【最新漏洞預警】CVE-2021-35232 Solarwinds Web Help Desk一個雞肋的HQL注入漏洞

VSole2022-02-24 06:24:30

漏洞信息

Solarwinds Web Help Desk 12.7.7 Hotfix 1以前版本存在一個硬編碼用戶憑證，導致能夠本地執行任意 Hibernate 查詢語句。漏洞編號為CVE-2021-35232，在特定模式下有可能被遠程利用的可能性。

環境搭建

下載12.7.6版本，安裝完成后訪問登錄頁面：

跳過郵箱設置，輸入用戶和密碼：

登錄web控制臺：

安裝后版本為12.7.6.8432：

在wrapper.conf中添加debug參數即可開啟遠程調試：

漏洞分析

抓包分析：

請求格式為`/helpdesk/WebObjects/HelpDesk.woa`。路由規則使用`Spring`和私有代碼控制，由于是硬編碼問題，審計JSP代碼時找到了一個固定的用戶名和密碼：

全路徑搜索該字符串，在`ConstantAndSettings`中定義了`Production`和`Development`兩組硬編碼用戶密碼：

以及其他的引用位置，主要包括`RestClient`、`RouteController`和`Authentication Manager`：

λ grep -R "dev-C4F8025E7" ././helpdesk/WEB-INF/jsp/test/orionIntegrationTest.jsp:  var auth = {loginName:'helpdeskIntegrationUser', password:'dev-C4F8025E7'};./helpdesk/WEB-INF/jsp/test/orionIntegrationTest.jsp:  var auth = {loginName:'helpdeskIntegrationUser', password:'dev-C4F8025E7'};./helpdesk/WEB-INF/lib/whd-core/com/macsdesign/whd/rest/controllers/BasicAuthRouteController$1.class./helpdesk/WEB-INF/lib/whd-core/com/solarwinds/whd/service/impl/auth/HelpdeskIntegrationAuthenticationManager.class
λ grep -R helpdesk91114AD77B4CDCD9E18771057190C08B ././helpdesk/WEB-INF/lib/whd-core/com/macsdesign/whd/rest/controllers/BasicAuthRouteController$1.class./helpdesk/WEB-INF/lib/whd-core/com/solarwinds/whd/rest/RestClient.class./helpdesk/WEB-INF/lib/whd-core/com/solarwinds/whd/service/impl/auth/ClusterNodeAuthenticationManager.class./helpdesk/WEB-INF/lib/whd-core/com/solarwinds/whd/service/impl/auth/HelpdeskIntegrationAuthenticationManager.class./helpdesk/WEB-INF/lib/whd-core/com/solarwinds/whd/service/impl/ClusterLicenseServiceImpl$RestClient.class