CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

admin
admin
admin
138858
文章
114
评论
2023年2月8日08:52:57评论823 views字数 2258阅读7分31秒阅读模式

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

2022年10月18日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞85个,影响到Oracle产品的其他厂商漏洞221个。包括Oracle E-Business Suite 安全漏洞(CNNVD-202210-1279、CVE-2022-21587)、Oracle E-Business Suite 安全漏洞(CNNVD-202210-1220、CVE-2022-39428)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。Oracle多个产品和系统受漏洞影响。目前,Oracle官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

2022年10月18日,Oracle发布了2022年10月份安全更新,共306个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Oracle Mysql 和 Mysql 组件、Oracle Enterprise Manager Base Platform 、Oracle Fusion Middleware和Oracle WebLogic Server、Oracle Siebel CRM、Oracle HTTP Server、Oracle PeopleSoft Enterprise Common Components等。CNNVD对其危害等级进行了评价,其中超危漏洞58个,高危漏洞113个,中危漏洞126个,低危漏洞9个。Oracle多个产品和系统版本受漏洞影响,具体影响范围可访问 https://www.oracle.com/security-alerts/cpuoct2022.html查询。

二、漏洞详情

viettel安全的名为vudq4的安全研究员发布关于CVE-2022-21587 (Oracle E-Business Suite 未授权RCE)的细节.其主要通过oracle.apps.bne.framework.BneMultipartRequest中的doUploadFile函数,其处理文件名带有uue的文件时候会调用doUnZip,而该函数容易遭到ZipSlip的攻击造成文件上传.同时也介绍了如何编写可以在其工作的webshell,但是由于oracle.apps.fnd.security.WLFilter的限制.所以只能去考虑如何覆盖pl来进行执行,由于所有经过pl的都会经过weblogic.servlet.CGIServlet在调试的可以发现一个不重要的文件txkFNDWRR.pl(作用只有生成log),通过覆盖来实现webshell,完成RCE。

三、漏洞复现

1.1 环境准备

Oracle EBS的安装有两种方式,一种是安装各个组件,另一种是导入Oracle Linux操作系统预装的OVA文件。这两种方法都需要从https://edelivery.oracle.com/下载安装文件,总大小约为 66 GB。可以参考可以按照此处的说明进行安装步骤https://blog.rishoradev.com/2021/04/12/oracle-ebs-r12-on-virtualbox/快速导入VM。

1.2 分析

参考vudq4的文章

1.3 复现

1.3.1 准备工具

从vudq4的文章中,得知encode函数使用了一种比较特殊且老旧的函数uuencoding(Unix to Unix),常用来对电子邮件系统中的二进制文件进行编码。

1.sharutils

2.perl Webshell

3.脑子

1.3.2 工具测试

在centos上,使用uuencode加密内容为123.com的txt文件如下:

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

1.3.3 渗透测试

通过阅读文章:“Sau các đoạn code parse query, header, … trong request của người dùng thì cuối cùng Servlet này sẽ gọi lệnh chạy 1 file perl cố định, có tên là txkFNDWRR.pl.”

得知:代码解析用户请求中的query, header, ... 之后,最后这个servlet 会调用命令运行一个固定的perl 文件,命名为txkFNDWRR.pl, 所以我可以覆盖这个文件并将其用作webshell。

所以这里只需要使用perl编写一个webshell,然后使用uuencode加密后上传服务器覆盖txkFNDWRR.pl即可。

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

使用靶机进行测试:

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

上传成功,命令执行:

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

四、原理性扫描

通过漏洞原理性扫描(探测性,非渗透测试),使用2575个非中国IP测试,命中790个。

CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

五、参考

【CNNVD关于Oracle多个安全漏洞的通报】

https://mp.weixin.qq.com/s/QHj8dp2N2tQcE0nkXh0C2g?scene=25#wechat_redirect

【CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)】

https://blog.viettelcybersecurity.com/cve-2022-21587-oracle-e-business-suite-unauth-rce/


原文始发于微信公众号(The Matrix):CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月8日08:52:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2022-21587 (Oracle E-Business Suite Unauthenticated RCE)https://cn-sec.com/archives/1539318.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息