最后更新于2023年12月27日(星期三)14:49:07 GMT
在2023年8月,Rapid7在红木软件的 JSCAPE MFT secure managed file transfer product. 该漏洞后来被命名为CVE-2023-4528. 可以通过向经理 Service端口发送xml编码的Java对象来利用它, 哪一个, by default, is TCP port 10880 (over SSL). 成功的开发可以运行任意Java代码作为 根 on Linux or the 系统 用户 on Windows. 如果攻击者具有对管理端口的网络级访问并且启用了管理器服务(这是默认值),则CVE-2023-4528是微不足道的。. 我们强烈建议关闭服务器(或禁用管理器服务),直到它可以修补.
Product description
CVE-2023-4528影响2023版本之前的所有JSCAPE MFT服务器版本.1.支持所有平台(Windows、Linux和MacOS). 看到 JSCAPE 咨询 for more information.
Discoverer
这个问题是由Rapid7的Ron Bowes发现的. 这是根据Rapid7的规定披露的 vulnerability disclosure policy.
Vendor statement
CVE-2023-4528已在JSCAPE 2023版本中得到解决.1.9,现在可用于客户部署. JSCAPE的客户已经得到通知,我们的支持团队全天候提供帮助. 红木感谢与Rapid7和我们的网络安全合作伙伴的合作. For more information, please see: http://www.jscape.com/blog/binary-management-service-patch-cve-2023-4528
影响
成功的开发执行任意Java代码作为Linux 根 or Windows 系统 用户. 最可能的攻击向量将运行Java代码,例如 java.朗.运行时.get运行时().exec(“...shell comm和...");, 但也可以创建仅java负载以避免执行另一个进程(因此不容易被检测到)。.
一旦攻击者在该级别执行代码,他们就完全控制了系统. They can steal data, pivot to attack other 网work devices, remove evidence of the intrusion, establish persistence, 和 anything else they choose. 值得注意的是, 似乎很少有(如果有的话)JSCAPE MFT Server的实例将其管理端口公开到inter网, 这将显著降低攻击者到达受影响服务的能力.
Indicators of compromise
成功的利用将在日志文件中显示出来. The Windows 日志 file is C:\program files\MFT Server\var\日志\server0.日志, 和 Linux is /opt/mft_server/var/日志/server0.日志. 应该特别调查任何引用“管理连接”的警告或错误消息, class casting exceptions such as:
08.22.2023 15:56:51[警告]管理连接错误:[10.0.0.77:10880 <-> 10.0.0.227:40085].
com.jscape.跑龙套.网.connection.Connection$ConnectionException: class java.朗.运行时 cannot be cast to class com.jscape.i网.mftserver.适配器.management.协议.消息.消息 (java.朗.运行时 is in module java.base of loader 'bootstrap'; com.jscape.i网.mftserver.适配器.management.协议.消息.消息在加载器'app'的未命名模块中)
在com.jscape.跑龙套.网.connection.Connection$ConnectionException.wrap(Unknown Source)
在com.jscape.跑龙套.网.connection.Sync消息ConnectionSyncRawBase.read(Unknown Source)
在com.jscape.跑龙套.网.connection.Async消息ConnectionSyncRawBase.readNext消息(Unknown Source)
在com.jscape.跑龙套.网.connection.Async消息ConnectionSyncRawBase.run(Unknown Source)
在java.base/java.跑龙套.concurrent.Executors$RunnableAdapter.call(Executors.java:539)
在java.base/java.跑龙套.concurrent.FutureTask.run(FutureTask.java:264)
在java.base/java.跑龙套.concurrent.线程PoolExecutor.runWorker(线程PoolExecutor.java:1136)
在java.base/java.跑龙套.concurrent.线程PoolExecutor$Worker.run(线程PoolExecutor.java:635)
在java.base/java.朗.线程.run(线程.java:833)
Caused by: java.io.IOException: class java.朗.运行时 cannot be cast to class com.jscape.i网.mftserver.适配器.management.协议.消息.消息 (java.朗.运行时 is in module java.base of loader 'bootstrap'; com.jscape.i网.mftserver.适配器.management.协议.消息.消息在加载器'app'的未命名模块中)
在com.jscape.跑龙套.at.b(Unknown Source)
在com.jscape.跑龙套.az.a(Unknown Source)
在com.jscape.i网.mftserver.适配器.management.协议.a.a(Unknown Source)
在com.jscape.i网.mftserver.适配器.management.协议.a.read(Unknown Source)
... 8更多
Caused by: java.朗.ClassCastException: class java.朗.运行时 cannot be cast to class com.jscape.i网.mftserver.适配器.management.协议.消息.消息 (java.朗.运行时 is in module java.base of loader 'bootstrap'; com.jscape.i网.mftserver.适配器.management.协议.消息.消息在加载器'app'的未命名模块中)
... 10个
The server expects a 消息 类,并且该漏洞会发送一个不同的类,例如 java.朗.运行时, 哪一个 fails 和 creates an error message.
请注意,在日志文件中,编写得更巧妙的漏洞可能没有这么明显.
Remediation
Rapid7建议JSCAPE MFT Server客户立即将其MFT Server实例升级到2023版本.1.来自红木软件公司的升级文档 在这里).
JSCAPE MFT客户还应该关闭端口10880到公共inter网, 确保阻止外部/公共访问JSCAPE命令行实用程序使用的二进制管理服务端口(通常为10880). Settings for this port can be found in the administrative interface under Settings > 经理 Service > 经理 Service.
作为应用补丁之前的临时缓解, 管理员可以阻止对管理服务的访问. On the configuration page (http://[server]:11880/settings/settings), either change the 主机/ IP option on the 经理 Service 页面 127.0.0.1. Alternatively, under the 访问 选项卡,设置IP过滤器(或阻止所有IP地址). Rapid7 validated that both options work.
有关更多信息,请参阅Redwood Software的 咨询.
Rapid7 customers
InsightVM和expose客户可以使用9月7日发布的漏洞检查来评估他们对CVE-2023-4528的暴露情况.
时间轴
- August 22, 2023: Rapid7 discovers the vulnerability
- August 23, 2023: Rapid7向Redwood Software报告该漏洞
- August 24, 2023 - September 6, 2023: Rapid7和红木软件讨论补丁和披露时间表
- September 7, 2023: This disclosure
