最近公开了有关网络配置管理实用程序 rConfig 中两个未修补的关键远程代码执行(RCE)漏洞的概念验证(PoC)漏洞的详细信息。 至少有一个缺陷可能导致服务器和连接的网络设备的远程破坏。
rConfig是用本机PHP写的,它是一个开放源代码实用程序,允许网络工程师配置其网络设备并对其进行频繁的配置快照。 该实用程序还用于自定义设备命令,批量配置管理以及Telnet和SSHv2支持。 rConfig官方站点声称该工具已被7,000多名网络工程师用于管理超过330万台设备。 其中包括防火墙,负载平衡器,路由器,交换机和广域网(WAN)优化器。 rConfig漏洞
两个发现的漏洞均会影响rConfig的所有版本,包括其最新版本(3.9.2)。 在撰写本文时,尚无可用的安全更新。 识别出的两个漏洞被指定为: ajaxServerSettingsChk.php 中未经身份验证的RCE(CVE-2019-16662) 在 search.crud.php 中经过身份验证的RCE(CVE-2019-16663)
发现漏洞的安全研究人员Mohammad Askar分享说,每个漏洞都位于rConfig的单独文件中。 ajaxServerSettingsChk.php 中未经身份验证的RCE被指定为CVE-2019-16662,允许攻击者通过GET请求直接执行系统命令。 由于可以将rootUname参数传递给exec函数而不进行过滤,因此可以执行命令。 另一方面,驻留在 search.crud.php 中的RCE CVE-2019-16663需要在使用前进行身份验证。 经过rConfig的主要开发人员35天“无回应”后,Askar的PoC漏洞发布了。
另一位名为Sudoka的研究人员分析了这些漏洞,发现在3.6.0之前的rConfig版本中,即使没有身份验证,也可以利用第二个RCE。 此外,正如SANS技术学院的Johannes Ullrich所指出的,与第一个缺陷相关的受影响文件实际上属于rConfig指示在安装后删除的目录。 这意味着,如果用户完成了安装并删除了安装目录,则他们不会受到攻击。
尽管rConfig似乎不再得到积极维护,但rConfig的用户应考虑暂时从服务器中删除该应用程序,直到发布安全补丁为止。 PHP-FPM漏洞(CVE-2019-11043)可能导致NGINX Web服务器中的远程代码执行 建议管理员和IT团队在NGINX服务器上管理和维护启用PHP-FPM的网站,修补此漏洞,该漏洞可使攻击者在易受攻击的网站和服务器上执行远程代码执行(RCE)。
PHP环境的用户还可以采用以下最佳实践来阻止可能利用该漏洞的入侵: 启用PHP的内置安全控件; 此外,开放式Web应用程序安全性项目(OWASP)还提供有关如何保护PHP配置的建议和清单。 通过限制权限以及对工具或编程技术的访问来实施最小特权原则。 实施主动的事件响应策略,可以防止潜在的危害或破坏,并确定可能的威胁进入点。 安全性101:虚拟修补程序 未修补或易受攻击的应用程序或组织的IT基础架构会如何处理? 这是虚拟补丁程序如何帮助企业解决漏洞和补丁程序管理问题的方法。 趋势科技解决方案
趋势科技™趋势科技服务器深度安全防护系统和漏洞防护解决方案可以减轻利用上述RCE漏洞的威胁,该解决方案通过此深度数据包检查(DPI)规则保护系统和用户免受威胁: 1005934-已识别的可疑命令注入攻击(CVE-2019-16662和CVE-2019-16663) 1010046-rConfig远程命令执行漏洞(CVE-2019-16662) 1010047-rConfig远程命令执行漏洞(CVE-2019-16663)
趋势科技TippingPoint®客户受到保护,免受可能通过以下MainlineDV过滤器利用CVE-2019-16662和CVE-2019-16663的威胁和攻击: 36582:HTTP:rConfig网络管理rootUname命令注入漏洞 36583:HTTP:rConfig网络管理search.crud.php命令注入漏洞
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