德国网络安全公司RedTeam Pentesting GmbH的安全研究人员最近在CyberArk企业密码保险库(Enterprise Password Vault,EPV)应用程序中发现了一个严重的远程代码执行漏洞,该漏洞可能允许攻击者利用CyberArk EPV 的WEB访问应用(Password Vault Web Access,PVWA)组件的特权来对目标系统进行未经授权的访问。
CyberArk EPV可帮助各类机构保护、管理、自动更改各种特权密码并记录与之相关的活动。如Windows服务器的管理员密码、UNIX服务器的根密码、Cisco设备的启用密码,以及应用程序及文本中的内置密码等等。它主要包含了四大组件:
密码保险库(Vault)-这是一个为企业特权帐号密码提供安全的集中存储、保护和管理访问的仓库;
CPM- CPM为多种目标系统的特权帐号密码提供更新,包括各种路由器、数据库、服务器、目录服务和固话于应用程序中的密码;
Windows GUI客户端-此客户端允许管理员访问和配置EPV系统,包括设置用户信息,定义系统访问等等;
Password Vault Web Access(PVWA)-这个基于Web的界面允许IT人员能够快速地获取目标系统的特权账号密码。
研究人员表示,被追踪为CVE-2018-9843的漏洞就存在于PVWA中。它是由于Web服务器不安全地处理反序列化操作的方式造成的,这可能允许攻击者在处理反序列化数据的服务器上执行恶意代码。
据研究人员介绍,当用户登录到自己的账户时,PVWA会使用REST API向服务器发送一个身份验证请求,请求授权头包含有一个以序列化.的NET对象(以base64编码)。而这个序列化的.NET对象保存了关于用户会话的信息,但他们发现“序列化数据的完整性并没有得到保护”。
由于服务器并不会验证序列化数据的完整性,并且不安全地处理反序列化操作,这使得攻击者能够篡改身份验证令牌,将其恶意代码注入到授权头中,以此获取到能够在未经身份认证的情况下在Web服务器上远程执行任意代码的能力。
目前,RedTeam Pentesting GmbH的研究人员已经将一段完整的概念验证代码发布在了GitHub上,并将这个项目命名为“ysoserial.net”,它被描述为“用于生成能够利用不安全的.NET对象反序列化的有效载荷的概念验证工具。”
至于有关于漏洞和利用代码的技术细节,研究人员表示,他们会在向CyberArk报告漏洞并且该公司推出修复版本之后才会发布。
根据研究人员的描述,这个漏洞影响到9.9.5和9.10之前的版本以及10.1版本。因此,研究人员强烈建议使用CyberArk PVWA的企业将其软件升级到版本9.9.5、9.10或10.2。
另外,如果用户由于某些原因暂时无法立即升级软件,则可以通过禁用任何对route/PasswordVault/WebServices上API的访问来做为针对此漏洞的缓解措施。