大工网安告[2022]035

一、情况分析

关于向日葵远程控制软件命令执行漏洞被公开，远程攻击者在未授权情况下可通过构造特殊请求执行任意命令，利用该漏洞获取控制权，目前已在向日葵个人版11.0.0.33版本中测试成功。国家信息安全漏洞共享平台已验证相关漏洞：https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270。

该漏洞利用难度极低，危害较大，攻击者可利用该漏洞获取服务器控制权，官方已发布最新版，建议师生尽快对已安装版本进行自查并升级修复。

漏洞原理：当向日葵client在windows运行时，会连接远程Oray的服务器，开放对外接口，接口统一由sunlogin处理，且开启监听外部的连接访问端口，大概在50000左右，可通过工具测试，低版本向日葵RCE主要发生在对外开放的接口/check处，当cmd的值为ping/nslookup开头时触发。

向日葵在启动的时候会随机启动一个4W+高位端口，具体在 sub_140E0AAE8 可看到，随后载入IDA，对CID关键字进行搜索sub_140E20938、sub_140E1C954、sub_140E1A1F4，往上跟发现分别对应接口/cgi-bin/rpc和/cgi-bin/login.cgi，其中在函数sub_140E1C954对应接口功能/cgi-bin/rpc中，传入如下参数即可在未授权的情况下获取到有效session，在知道被控端的验证码和识别码的情况下传入如下参数可获取到session。在知道主机的帐密的情况下通过/cgi-bin/login.cgi接口传入如下参数可获取到session 并返回设备的公网、内网地址等信息，该接口同时可用作暴 力破解。

二、影响范围

向日葵个人版≤11.0.0.33(包括绿色版和安装版)

向日葵简约版<=V1.0.1.43315 (2021.12)

三、修复建议

建议排查向日葵软件使用情况，建议使用最新版本。

参考链接 ： https://sunlogin.oray.com/download