首页 > 安全公告 > 正文

关于向日葵远程代码执行漏洞CVE-2022-10270的安全公告

来源:时间:2022-09-05点击数:

大工网安告[2022]035

一、情况分析

关于向日葵远程控制软件命令执行漏洞被公开,远程攻击者在未授权情况下可通过构造特殊请求执行任意命令,利用该漏洞获取控制权,目前已在向日葵个人版11.0.0.33版本中测试成功。国家信息安全漏洞共享平台已验证相关漏洞:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270。

该漏洞利用难度极低,危害较大,攻击者可利用该漏洞获取服务器控制权,官方已发布最新版,建议师生尽快对已安装版本进行自查并升级修复。

漏洞原理:当向日葵client在windows运行时,会连接远程Oray的服务器,开放对外接口,接口统一由sunlogin处理,且开启监听外部的连接访问端口,大概在50000左右,可通过工具测试,低版本向日葵RCE主要发生在对外开放的接口/check处,当cmd的值为ping/nslookup开头时触发。

向日葵在启动的时候会随机启动一个4W+高位端口,具体在 sub_140E0AAE8 可看到,随后载入IDA,对CID关键字进行搜索sub_140E20938、sub_140E1C954、sub_140E1A1F4,往上跟发现分别对应接口/cgi-bin/rpc和/cgi-bin/login.cgi,其中在函数sub_140E1C954对应接口功能/cgi-bin/rpc中,传入如下参数即可在未授权的情况下获取到有效session,在知道被控端的验证码和识别码的情况下传入如下参数可获取到session。在知道主机的帐密的情况下通过/cgi-bin/login.cgi接口传入如下参数可获取到session 并返回设备的公网、内网地址等信息,该接口同时可用作暴 力破解。

二、影响范围

向日葵个人版≤11.0.0.33(包括绿色版和安装版)

向日葵简约版<=V1.0.1.43315 (2021.12)

三、修复建议

建议排查向日葵软件使用情况,建议使用最新版本。

参考链接 : https://sunlogin.oray.com/download



地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心