Güvenlik Araştırmacıları, Hewlett Packard Enterprise’ın (HPE) Insight Destek (IRS) aracı dahil olmak üzere kritik güvenlik açıkları için Konsept Kanıtı (POC) istismar kodu yayınladılar (CVE-2024-53675) ve bir Path Traversal Kodu (RCE) ve bir Path-2024-53675) ve bir Path Traildal Toop (RCE) (CVE-2024-53676).
Bu kusurlar, V7.14.0.629’dan önce IRS sürümlerini etkiler ve sistemleri keyfi dosya açıklaması ve tam sistem düzeyinde komut yürütmeye maruz bırakır.
Sömürü zincirinin teknik dökümü
Cihaz kaydı iş akışında xxe güvenlik açığı (CVE-2024-53675)
XXE güvenlik açığı, GitHub tarafından yapılan bir rapora göre, uygun belge türü tanımı (DTD) kısıtlamaları olmadan cihaz kaydı sırasında XML girişini işleyen HPE’nin UCacore kitaplığının ValidateAGainStxsd yönteminden kaynaklanır.
Saldırganlar, kötü niyetli XML varlıklarını enjekte ederek bunu kullanabilir.
Aşağıda, C: \ Users \ Yönetici \ Desktop \ Hello.txt’in ilk satırını yaymak için XXE’den yararlanan kısaltılmış bir POC var:
http://www.hp.com/it/sa/reg/Registration/RegisterDevice
&callhome;]]>
Saldırganın bulunduğu maliary.dtd, XML ayrıştırıcısını bir HTTP isteği aracılığıyla dosya içeriğini sızdırmaya zorlar:
">
%eval;
%exfiltrate;RCE’den Yol geçişi (CVE-2024-53676)
RCE güvenlik açığı, DataPackageReCEIverWebSvchelper sınıfının ProcessAtatchmentDatastream yönteminde bulunur.
Bu işlev, /datapackagerceiver/datapackagereVerservice.svc uç noktasına dosya yüklemeleri sırasında eklemeName parametresini uygunsuz bir şekilde doğrular ve dizin geçişini etkinleştirir.
Saldırganlar, sabun istekleri hazırlayarak keyfi dizinlere (örneğin Tomcat Web kökleri) kötü amaçlı JSP dosyalarını yükleyebilir.
xml_body = f"""
../../webapps/ROOT/shell.jsp
{base64.b64encode(malicious_jsp).decode()}
"""Güvenlik açığı, saldırganların kritik sistem dosyalarını geçersiz kılmasına izin vererek ekleme filelasyonunun uygunsuz birleştirilmesinden kaynaklanmaktadır:
String attachmentFileLocation = attachmentFileDirectory + File.separatorChar + attachmentName;
File file = new File(attachmentFileLocation);
file.createNewFile(); // Writes attacker-controlled content to arbitrary pathsXXE’den istismar, birinci hat dosya içeriğini güvenilir bir şekilde sızdırırken, araştırmacılar ayrıştırıcı kısıtlamaları nedeniyle çok satırlı dosyaların alınmasında sınırlamalar kaydetti.
Bununla birlikte, RCE istismarı kritik bir bağımlılıkla karşı karşıyadır: başarılı bir sömürü, saldırganların başka yollarla (örneğin, tokenleri çalmak için xxe’yi zorlama veya kullanma) elde etmesi gereken geçerli bir OOSID (cihaz kayıt jetonu) ve sicilTokenToken gerektirir.
Laboratuvar ortamlarında, kayıtlı olmayan cihazlar, ek işlemeyi durduran hataları tetikledi:
[ERROR] DataPackageReCEiverWebsVchelper: Bu cihaz (OOSID: 93F6… E39) bulunamadı… işleme iptal edildi.
Buna rağmen, geçerli kimlik bilgileri olan saldırganlar (örneğin, tehlikeye atılmış ortak hesaplar) her iki güvenlik açıklarını da şunlara zincirleyebilir.
- XXE üzerinden OOSID/Kayıt
- RCE üzerinden jsp webshells yükleyin
Azaltma ve yama durumu
HPE, IRS v7.14.0.629 ile her iki sorunu da ele aldı:
- XML Validators’ta DTD işlemenin devre dışı bırakılması
- Ekleme adı parametreleri için giriş sanitizasyonunun uygulanması
- Cihaz kaydı iş akışları için kimlik doğrulama kontrolleri ekleme
IRS’yi kullanan kuruluşlar, /deviceRegistration veya /DatApackagerEciver uç noktalarına şüpheli sabun istekleri için hemen yamalı sürüm ve denetim günlüklerine yükseltilmelidir.
Ağ savunucuları, HPE IRS yalnızca dahili kapasitede çalışırsa, bu yollara harici erişimi de engelleyebilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free