聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
富士通 (Fujitsu) 云存储系统的 web 接口中存在两个“严重”级别的漏洞(CVSS 评分9.8,CVE编号尚未分配完成),可导致未认证攻击者读、写并破坏备份文件。
这两个漏洞位于企业级的富士通 Eternus CS8000(控制中心)V8.1 中。NCC Group 公司的研究员在两个PHP脚本(通常包含在认证后)中发现了因缺少用户输入验证而造成的两个漏洞。
这两个漏洞分别是位于 grel.php 中的一个命令注入漏洞和位于 hw_view.php 中的命令注入漏洞,它们可导致攻击者在无需认证或授权的情况下,在设备上执行远程代码。
由于不存在 include-guards,攻击者能够在无需认证的情况下通过直接调用而触发该脚本,从而控制设备,就像通过安全的shell 直接登录一样。
研究人员指出,“如遭利用,攻击者可以 ‘www-data’ 用户身份获得机器上有限的用户权限;然而,应当注意的是,NCC Group Fox-IT 发现的系统上的 Kernel 已严重过时,可导致攻击者轻易将权限提升至系统的管理员 ‘root’ 用户权限。鉴于系统的敏感性质,对系统拥有完全控制权限的攻击者有可能读取、修改并破坏整个虚拟备份,从而作为勒索攻击的第一步,确保用户无法恢复并不得不支付赎金。”
立即修复
这两个漏洞是研究员在一次为客户进行渗透测试时发现并告知富士通的,后者已修复。
富士通表示,“未发现”任何起作用的利用代码,也未发现成功的在野利用。
研究员建议用户立即更新至最新的软件版本,并给出了一些缓解措施。从富士通发布的安全公告来看,MITRE尚未给这两个漏洞分配CVE编号。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
多家日本政府实体资料被盗,富士通暂下架ProjectWeb 平台
原文链接
https://portswigger.net/daily-swig/separate-fujitsu-cloud-storage-vulnerabilities-could-enable-attackers-to-destroy-virtual-backups
https://support.ts.fujitsu.com/ProductSecurity/content/Fujitsu-PSIRT-PSS-IS-2022-050316-Security-Notice-SF.pdf
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~