Quest Kace K1000设备中发现严重漏洞

在Quest的Kace K1000系统管理设备中发现了多个严重漏洞。

受影响的设备允许企业管理其网络连接设备，包括库存硬件和软件，补丁应用程序和操作系统，以及确保软件许可证合规性。该产品曾由戴尔提供，该公司于2012年收购了Quest，并于2016年将其出售给了Francisco Partners和Elliott Management Corporation。

根据卡内基梅隆大学CERT协调中心（CERT / CC）发布的一份咨询报告，Kace K1000设备受到研究员Kapil Khot发现的若干漏洞和配置问题的影响。

Khot发现了几个盲目的SQL注入缺陷，统称为CVE-2018-5404，允许具有“仅用户控制台”权限的远程经过身份验证的攻击者从应用程序的数据库中获取数据，包括敏感信息。

具有相同权限的攻击者还可以将任意JavaScript代码注入故障单页面（CVE-2018-5405）。这可以允许攻击者劫持合法会话，包括管理员之一。

“脚本执行可能允许系统的恶意用户窃取包括管理员在内的其他用户的会话cookie并接管他们的会话。这可以进一步被利用来发动其他攻击，“CERT / CC在其公告中说。“在将用户可控制的输入放入用作提供给其他用户的网页的输出之前，该软件也不会中和或不正确地中和用户可控制的输入。在将用户可控制的输入放入输出之前，该软件不会中和或不正确地中和用户可控输入，该输出用作向其他用户提供的网页。

研究人员还发现，远程且未经身份验证的攻击者可以通过利用与跨源资源共享（CORS）机制相关的错误配置来执行添加新管理员帐户或更改设备设置等操作。此问题跟踪为CVE-2018-5406。

问题已经通过发布补丁SEC2018_20180410得到修复，该版本包含在9.0.270及更高版本中，CERT / CC表示。Quest客户可以从供应商的咨询中获取更多信息（完整详细信息需要注册）。

去年，Core Security报告发现 Quest的磁盘备份和系统管理设备共有60多个漏洞，其中包括Kace设备。该供应商当时发布了补丁，但如果披露了太多细节，则威胁要对Core采取法律行动。

原文始发于微信公众号（红数位）：Quest Kace K1000设备中发现严重漏洞