.消息在加载器'app'的未命名模块中)
at com.jscape.util.at.b(未知源)
at com.jscape.util.az.(未知源)
at com.jscape.inet.mftserver.adapter.管理.协议.a.(未知源)
at com.jscape.inet.mftserver.adapter.管理.协议.a.读(未知源)
... 8 more
原因:java.lang.ClassCastException: java类.lang.运行时不能强制转换为类com.jscape.inet.mftserver.adapter.管理.协议.消息.消息(java.lang.运行时在java模块中.base of loader 'bootstrap'; com.jscape.inet.mftserver.adapter.管理.协议.消息.消息在加载器'app'的未命名模块中)
... 10 more
服务器期望 Message 类,并且该漏洞会发送一个不同的类,例如 java.lang.Runtime,该操作失败并创建一条错误消息.
请注意,在日志文件中,编写得更巧妙的漏洞可能没有这么明显.
修复
Rapid7建议JSCAPE管辖 Server客户立即将其MFT Server实例升级到2023版本.1.来自红木软件公司的升级文档 here).
JSCAPE管辖客户还应该关闭端口10880到公共internet, 确保阻止外部/公共访问JSCAPE命令行实用程序使用的二进制管理服务端口(通常为10880). Settings for this port can be found in the administrative interface under Settings > 管理器服务 > 管理器服务.
作为应用补丁之前的临时缓解, 管理员可以阻止对管理服务的访问. 在配置页面(http://(服务器):11880 /设置/设置),要么改变 Host/IP 选项 管理器服务 page to 127.0.0.1. 另外,在 Access 选项卡,设置IP过滤器(或阻止所有IP地址). Rapid7验证了这两种选择都有效.
有关更多信息,请参阅Redwood Software的 advisory.
Rapid7客户
InsightVM和expose客户可以使用9月7日发布的漏洞检查来评估他们对CVE-2023-4528的暴露情况.
时间轴
- 2023年8月22日: Rapid7发现漏洞
- 2023年8月23日: Rapid7向Redwood Software报告该漏洞
- 2023年8月24日- 2023年9月6日 Rapid7和红木软件讨论补丁和披露时间表
- 2023年9月7日: 这种披露
