瑞友天翼应用虚拟化系统(以下简称瑞友虚拟化系统)是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。
2024年2月,长亭科技安全研究员发现了一个瑞友虚拟化系统的SQL注入漏洞,并第一时间向监管部门报送了该漏洞。
鉴于该漏洞无前置条件,易于利用,且默认情况下可直接获取操作系统权限,建议所有使用该系统的企业尽快进行升级修复,以确保系统安全。
漏洞成因
该漏洞是由于系统未对用户的输入进行有效的过滤,直接将其拼接进SQL查询语句中,导致出现了SQL注入漏洞。
漏洞影响
该漏洞的成功利用可利用SQL注入写入恶意文件获取操作系统权限,最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。
version < 7.0.5.1
临时缓解方案
1. 加强服务器和应用的访问控制,仅允许可信IP进行访问。另外如非必要,不要将该系统开放在互联网上。
2. 使用WAF等安全设备针对该应用的异常请求进行拦截。
升级修复方案
官方已发布新版本修复漏洞,建议更新至7.0.5.1及以上版本以修复漏洞。
xpoc远程检测工具
xpoc -r 423 -t http://xpoc.org
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail/1036
原文始发于微信公众号(长亭安全应急响应中心):【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论