JumpServer漏洞使攻击者可绕过认证并获取完全控制权

Fit2Cloud 开发的开源特权访问管理 (PAM) 工具 JumpServer 中发现一系列严重漏洞，引发了重大的安全担忧。

JumpServer 作为内部网络的堡垒主机，通过用户友好的 Web 界面提供通过 SSH、RDP、数据库和 FTP 隧道访问内部资源的集中点。

发现的缺陷可能允许未经身份验证的攻击者绕过身份验证并完全控制 JumpServer 基础设施。

Sonar 研究人员发现多个身份验证绕过漏洞（CVE-2023-43650、CVE-2023-43652、CVE-2023-42818、CVE-2023-46123），这些漏洞可能允许攻击者冒充合法用户。

JumpServer 的集中式特性使这些漏洞特别危险，因为破坏该系统可能使攻击者能够访问组织的整个内部网络。

这些漏洞源于架构错误，特别是微服务隔离不足。

JumpServer 的架构由几个组件组成，包括核心 API（用 Python-Django 编写）、数据库、Koko（用 Go 开发，用于隧道功能）、Celery（任务管理器）和作为基于 Web 的连接的入口点的 Web 代理。

一个关键问题是，公钥认证系统缺乏对请求是否来自授权 Koko 服务的验证。如易受攻击的代码所示：

def authenticate(self, request, username=None, public_key=None, **kwargs): प    if not public_key:        return None    if username is None:        username = kwargs.get(UserModel.USERNAME_FIELD)    try:        user = UserModel._default_manager.get_by_natural_key(username)    except UserModel.DoesNotExist:        return None    else:        if user.check_public_key(public_key) and                 self.user_can_authenticate(user):                return user

这使得攻击者可以直接通过 HTTP 接口执行相同的请求，有效地冒充 Koko 容器而无需密钥验证。

由于 SSH 上下文中双因素身份验证的实施存在缺陷，即使启用了MFA的帐户也容易受到攻击，攻击者可以操纵“remote_addr”参数来绕过速率限制机制。

JumpServer 版本 3.10.12 和 4.0.0 已修复该漏洞。使用 JumpServer 的组织应立即更新至这些已修补的版本。

修复包括将公钥认证 API 与令牌生成分开，引入认证的状态跟踪机制，以及为 remote_addr 参数实现基于签名的验证系统。这些漏洞凸显了安全编码实践、全面测试和持续安全评估的重要性，尤其是在作为敏感资源网关的系统中。

来源：https://cybersecuritynews.com/jumpserver-vulnerabilities-let-attacker-bypass-authentication/