【复现】Openfire 控制台身份认证绕过漏洞风险通告
2023-6-13 16:31:59 Author: 赛博昆仑CERT(查看原文) 阅读量:88 收藏

-赛博昆仑漏洞安全通告-

Openfire 控制台身份认证绕过
漏洞风险通告

漏洞描述

Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。

近日,赛博昆仑CERT监测到Openfire 漏洞详情已公开,当攻击者可访问Openfire 控制台时,未经身份验证的攻击者可通过添加管理员用户,并可进一步执行任意代码,从而控制服务器权限。

漏洞名称

Openfire 控制台身份认证绕过漏洞

漏洞公开编号

CVE-2023-32315

昆仑漏洞库编号

CYKL-2023-008305

漏洞类型

权限绕过

公开时间

2023-5-24

漏洞等级

高危

评分

7.5

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

已知

EXP状态

已知

漏洞细节

已知

在野利用

已知

影响版本

3.10.0<=Openfire<4.6.8
4.7.0  <=Openfire<4.7.5
利用条件
访问Openfire 控制台,无需其他利用条件。
漏洞复现
赛博昆仑CERT已复现CVE-2023-32315,添加管理员用户。
登录创建的管理员用户添加插件并执行命令。

产品侧解决方案
  • 赛博昆仑洞见平台

赛博昆仑-洞见平台以风险运营为核心思想,结合资产、漏洞和威胁进行风险量化与风险排序,并在不中断业务运行的前提下完成威胁阻断和漏洞修复,从而实现实时的风险消除。
  • 资产风险规则

目前赛博昆仑-洞见平台的资产风险检测模块已加入该漏洞的检测规则并提示对应风险:
防护措施
  • 修复建议

勿将 Openfire 管理控制台暴露到外网。

官方已发布新版本,升级至4.6.8 或者 4.7.5 , 下载地址如下:

https://github.com/igniterealtime/Openfire/releases

  • 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:[email protected]
公众号:赛博昆仑CERT

参考链接

https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm

时间线
2023年6月13日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484204&idx=1&sn=83c5b3f198fba9e1d9856d69409e81f6&chksm=c12afeadf65d77bbbf82e3b3b585f8a7647d70bf022451eca260559a51e4948e7fa00833f411#rd
如有侵权请联系:admin#unsafe.sh