Immunity Canvas 7.26泄露事件概览

  • A+
所属分类:安全新闻

2021年3月2号,Twitter上有安全研究员披露了Immunity CANVAS 7.26工具源码泄露事件,安恒威胁情报中心猎影实验室第一时间对此事进行了追踪。

Immunity Canvas 7.26泄露事件概览


Immunity CANVAS是什么?

Immunity Canvas 7.26泄露事件概览

Immunity CANVAS是Immunity公司的一款商业级漏洞利用和渗透测试工具,此工具并不开源,其中文版介绍如下:

“Canvas是ImmunitySec出品的一款安全漏洞检测工具。它包含几百个以上的漏洞利用。对于渗透测试人员来说,Canvas是比较专业的安全漏洞利用工具。Canvas 也常被用于对IDS和IPS的检测能力的测试。Canvas目前已经使用超过700个的漏洞利用,在兼容性设计也比较好,可以使用其它团队研发的漏洞利用工具,例如使用Gleg, Ltd’s VulnDisco 、 the Argeniss Ultimate0day 漏洞利用包。”


经过评估,猎影实验室认为本次泄露的应该是该工具的完整源码,泄露的版本可以直接安装在Linux平台或Windows平台,安装并启动后的界面如下:

Immunity Canvas 7.26泄露事件概览


根据官方说明,这个工具有以下几个功能特点:

自动攻击

可以选择自动攻击功能,软件会自动对网络、操作系统、应用软件进行攻击。攻击成功后,会自动返回目标系统的控制权;

漏洞攻击

该软件漏洞库每天进行更新。同时包含了大量的0day以及未公开的漏洞。可以指定漏洞对目标系统进行攻击;

代码开放

平台和主要攻击包代码开放,可自由组合调整重新打包自有攻击检测漏洞包,也可以基于平台研发编辑自己的攻击包;

集      成

可集成数据库的弱点扫描探测, 渗透攻击工具, 保证数据库及其应用的安全,也可集成Web应用的弱点扫描探测, 渗透攻击工具,保证Web应用的安全。


泄露的源码概览


安恒威胁情报中心获得了此次泄露的Immunity CANVAS源码,泄露的版本为7.26版本,从更新日志里面可以看到,这个版本大约在2020年9月2号发布,属于该工具的近期版本。

Immunity Canvas 7.26泄露事件概览

泄露的源码中有多个目录:

Immunity Canvas 7.26泄露事件概览


其中Documentation目录下是该工具的历史更新文档和安装说明文档,exploits目录下为该工具内置的漏洞利用组件,fuzzer目录为该工具自带的一些fuzz组件,其他目录可以根据目录名进行推断理解。


多个重量级漏洞利用组件遭到泄露

经过猎影实验室的分析,此次泄露中包含多个Windows、Linux及其他操作系统、商业软件的漏洞利用组件。总数多达几百个,其中不乏一些重量级的漏洞利用组件。


Immunity Canvas 7.26泄露事件概览

猎影实验室重点对其中的Windows漏洞利用组件进行了评估。

 

最值得注意的是一个武器级的英特尔“幽灵”漏洞(spectre)利用组件,“幽灵”漏洞是前几年披露的一个英特尔处理器的漏洞,此次泄露的源码内有一份借助该漏洞在Windows上实现信息窃取的利用代码,更新日志显示此漏洞在2018年5月23号的7.18版本中添加支持:

spectre_file_leak (CVE-2017-5753)

Immunity Canvas 7.26泄露事件概览


此外,本次泄露代码中包括多个较新的Windows无交互远程代码执行漏洞组件,包括以下2个漏洞利用:

SMBGHOST (CVE-2020-0796):Windows SMB远程代码执行漏洞


BLUEKEEP (CVE-2019-0708):Windows RDP远程代码执行漏洞


以下为BLUEKEEP漏洞利用组件的部分代码:

Immunity Canvas 7.26泄露事件概览


有意思的是,Immunity公司此前还因公开出售BLUEKEEP的利用代码引起安全界的广泛关注:

Immunity Canvas 7.26泄露事件概览


本次泄露中还包括多个较新的Windows本地提权漏洞利用,如下:

smbghost_lpe (CVE-2020-0796)

alpc_appxedge_lpe (CVE-2019-1253)

error_reporting_lpe (CVE-2019-1315)

dde_closehandle_lpe (CVE-2019-0803)

alpc_takeover_lpe (CVE-2019-0841)

destroyclass_uaf_lpe (CVE-2019-0623)

setwindowfnid_lpe (CVE-2018-8453)

setimeinfoex_lpe (CVE-2018-8120)

 

泄露工具中总共支持的Windows本地提权漏洞组件达到数十个(截图只展示了其中一部分):

Immunity Canvas 7.26泄露事件概览


在最近的几次更新中,该工具添加的漏洞利用组件有如下一些:

SMBGHOST (CVE-2020-0796)

smbghost_lpe (CVE-2020-0796)

ssrs_viewstate_rce (CVE-2020-0618)

owa_rce (CVE-2020-0688)

menu_confusion_lpe (CVE-2019-0859)

netscaler_traversal_rce (CVE-2019-19781)

curveball (CVE-2020-0601)

rails_activestorage_rce (CVE-2019-5420)

rails_accept_readfile (CVE-2019-5418)

rconfig_ajaxserver_rce (CVE-2019-16662)


写在最后

猎影实验室评估此次Immunity CANVAS 7.26的泄露事件后认为:此次泄露事件非常严重,此次事件应该是继2015年HackingTeam泄露事件和2017年方程式组件泄露事件后又一严重的武器级漏洞利用组件泄露事件。截止目前,猎影实验室未发现此次泄露的组件内包含任何零日漏洞,但我们不排除泄露代码中有零日漏洞的可能。

 

安恒威胁情报中心强烈建议读者将个人和办公环境的电脑、服务器更新到最新版本,以免受此次泄露事件的影响。猎影实验室将持续追踪此事。


本文为安恒威胁情报中心原创

转载请注明出处,谢谢


 招聘 信息


岗位:二进制安全研究员

岗位职责:


* 针对海量威胁数据的挖掘,寻找APT攻击事件;
* 负责热门的安全事件、最新漏洞的分析,编写响应的分析报告;
* 研究新的检测方法,完善产品的检测能力;
* 协助内部威胁分析平台建设等。

任职要求:


* 熟悉windows、Linux等平台调试手段,熟练使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
* 了解二进制安全漏洞原理,具备独立漏洞分析能力;
* 了解yara、snort等类似策略编写;
* 具备大数据挖掘能力,能够快速对数据进行关联分析;
* 思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神。

加分项:


* 具有信息安全公司实习、从业经验;
* 熟悉APT攻击攻防、威胁狩猎,具备Sandbox开发、杀软类绕过研究、加壳工具开发经验;
* 具备多平台恶意代码分析经验(Linux、Android、macOS等);
* 有二进制相关漏洞CVE编号;
* 熟悉Web攻防,了解红蓝对抗相关工具使用以及内部原理,有渗透相关经验;
* 具备机器学习的相关实战经验。


Immunity Canvas 7.26泄露事件概览

求分享

Immunity Canvas 7.26泄露事件概览

求点赞

Immunity Canvas 7.26泄露事件概览

求在看

本文始发于微信公众号(安恒威胁情报中心):Immunity Canvas 7.26泄露事件概览

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: