漏洞通告 | Spectrum Protect Plus任意代码执行漏洞通告（CVE-2020-4703）

漏洞背景

9月16日，山石网科安研院监测到IBM官方发布安全公告，修复了Spectrum Protect Plus的管理控制台中存在的目录遍历漏洞（CVE-2020-4711）与任意代码执行漏洞（CVE-2020-4703）。CVE-2020-4711是Spectrum Protect Plus的脚本/opt/ECX/tools/scripts/restore_wrapper.sh中的目录遍历漏洞，未经身份验证的攻击者可通过发送特制的HTTP请求查看系统上的任意文件。

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案，可在几分钟内完成部署，并在一小时内为环境提供保护。它将数据保护化繁为简，无论是存储在物理环境、虚拟环境、软件定义的环境还是云环境中的数据都是如此。它可作为独立解决方案来实施，或者与 IBM Spectrum Protect 环境集成，从而大规模高效转移副本用于长期存储和数据监管。

IBM官方公布其Spectrum Protect Plus的执行漏洞（CVE-2020-4703），该漏洞是由于6月披露的一个高危漏洞CVE-2020-4470的修复不完整造成的。其CVSS评分为8。

漏洞描述

CVE-2020-4470是IBM Spectrum Protect Plus 10.1.0到10.1.5版本中存在的一个任意代码执行漏洞。成功利用该漏洞的攻击者可以上传任意文件到易受攻击的服务器上执行任意代码。CVE-2020-4770漏洞利用需要两个步骤。

第一步是通过向URL端点https://<spp_host>:8090/api/plugin发送HTTP POST消息，将恶意的RPM软件包上传到管理员帐户可写的目录中。

第二步是通过向URL端点http://<spp_host>:8090/emi/api/hotfix发送HTTP POST消息来安装恶意RPM包。

在易受攻击的服务器上，两个步骤都不需要身份验证。CVE-2020-4470的修复程序仅通过对/emi/api/hotfix端点强制执行身份验证来解决第二个步骤。它仍然允许未经身份验证的任意文件上传到管理员帐户可写的目录并在该目录下运行。这导致恶意攻击者可与CVE-2020-4711漏洞结合使用，将任何文件上传到服务器的任意目录，从而导致未经身份验证的RCE。

本次IBM还修复了Spectrum Protect Plus的一个目录遍历漏洞（CVE-2020-4711）。CVE-2020-4711是Spectrum Protect Plus的脚本 /opt/ECX/tools/scripts/restore_wrapper.sh 中的一个目录遍历漏洞。该漏洞是由于目录路径的检查被绕过。

未经身份验证的远程攻击者可以通过向URL端点https://<spp_host>:8090/catalogmanager/api/catalog发送特制的HTTP请求来利用此问题，当cmode参数为restorefromjob时，不需要身份验证：

端点处理程序调用com.catalogic.ecx.catalogmanager.domain.CatalogManagerServiceImpl.restoreFromJob方法，而无需检查用户凭据。restoreFromJob方法以root用户身份执行/opt/ECX/tools/scripts/restore_wrapper.sh脚本，将攻击者控制的HTTP参数ctarget / cRestoreTarget传递给该脚本：

这使攻击者可以通过路径遍历执行chmod -R 777：

影响版本

IBM Spectrum Protect Plus 10.1.0-10.1.6版本（CVE-2020-4703）

漏洞等级：高危

解决方案

尽快下载官方最新版本：https://www.ibm.com/support/pages/node/6254732

参考信息

• https://www.ibm.com/support/pages/node/6328867

• https://www.tenable.com/cve/CVE-2020-4470

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作，为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩，网安中国行第一名，连续两届红帽杯冠军、网鼎杯线上第一名，在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩，每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 [email protected]