FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)

最新推荐文章于 2023-07-11 09:41:17 发布
最新推荐文章于 2023-07-11 09:41:17 发布
阅读量1.1k 收藏
点赞数
文章标签: 数据库 安全 linux web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/112057631
版权

 聚焦源代码安全,网罗国内外最新资讯!

前言

最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub 上发布了一些应对措施。奇安信代码安全实验室将从技术角度,对 GitHub 仓库中的相关漏洞进行分析复现,希望能给读者带来一些启发,做好防御措施。

漏洞简介

SolarWinds Orion平台是一套负责系统监视和产品管理的基础架构,其中的SolarWinds Orion API主要负责SolarWinds Orion平台产品间的交互工作。

SolarWinds Orion 2020.2.1HF2、2019.4HF6之前的版本产品存在远程代码执行漏洞。具体来说,攻击者在访问链接中构造参数“.js”、“.css”等以便绕过权限验证,最终任意调用Orion API达到代码执行的目的。

受影响产品

SolarWinds Orion平台系列产品

受影响版本

Orion Version<2020.2.1HF2

Orion Version<2019.4HF6

修复版本

  • 2019.4 HF 6

  • 2020.2.1 HF 2

  • 2019.2 SUPERNOVA补丁

  • 2018.4 SUPERNOVA补丁

  • 2018.2 SUPERNOVA补丁

漏洞分析

分析SolarWinds Orion的URL请求验证代码,如下。

private static void OnRequest(object sender, EventArgs e)


                  {


                           HttpApplication httpApplication = (HttpApplication)sender;


                           HttpContext context = httpApplication.Context;


                           string path = context.Request.Path;


                           # 如果请求的资源包含关键词“Skipi18n”,则会跳过用户权限验证限制,新建一个空用户


                           if (path.IndexOf("Skipi18n", StringComparison.OrdinalIgnoreCase) >= 0)


                           {


                                    if (context.User == null || !context.User.Identity.IsAuthenticated)


                                    {


                                             context.SkipAuthorization = true;


                                             context.User = new NullUser();


                                    }


                                    return;


                           }


                           # 如果请求的资源以".css"或“.js”结尾,则会跳过用户权限验证限制,新建一个空用户,并重定向到新页面


                           if (path.EndsWith(".css", StringComparison.OrdinalIgnoreCase) || path.EndsWith(".js", StringComparison.OrdinalIgnoreCase))


