前言
作者:0x6270
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。
一、漏洞概况
漏洞简述
AnyDesk是一款由德国公司AnyDesk Software GmbH推出的远程桌面软件。用户可以通过该软件远程控制计算机,同时还能与被控制的计算机之间进行文件传输。
AnyDesk存在信息泄露漏洞,攻击者可以通过知道受害者的 AnyDesk ID,利用“允许直接连接”功能在网络流量中暴露公共 IP 地址。
漏洞影响范围
供应商:Anydesk
产品:Anydesk
确认受影响版本: Anydesk<= 8.1.0
修复版本:暂无
二、漏洞复现实战
漏洞复现
以AnyDesk 8.1.0版本为例
-
在 AnyDesk 中启用直接连接:在您的系统上打开 AnyDesk,转到设置>连接,然后启用选项允许直接连接。将连接端口设置为 7070。
![CVE-2024-52940 AnyDesk信息泄露漏洞复现]( "CVE-2024-52940 AnyDesk信息泄露漏洞复现")
-
启动 PoC 工具:运行 Abdal AnyDesk 远程 IP 检测器工具。
![CVE-2024-52940 AnyDesk信息泄露漏洞复现]( "CVE-2024-52940 AnyDesk信息泄露漏洞复现")
-
输入目标AnyDesk ID:在系统上的AnyDesk应用程序中,输入目标系统的AnyDesk ID。
-
通过网络流量监控进行 IP 检索:在您的 AnyDesk 中输入目标的 AnyDesk ID 后,PoC 工具会自动侦听您系统上的网络流量,以检测和显示目标的公共 IP 地址。如果两个系统位于同一本地网络中,该工具还将显示目标的私有 IP 地址。
可以看到建立连接后,攻击机POC命令行显示本次连接相关信息,包含靶机IP地址。
根据POC改包,可以看到存在信息泄露,比较明显是内网IP泄露
链接:
https://github.com/ebrasha/abdal-anydesk-remote-ip-detector?tab=readme-ov-file
漏洞处置
用户可以通过检查AnyDesk的版本号来确定是否受影响,在AnyDesk中查看设置,确认版本信息。
目前没有针对此漏洞的用户端修复程序。要完全解决这个问题,需要 AnyDesk 开发团队的更新或补丁。
结束语
本文主要介绍了CVE-2024-52940 AnyDesk信息泄露漏洞复现过程,漏洞主要利用AnyDesk存在信息泄露,攻击者可以通过知道受害者的 AnyDesk ID,利用“允许直接连接”功能在网络流量中暴露公共 IP 地址。
原文始发于微信公众号(0x6270安全团队):CVE-2024-52940 AnyDesk信息泄露漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论