FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)

最新推荐文章于 2023-09-23 17:24:52 发布
最新推荐文章于 2023-09-23 17:24:52 发布
阅读量428 收藏
点赞数
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxwn202302/article/details/130109795
版权
本文详细分析了FireEye红队工具被盗后公开的SolarWinds Orion平台远程代码执行漏洞(CVE-2020-10148)。通过构造特定URL参数,攻击者可以绕过权限验证,执行任意代码,获取系统关键信息,包括web.config和数据库文件。建议学习人员提升代码分析和POC编写能力,以加强防御措施。
摘要由CSDN通过智能技术生成

前言

最近,全球领先的网络安全公司 FireEye 疑遭某 APT
组织的攻击,其大量政府客户的信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub
上发布了一些应对措施。奇安信代码安全实验室将从技术角度,对 GitHub 仓库中的相关漏洞进行分析复现,希望能给读者带来一些启发,做好防御措施。

漏洞简介

SolarWinds Orion平台是一套负责系统监视和产品管理的基础架构,其中的SolarWinds Orion API主要负责SolarWinds
Orion平台产品间的交互工作。

SolarWinds Orion
2020.2.1HF2、2019.4HF6之前的版本产品存在远程代码执行漏洞。具体来说,攻击者在访问链接中构造参数“.js”、“.css”等以便绕过权限验证,最终任意调用Orion
API达到代码执行的目的。

