安全研究人员发现,提供/的文件夹名称会导致 ScrutisWeb 压缩整个网络根,并将其作为下载文件发送到浏览器。于是他们按照设计的功能使用该功能下载了网络根目录。在检查 Download.aspx 时发现它调用了 Scrutis.Front.dll 库,该库似乎负责处理大部分用户功能。
安全研究人员还注意到 Download.aspx 的参数为 文件 或 文件夹。同时,他们还很快就找到了真正有趣的部分,即处理单个文件下载的字符串:
这段代码查看的是作为 URL 的 file 参数传递给该方法的 path1 变量。如果参数中不包含冒号,网络服务器将返回与网络根相关的文件,例如,将下载位于 的文件。但是,如果参数中包含冒号,网络服务器就会返回与系统相关的文件,例如 将下载服务器上位于 c:\file.txt 的文件。成功!我们可以从服务器上下载配置、日志和数据库。
这意味着未经身份验证的用户可以上传任何文件,然后通过网络浏览器再次查看。其中一个问题是,最终存放上传文件的目录已被配置为允许解释和执行上传的脚本。我们创建了一个运行简单命令 ipconfig /all 的概念验证(poc.asp),并将其上传到服务器。随后,他们访问了 网站,服务器执行了系统命令 ipconfig /all 并返回了响应,成功命令注入。
通常,人们会认为 RCE 是漏洞利用链的高潮。在这种情况下,通过利用其余漏洞获取 ATM 控制器的用户访问权限,可以实现更大的恶意价值。可以在 Scrutis.Front.dll 中找到每个有漏洞的调用,并在未经身份验证的情况下使用。
同时, idUser 参数似乎是一个从数字 1 开始的连续整数值。通过向该函数发送数字为 1 的 POST,服务返回了用户 administrateur 的信息,包括加密密码。
由于密码显然已加密,安全研究人员决定尝试逆向工程加密机制。在方法名称中搜索 crypt 一词,显示了一个解密函数,该函数将密码文本作为输入,并返回一个明文 UTF8 字符串。该函数中有一行披露了明文字符串,该字符串被用作加密/解密用户密码的加密密钥:
安全研究人员编写了一个简单的 python 脚本,它可以获取使用 CVE-2023-38257 发现的加密密码,并将密码解密为明文。至此已经可以以管理员身份登录 ScrutisWeb了。
CVE-2023-38257 和 CVE-2023-35763 这两个漏洞让以管理员身份登录 ScrutisWeb 管理控制台成为可能。恶意行为者可以监控机群中各个自动取款机的活动。控制台还允许将 ATM 降为管理模式、上传文件、重新启动和完全关闭。需要进行进一步检查,以确定是否可以将定制软件上载到个别自动取款机上,以执行银行卡外渗、Swift 转账重定向或其他恶意活动。不过,此类额外测试不在评估范围之内。
CVE-2023-35189 还可用于清除 ScrutisWeb 上的日志,并删除恶意行为者曾在那里活动的证据。从客户端基础架构中的这一立足点可能会发生额外的漏洞利用,使其成为恶意行为者面向互联网的支点。
值得一提的是,Iagona 非常重视安全问题,在及时向研究人员通报进展的同时,还迅速解决了四个发现的问题。
(责任编辑:admin)关键词: