【原创0day】GeoServer后台文件上传致远程代码执行漏洞
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。
2024年3月,互联网上披露GeoServer存在后台文件上传漏洞(CVE-2023-51444),通过身份验证的攻击者可利用该漏洞获取服务器控制权限。由于该系统弱口令使用情况较为广泛,建议受影响的客户尽快修复漏洞。
漏洞描述
Description
0****1
漏洞成因
漏洞主要源于其后台文件上传功能的安全缺陷,服务器未能正确验证和过滤上传文件的路径。这个安全缺陷允许经过身份验证的攻击者可以使用上传功能将恶意脚本上传到任意目录,从而获取权限。
利用特征
从流量层面来看,该漏洞可能利用目录穿越技巧,因此在网络流量中可能会出现"../"等目录穿越的标志。攻击者的利用行为可能表现为异常的HTTP POST请求内容。监控方案可以专注于对HTTP POST请求中上传内容的检测与过滤,以识别和阻止恶意利用行为。
漏洞影响
-
权限提升:攻击者能够在服务器上的任意位置上传覆盖文件,这可能用于篡改现有的GeoServer安全文件获取更高的管理员权限。
-
代码执行:通过上传特定的脚本或执行文件,攻击者可能获得服务器的进一步控制权。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。
影响版本
Affected Version
0****2
GeoServer < 2.23.4
2.24.0 <= GeoServer < 2.24.1
解决方案
Solution
03
临时缓解方案
1. 安装后及时修改默认密码,不要使用任何弱口令。
2. 使用防护设备进行防护,针对参数中包含"../"等攻击特征的数据包进行拦截。
3. 如非必要,不要将受影响系统放置在公网上。或通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
升级修复方案
官方已发布新版本修复漏洞,建议尽快访问官方github页面(https://github.com/geoserver/geoserver/)获取2.23.4或2.24.1及以上的版本修复漏洞。
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别。
雷池:默认支持检测该漏洞的利用行为。
全悉:已发布规则升级包,支持检测该漏洞的利用行为。
时间线
Timeline
06
2023年8月 长亭科技上报漏洞
2023年10日 官方修复漏洞
2023年12月 长亭科技发现部分场景存在绕过
2023年12月 长亭科技上报绕过情况
2024年1月 RWCTF设计GeoServer相关赛题
2024年3月 互联网公开漏洞情报
2024年3月 长亭安全应急响应中心发布通告
参考资料:
[1].https://github.com/geoserver/geoserver/security/advisories/GHSA-9v5q-2gwq-q9hq
长亭应急响应服务
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