受影响产品

SolarWinds Orion平台系列产品

受影响版本

Orion Version<2020.2.1HF2

Orion Version<2019.4HF6

修复版本

  • 2019.4 HF 6

  • 2020.2.1 HF 2

  • 2019.2 SUPERNOVA补丁

  • 2018.4 SUPERNOVA补丁

  • 2018.2 SUPERNOVA补丁

漏洞分析

分析SolarWinds Orion的URL请求验证代码,如下。

private static void OnRequest(object sender, EventArgs e)
		{
			HttpApplication httpApplication = (HttpApplication)sender;
			HttpContext context = httpApplication.Context;
			string path = context.Request.Path;
			# 如果请求的资源包含关键词“Skipi18n”,则会跳过用户权限验证限制,新建一个空用户
			if (path.IndexOf("Skipi18n", StringComparison.OrdinalIgnoreCase) >= 0)
			{
				if (context.User == null || !context.User.Identity.IsAuthenticated)
				{
					context.SkipAuthorization = true;
					context.User = new NullUser();
				}
				return;
			}
			# 如果请求的资源以".css"或“.js”结尾,则会跳过用户权限验证限制,新建一个空用户,并重定向到新页面
			if (path.EndsWith(".css", StringComparison.OrdinalIgnoreCase) || path.EndsWith(".js", StringComparison.OrdinalIgnoreCase
最低0.47元/天 解锁文章
爱AI绘画的阿皮皮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
FireEye 网络攻击危害红队安全工具
zy18165754120的博客
01-07 944
网络安全公司 FireEye 在首席执行官凯文·曼迪亚 (Kevin Mandia) 所说的一场针对性很强的网络攻击中受到打击。攻击者瞄准并能够访问公司用来测试其客户安全性的某些红队评估工具。 曼迪亚周二表示,根据攻击的技术和复杂程度,他相信国家资助的行为者是这次黑客攻击的幕后黑手。据 FireEye 称,攻击者主要是寻找与某些政府客户相关的数据。他说,此次黑客攻击“使用了我们或我们的合作伙伴过去未曾见证过的新型技术组合”。 曼迪亚在周二的一篇帖子中说,由于其复杂性,这次袭击“与我们多年来应对的数万起事
FireEye 红队失窃工具揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)
smellycat000的专栏
12-10 537
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
【信息安全服务】FireEye 红队工具被盗事件-已公开的漏洞列表(持续更新)
Keylion ,Your Hero
12-15 858
1.事件回顾 2020年12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。 据FireEye称,此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务,其中并不包含 0day 漏洞的利用和未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区和开源虚...
网络安全红队方向提供的资源,工具大合集(渗透测试)
youmaob的博客
07-06 5304
在这个信息化时代,网络安全红队(渗透测试)的作用越来越重要,而这个合集中的工具和资源将帮助您更好地进行渗透测试,找出您所负责系统和数据的安全漏洞,为您的组织提供更加全面的安全保障。
红队快速打点工具-fscan
最新发布
siu~
09-23 2250
一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 该工具不仅只能用于内网,外网同样能够使用。
FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
09-08
【火眼揭露CVE-2017-8759:0day漏洞被用于野外分发FINSPY】 火眼公司在2017年发布了一份关于CVE-2017-8759的报告,指出这是一个在野外环境中被利用的0day漏洞,用于传播FINSPY恶意软件。该漏洞是一个SOAP WSDL解析...
flare-fakenet-ng:[已暂停] FakeNet-NG-下一代动态网络分析工具
02-24
开发暂停 FLARE团队必须暂时中止FakeNet-NG的开发和维护。 FLARE选择在此处指示项目状态,而不是存档项目。 这将使用户和维护人员能够继续记录问题,记录有关问题,故障排除和解决方法的宝贵信息。...
ioc-scanner-CVE-2019-19781:CVE-2019-19781的损害扫描程序指示器
03-12
CVE-2019-19781的损害扫描程序指示器 该存储库包含一个实用程序,用于检测与CVE-2019-19781相关的Citrix ADC设备的威胁。 该实用程序及其资源对FireEye Mandiant调查期间收集到的危害指标进行编码。 要了解更多信息...
火炬线:FireEye Labs混淆字符串求解器-自动从恶意软件中提取混淆字符串
02-24
FireEye Labs混淆了字符串求解器 许多恶意软件作者并没有使用硬核打包程序来大量保护后门,而是通过仅模糊可执行文件的关键部分来逃避启发式检测。 通常,这些部分是用于配置域,文件和其他感染工件的字符串和资源。...
solarwinds-NPM2019.4官方下载地址.txt
05-08
solarwinds12.1--12.5已淘汰,现已更新为solarwinds 2019.4,这是offline安装版的官方下载地址。欢迎大家下载测试!!!!
CVE-2019-19781:CVE-2019-19781-Citrix ADC Netscaler漏洞的远程执行代码
05-26
编辑:来自FireeyeCVE-2019-19781漏洞扫描程序指示器-> 受影响的产品: Citrix ADC和Citrix Gateway 13.0版均受支持 Citrix ADC和NetScaler Gateway版本12.1所有受支持的内部版本 Citrix ADC和NetScaler ...
FireEye 666漏洞
stonesharp的专栏
12-19 1540
FireEye向企业和政府用户销售安全设备,其旗舰产品安装在大型网络的出口点用以监控设备,也就是安装在内部流量通向互联网的地方。 简要概述 一个组织在其内部网络中安装了FireEye设备,然后连接到一个SPAN或是出口点的镜像端口(这些监控端口内置在专业级网络设备中) FireEye设备之后就被动查看所有网络流量,监控HTTP, FTP, SMTP等常见协议。对于文件传输
红队快速打点漏洞检测工具
qq_58091216的博客
12-19 357
POC bomber是一款漏洞检测工具,旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限
CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告
爱国小白帽
12-08 8579
报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 struts2 发布了 struts2 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-17530 ,漏洞等级:高危 ,漏洞评分:7.5 。 在特定的环境下,远程攻击者通过构造 恶意的OGNL表达式 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 struts2 升级到最新版.
SolarWinds Orion API 远程代码执行漏洞(CVE-2020-10148
thelostworld
01-12 1577
SolarWinds Orion API 远程代码执行漏洞 (CVE-2020-10148) ​ 一、漏洞概况 SolarWinds Orion API 嵌入在 Orion Core 中,被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数,可以绕过 API 身份验证,这可能允许攻击者执行未经身份验证的 API 命令。如果攻击者将WebResource.adx,scriptResource.adx,..
红队打点工具推荐
weixin_46211944的博客
10-03 342
红队打点工具推荐
火眼Windows攻击工具集试安装运行
安全DOG
04-08 3409
3月28日,安全公司火眼发布了一个包含超过140个开源Windows工具的大礼包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“曼迪安特完全攻击虚拟机(CommandoVM)”,为安全研究人员执行攻击操作准备了即时可用的Windows环境。 CommandoVM下载地址:https://github.com/fireeye/commando-vm 官方建议在虚拟机下运...
可视化的EDR工具软件
07-28
有很多可视化的EDR(终端检测与响应)工具软件可供选择。以下是几个常见的可视化EDR工具软件: 1. Carbon Black: Carbon Black是一款功能强大的终端安全解决方案,提供了实时的威胁检测和响应功能。它通过可视化仪表板展示威胁情报,帮助用户更好地理解和应对安全事件。 2. CrowdStrike Falcon: CrowdStrike Falcon是一款云原生的终端保护平台,具有强大的可视化和响应功能。它提供了实时的威胁情报、事件日志和分析报告,帮助用户快速发现和应对安全威胁。 3. FireEye Endpoint Security: FireEye Endpoint Security是一款终端安全解决方案,提供了实时的威胁检测和响应功能。它通过可视化的仪表板展示安全事件和攻击路径,帮助用户追踪和分析安全威胁。 4. Palo Alto Networks Cortex XDR: Palo Alto Networks Cortex XDR是一款终端检测与响应平台,具有强大的可视化功能。它提供了实时的威胁情报、事件分析和响应工具,帮助用户更好地识别和应对安全威胁。 这些工具软件都可以帮助用户实时监测和分析终端安全事件,并提供可视化的界面帮助用户更好地理解和应对安全威胁。选择哪个工具取决于您的具体需求和预算。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值