                           {
最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zabbix 远程代码执行漏洞(CVE-2020-11800)复现
weixin_47531489的博客
07-20 1818
1 简介 abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在LinuxSolaris,HP-UX,AI
FireEye 红队失窃工具揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)
smellycat000的专栏
12-10 529
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告
爱国小白帽
12-08 8559
报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 struts2 发布了 struts2 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-17530 ,漏洞等级:高危 ,漏洞评分:7.5 。 在特定的环境下,远程攻击者通过构造 恶意的OGNL表达式 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 struts2 升级到最新版.
SolarWinds Orion API 远程代码执行漏洞(CVE-2020-10148
MD@@nr丫卡uer
12-31 2400
漏洞简述 SolarWinds 发布了 SolarWinds 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-10148,漏洞等级:高危。 SolarWinds公开了供应链攻击之外的一处漏洞。该漏洞允许未授权的攻击者在受影响的SolarWinds系统上执行任意代码。 漏洞详情 SolarWinds Orion 平台中存在一处权限绕过漏洞。攻击者通过访问,绕过权限验证。最终通过访问功能性API,导致远程代码执行。 影响版本 solarwinds:orion:<2020.2.1HF2 solar
FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
09-08
【火眼揭露CVE-2017-8759:0day漏洞被用于野外分发FINSPY】 火眼公司在2017年发布了一份关于CVE-2017-8759的报告,指出这是一个在野外环境中被利用的0day漏洞,用于传播FINSPY恶意软件。该漏洞是一个SOAP WSDL解析...
flare-fakenet-ng:[已暂停] FakeNet-NG-下一代动态网络分析工具
02-24
开发暂停 FLARE团队必须暂时中止FakeNet-NG的开发和维护。 FLARE选择在此处指示项目状态,而不是存档项目。 这将使用户和维护人员能够继续记录问题,记录有关问题,故障排除和解决方法的宝贵信息。...
ioc-scanner-CVE-2019-19781:CVE-2019-19781的损害扫描程序指示器
03-12
CVE-2019-19781的损害扫描程序指示器 该存储库包含一个实用程序,用于检测与CVE-2019-19781相关的Citrix ADC设备的威胁。 该实用程序及其资源对FireEye Mandiant调查期间收集到的危害指标进行编码。 要了解更多信息...
火炬线:FireEye Labs混淆字符串求解器-自动从恶意软件中提取混淆字符串
02-24
FireEye Labs混淆了字符串求解器 许多恶意软件作者并没有使用硬核打包程序来大量保护后门,而是通过仅模糊可执行文件的关键部分来逃避启发式检测。 通常,这些部分是用于配置域,文件和其他感染工件的字符串和资源。...
CVE-2019-19781:CVE-2019-19781-Citrix ADC Netscaler漏洞的远程执行代码
05-26
编辑:来自FireeyeCVE-2019-19781漏洞扫描程序指示器-> 受影响的产品: Citrix ADC和Citrix Gateway 13.0版均受支持 Citrix ADC和NetScaler Gateway版本12.1所有受支持的内部版本 Citrix ADC和NetScaler ...
CVE-2016-3714, ImaegMagick代码执行( CVE 2016 3714 ).zip
09-17
CVE-2016-3714, ImaegMagick代码执行( CVE 2016 3714 ) CVE-2016-3714ImageMagick代码执行( CVE-2016-3714 )imagick_builder.py = 简单负载生成器利用 CVE-2016-3714基于 imagick_bypass_shell.ph
CVE-2020-16898漏洞复现
最新发布
HengMengSec的博客
07-11 692
CVE-2020-16898,又称“Bad Neighbor”,在Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1313
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
CVE-2020-10188漏洞处理笔记
weixin_41699777的博客
08-02 6858
CVE是啥? CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 CVE官网很好的阐述了改漏洞 cve官网 telnetd中的utility.c允许远程攻击者通过短写或紧急数据执行任意代码 telnet rpm包下载地址 我处理漏洞的系统版本是cenos7 telnet 最后编译版本是66 该连接下change log 也记录了修复的问题 其中就包括 utility.c允许远程攻击者通过短写或紧急数据执行任意代码的问题 这样问题就变得简单了 我本地 telnet的版
CVE-2020-7143漏洞复现
一个安全研究员
12-27 2200
复现一波
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
爱国小白帽
06-23 808
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0038 2020-06-23 TA****G: Apache Dubbo、反序列化、CVE-2020-1948 漏洞危害: 高,攻击者利用此漏洞,可实现远程代码执行。 应急等级: 蓝色 版本: 1.0 1 漏洞概述 6月23日,Apache
[ 漏洞复现篇 ] OpenSSH 命令注入漏洞 (CVE-2020-15778)
qq_51577576的博客
08-05 2014
Linux scp 命令用于 Linux 之间复制文件和目录。scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。scp 是加密的,rcp 是不加密的,scp 是 rcp 的加强版。该漏洞虽然利用很简单,但漏洞危害很大,漏洞等级也属于严重。利用需要知道ssh密码,在测试过程中通常可以配合ssh弱口令一起使用,或者在得知ssh密码的情况下进行使用,这样就可进行反弹shell获取权限了。...
从EDR到XDR,构建主动防御体系.pdf
02-01
XDR融合了威胁情报、机器学习和自动化,能够在威胁发生之前或之中进行预测、阻止和响应,形成一个主动防御的闭环。 XDR的关键特点包括: - **跨域监控**:实时监控所有资产,包括终端、网络、云和IoT。 - **前瞻性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值