漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

栏目: 编程工具 · 发布时间: 5年前

内容简介:2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。此次漏洞的利用主要是ColdFusion服务器的两方面的缺陷造成的:一、服务器存在未授权任意文件上传。攻击者在未授权的情况下只要构造出POST上传包发送到特定页面就可以上传任意文件,这个问题即使在打了补丁后也存在(只是不能再上传jsp脚本);二、服务器的上传文件后缀黑名单没有把

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。此次漏洞的利用主要是ColdFusion服务器的两方面的缺陷造成的:一、服务器存在未授权任意文件上传。攻击者在未授权的情况下只要构造出POST上传包发送到特定页面就可以上传任意文件,这个问题即使在打了补丁后也存在(只是不能再上传jsp脚本);二、服务器的上传文件后缀黑名单没有把jsp写入。这导致jsp文件可直接在服务器被解析执行,配合菜刀使用可达到远程命令执行。而且经过测试,木马脚本的运行权限都是system,这导致服务器完全陷入黑客手中,面临僵尸网络和挖矿等安全风险。预计在未来一段时间,该漏洞预计会对Adobe的服务器市场造成一定的冲击。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

Adobe ColdFusion在全球占据大量市场

Adobe ColdFusion从几年前开始就不断爆出高危安全问题,很多都是反序列化和任意命令执行漏洞,每次Adobe ColdFusion发布的补丁都会引起安全界的大量关注,整个程序的安全修复任重道远。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

2016年就爆出Adobe ColdFusion高危漏洞

概况

Adobe ColdFusion是美国Adobe公司在1995年开发的一个动态Web服务器,最初是为了创建能与数据库连接的网站而开发的,后来成为了一个全面的开发平台,包括一个集成好的开发环境以及针对Web应用的程序设计的CFML脚本语言。CFML在功能和用途上与 PHP 、ASP和JSP类似,但它的标签语法更像HTML,其脚本代码也像ja vasc ript。除CFML之外ColdFusion也支持其它编程语言,比如服务器端的Actionsc ript。

目前FOFA系统最新数据(一年内数据)显示全球范围内共有173036个Adobe ColdFusion对外开放服务。美国使用数量最多,共有61973台,英国第二,共有11601台,越南第三,共有9458台,德国第四,共有8297台,澳大利亚第五,共有7714台。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

全球范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)

中国大陆地区浙江省使用用数量最多,共有1075台;北京市第二,共有992台,广东省第三,共有699台,上海市第四,共有183台,江苏省第五,共有127台。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

中国大陆范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)

危害等级

严重

漏洞原理

CVE-2018-15961

ColdFusion由于使用了CKEditor富文本编辑器代替了FCKEditor编辑器,导致了一个可绕过文件后缀验证的文件上传漏洞。在settings.cfm里,禁止上传的文件后缀有cfc,exe,php,asp,cfm,cfml。但没有禁止jsp文件,并且coldfusion支持解析jsp文件,导致可以上传jsp木马来getshell

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

默认禁止上传的文件类型

攻击者只要构造POST的文件上传包,发送HTTP请求到/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm,就可以实现任意文件上传。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

当时上传成功时,文件会保存在默认的文件夹/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

在成功上传一个webshell之后,连接菜刀

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

漏洞影响

目前漏洞影响版本号包括:

Adobe ColdFusion 2016.0 Update 6
Adobe ColdFusion 2016.0 Update 5
Adobe ColdFusion 2016.0 Update 4
Adobe ColdFusion 2016.0 Update 3
Adobe ColdFusion 2016.0 Update 2
Adobe ColdFusion 2016.0 Update 1
Adobe ColdFusion 2018.0.0.310739
Adobe ColdFusion 11 Update 9
Adobe ColdFusion 11 Update 8
Adobe ColdFusion 11 Update 7
Adobe ColdFusion 11 Update 6
Adobe ColdFusion 11 Update 5
Adobe ColdFusion 11 Update 4
Adobe ColdFusion 11 Update 3
Adobe ColdFusion 11 Update 2
Adobe ColdFusion 11 Update 14
Adobe ColdFusion 11 Update 13
Adobe ColdFusion 11 Update 12
Adobe ColdFusion 11 Update 11
Adobe ColdFusion 11 Update 10
Adobe ColdFusion 11 Update 1

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-15961的检测POC。

漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

CVE-2018-15961 POC截图

在研究过程中发现新版的系统还是存在文件的未授权上传,黑客有可能通过大量文件的上传对服务器进行Dos攻击。

CVE编号

CVE-2018-15961

修复建议

1、该漏洞补丁早已发出,用户可以关注通过 https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html

获取漏洞补丁。

2、通过防火墙等设置限制公网ip对Web的访问,只允许本地访问。

白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接: https://nosec.org/home/detail/1958.html

参考

[1] https://www.securityfocus.com/bid/105314

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961

[3] https://zh.wikipedia.org/wiki/Adobe_ColdFusion

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。


以上所述就是小编给大家介绍的《漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Text Algorithms

Text Algorithms

Maxime Crochemore、Wojciech Rytter / Oxford University Press / 1994

This much-needed book on the design of algorithms and data structures for text processing emphasizes both theoretical foundations and practical applications. It is intended to serve both as a textbook......一起来看看 《Text Algorithms》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具