0x00 漏洞概述

产品名称

CVE ID

类 型

漏洞等级

远程利用

影响范围

IBM Spectrum Protect Plus

CVE-2020-4703

任意代码执行

高危

10.1.0-10.1.6版本

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案,可在几分钟内完成部署,并在一小时内为环境提供保护。它将数据保护化繁为简,无论是存储在物理环境、虚拟环境、软件定义的环境还是云环境中的数据都是如此。它可作为独立解决方案来实施,或者与 IBM Spectrum Protect 环境集成,从而大规模高效转移副本用于长期存储和数据监管。

2020年9月14日,IBM官方公布其Spectrum Protect Plus的管理控制台中存在一个的任意代码执行漏洞(CVE-2020-4703),该漏洞是由于6月披露的一个高危漏洞CVE-2020-4470的修复不完整造成的。其CVSS评分为8。

0x01 漏洞详情

CVE-2020-4470是IBM Spectrum Protect Plus 10.1.0到10.1.5版本中存在的一个任意代码执行漏洞。成功利用该漏洞的攻击者可以上传任意文件到易受攻击的服务器上执行任意代码。CVE-2020-4770漏洞利用需要两个步骤。

第一步是通过向URL端点https://<spp_host>:8090/api/plugin发送HTTP POST消息,将恶意的RPM软件包上传到管理员帐户可写的目录中。

第二步是通过向URL端点http://<spp_host>:8090/emi/api/hotfix发送HTTP POST消息来安装恶意RPM包。

在易受攻击的服务器上,两个步骤都不需要身份验证。CVE-2020-4470的修复程序仅通过对/emi/api/hotfix端点强制执行身份验证来解决第二个步骤。它仍然允许未经身份验证的任意文件上传到管理员帐户可写的目录并在该目录下运行。这导致恶意攻击者可与CVE-2020-4711漏洞结合使用,将任何文件上传到服务器的任意目录,从而导致未经身份验证的RCE。

该漏洞的PoC如下:

本次IBM还修复了Spectrum Protect Plus的一个目录遍历漏洞(CVE-2020-4711)。

CVE-2020-4711是Spectrum Protect Plus的脚本/opt/ECX/tools/scripts/restore_wrapper.sh中的一个目录遍历漏洞。该漏洞是由于目录路径的检查被绕过。

未经身份验证的远程攻击者可以通过向URL端点https://<spp_host>:8090/catalogmanager/api/catalog发送特制的HTTP请求来利用此问题,当cmode参数为restorefromjob时,不需要身份验证:

端点处理程序调用com.catalogic.ecx.catalogmanager.domain.CatalogManagerServiceImpl.restoreFromJob方法,而无需检查用户凭据。restoreFromJob方法以root用户身份执行/opt/ECX/tools/scripts/restore_wrapper.sh脚本,将攻击者控制的HTTP参数ctarget / cRestoreTarget传递给该脚本:

这使攻击者可以通过路径遍历执行chmod -R 777:

0x02 处置建议

目前,IBM官方已经发布临时修订版本,建议尽快进行安全更新。

下载链接及安装说明:

https://www.ibm.com/support/pages/node/6254732

0x03 相关新闻

https://threatpost.com/rce-exploit-ibm-data-risk-manager-no-patch/154986/

0x04 参考链接

https://www.ibm.com/support/pages/node/6328867

https://www.tenable.com/cve/CVE-2020-4470

https://zh-cn.tenable.com/security/research/tra-2020-54?tns_redirect=true

0x05 时间线

2020-09-14 IBM发布漏洞公告

2020-09-16 VSRC发布安全通告

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。