The Hacker News 網(wǎng)站披露，網(wǎng)絡會議服務 Apache OpenMeetings 存在多個安全漏洞，Sonar 漏洞研究員 Stefan Schiller 表示網(wǎng)絡攻擊者可以利用這些漏洞奪取管理帳戶的控制權(quán)，并在易受影響的服務器上執(zhí)行惡意代碼。

1689911027_64b9fef3ef94e7fec5c4a.png!small

2023 年 3 月 20 日，研究人員披露了漏洞詳情，2 個月后。 更新的 Openmeetings 7.1.0 版本中解決了漏洞問題。

漏洞的列表詳情如下：

• CVE-2023-28936 （CVSS 得分：5.3）- 邀請哈希值檢查不足；
• CVE-2023-29032 （CVSS 得分：8.1）- 身份驗證繞過，導致通過邀請哈希進行不受限制的訪問；
• CVE-2023-29246 (CVSS 得分：7.2) - 一個 NULL 字節(jié) (%00) 注入，允許具有管理員權(quán)限的攻擊者執(zhí)行代碼。

據(jù)悉，使用 OpenMeetings come 創(chuàng)建的會議邀請不僅綁定到特定的會議室和用戶，還會附帶一個特定的哈希，應用程序使用該哈希來檢索與邀請相關(guān)的詳細信息。簡言之，前兩個漏洞與用戶提供的哈希與數(shù)據(jù)庫中儲存的哈希之間的弱哈希比較有關(guān)。此外，還存在一個特別的情況，即允許在沒有分配會議室的情況下創(chuàng)建房間邀請，導致出現(xiàn)邀請沒有附加會議室的情況。

這時候，網(wǎng)絡攻擊者就可以利用上述漏洞創(chuàng)建一個會議議程并加入相應的房間，此時會為管理員用戶創(chuàng)建一個到不存在房間的邀請。下一步，網(wǎng)絡攻擊者可以利用弱哈希比較錯誤來枚舉發(fā)送的邀請，并通過提供通配符哈希輸入來兌換邀請。

1689911063_64b9ff174ad6b2ee1ff19.png!small

Schiller 進一步表示雖然當相關(guān)會議議程被刪除時，房間也會被刪除，但網(wǎng)絡攻擊者在房間里的存在使這里成為僵尸房間。此外，盡管在兌換此類邀請的哈希時會引發(fā)錯誤，但會為具有此用戶完全權(quán)限的受邀者創(chuàng)建有效的 web 會話。

換言之，僵尸會議室可能允許攻擊者獲得管理員權(quán)限并對 OpenMeetings 實例進行修改，包括添加和刪除用戶和組、更改會議室設置以及終止連接用戶的會話。

此外，Sonar 表示第三個漏洞源于一項功能，該功能使管理員能夠為與 ImageMagick 相關(guān)的可執(zhí)行文件配置路徑（ImageMagick 是一種用于編輯和處理圖像的開源軟件），這就使得具有管理員權(quán)限的攻擊者可以通過將 ImageMagic 路徑更改為“/bin/sh%00x”并觸發(fā)任意 shell 命令來獲得代碼執(zhí)行。

最后，Schiller 強調(diào)目前上傳一個包含有效圖像頭和任意 shell 命令的假圖像時，轉(zhuǎn)換會產(chǎn)生/bin/sh，第一個參數(shù)是假圖像，有效地執(zhí)行了其中的每個命令。結(jié)合帳戶接管，此漏洞使自注冊攻擊者能夠在底層服務器上遠程執(zhí)行代碼。

文章來源：https://thehackernews.com/2023/07/apache-openmeetings-web-conferencing.html