流行的 Wget 下载实用程序中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造 (SSRF) 攻击。
JFrog 的安全研究员 Goni Golan发现了Wget 中的一个漏洞,Wget 是一个广泛使用的从互联网下载文件的命令行工具。该漏洞的编号为 CVE-2024-10524,攻击者可以利用该漏洞诱骗 Wget 向内部或受限服务器发出非预期请求。
了解漏洞
该漏洞源于 Wget 对简写 URL 的支持,这是一项旧功能,允许用户在某些情况下省略协议方案(例如“http://”)。然而,攻击者可以利用 Wget 对这些简写 URL 的处理来操纵请求的目的地。
“我们发现,当使用 HTTP 简写格式和用户提供的输入时,可能会发生意外行为。Wget 可能会向其他主机发出 FTP 请求——可能由攻击者控制的主机或用户通常无法访问的受限主机。此 SSRF 漏洞可以成为多种类型攻击的起点。”
漏洞利用场景
Golan 概述了攻击者可能利用此漏洞的几种方式,包括:
-
SSRF 攻击:通过操纵简写 URL,攻击者可以强制 Wget 向通常无法从互联网访问的内部服务器发送请求。
-
网络钓鱼攻击:攻击者可以制作看似指向合法网站但实际上将用户重定向到攻击者控制的服务器的恶意链接。
-
中间人 (MitM) 攻击:攻击者可以将自己置于 Wget 和目标服务器之间,拦截并可能操纵数据。
-
数据泄露:攻击者可以利用该漏洞获取敏感信息,例如错误日志或内部主机名。
影响与补救
该漏洞影响 Wget 1.24.5 及以下所有版本。建议用户更新至1.25.0或更高版本,该版本已修复此问题。
建议
-
更新 Wget:更新 Wget 至最新版本以修复漏洞。
-
清理用户输入:如果使用 Wget 和用户提供的输入,请仔细清理输入以防止恶意操纵 URL。
-
避免使用简写 URL:尽可能避免使用简写 URL,并在所有 Wget 请求中明确指定协议方案。
详细技术分析见:
https://jfrog.com/blog/cve-2024-10524-wget-zero-day-vulnerability/
原文始发于微信公众号(独眼情报):wget 存在SSRF 0day漏洞 CVE-2024-10524
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论