漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)

 

2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。此次漏洞的利用主要是ColdFusion服务器的两方面的缺陷造成的:一、服务器存在未授权任意文件上传。攻击者在未授权的情况下只要构造出POST上传包发送到特定页面就可以上传任意文件,这个问题即使在打了补丁后也存在(只是不能再上传jsp脚本);二、服务器的上传文件后缀黑名单没有把jsp写入。这导致jsp文件可直接在服务器被解析执行,配合菜刀使用可达到远程命令执行。而且经过测试,木马脚本的运行权限都是system,这导致服务器完全陷入黑客手中,面临僵尸网络和挖矿等安全风险。预计在未来一段时间,该漏洞预计会对Adobe的服务器市场造成一定的冲击。

2222.png

Adobe ColdFusion在全球占据大量市场

Adobe ColdFusion从几年前开始就不断爆出高危安全问题,很多都是反序列化和任意命令执行漏洞,每次Adobe ColdFusion发布的补丁都会引起安全界的大量关注,整个程序的安全修复任重道远。

22221.png

2016年就爆出Adobe ColdFusion高危漏洞

 

概况

Adobe ColdFusion是美国Adobe公司在1995年开发的一个动态Web服务器,最初是为了创建能与数据库连接的网站而开发的,后来成为了一个全面的开发平台,包括一个集成好的开发环境以及针对Web应用的程序设计的CFML脚本语言。CFML在功能和用途上与PHP、ASP和JSP类似,但它的标签语法更像HTML,其脚本代码也像ja vasc ript。除CFML之外ColdFusion也支持其它编程语言,比如服务器端的Actionsc ript。

目前FOFA系统最新数据(一年内数据)显示全球范围内共有173036个Adobe ColdFusion对外开放服务。美国使用数量最多,共有61973台,英国第二,共有11601台,越南第三,共有9458台,德国第四,共有8297台,澳大利亚第五,共有7714台。

4444.png

全球范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)

中国大陆地区浙江省使用用数量最多,共有1075台;北京市第二,共有992台,广东省第三,共有699台,上海市第四,共有183台,江苏省第五,共有127台。

5555.png

中国大陆范围内Adobe ColdFusion分布情况(仅为分布情况,非漏洞影响情况)

 

危害等级

严重

 

漏洞原理

CVE-2018-15961

ColdFusion由于使用了CKEditor富文本编辑器代替了FCKEditor编辑器,导致了一个可绕过文件后缀验证的文件上传漏洞。在settings.cfm里,禁止上传的文件后缀有cfc,exe,php,asp,cfm,cfml。但没有禁止jsp文件,并且coldfusion支持解析jsp文件,导致可以上传jsp木马来getshell

aaa.png

默认禁止上传的文件类型

攻击者只要构造POST的文件上传包,发送HTTP请求到/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm,就可以实现任意文件上传。

bbb.png

当时上传成功时,文件会保存在默认的文件夹/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

ccc.png

在成功上传一个webshell之后,连接菜刀

ddd.png

 

漏洞影响

目前漏洞影响版本号包括:

Adobe ColdFusion 2016.0 Update 6
Adobe ColdFusion 2016.0 Update 5
Adobe ColdFusion 2016.0 Update 4
Adobe ColdFusion 2016.0 Update 3
Adobe ColdFusion 2016.0 Update 2
Adobe ColdFusion 2016.0 Update 1
Adobe ColdFusion 2018.0.0.310739
Adobe ColdFusion 11 Update 9
Adobe ColdFusion 11 Update 8
Adobe ColdFusion 11 Update 7
Adobe ColdFusion 11 Update 6
Adobe ColdFusion 11 Update 5
Adobe ColdFusion 11 Update 4
Adobe ColdFusion 11 Update 3
Adobe ColdFusion 11 Update 2
Adobe ColdFusion 11 Update 14
Adobe ColdFusion 11 Update 13
Adobe ColdFusion 11 Update 12
Adobe ColdFusion 11 Update 11
Adobe ColdFusion 11 Update 10
Adobe ColdFusion 11 Update 1

 

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-15961的检测POC。

3333.png

CVE-2018-15961 POC截图

在研究过程中发现新版的系统还是存在文件的未授权上传,黑客有可能通过大量文件的上传对服务器进行Dos攻击。

 

CVE编号

CVE-2018-15961

 

修复建议

1、该漏洞补丁早已发出,用户可以关注通过https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html
获取漏洞补丁。

2、通过防火墙等设置限制公网ip对Web的访问,只允许本地访问。

白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接:https://nosec.org/home/detail/1958.html

 

参考

[1] https://www.securityfocus.com/bid/105314

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961

[3] https://zh.wikipedia.org/wiki/Adobe_ColdFusion

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

 

(完)