Spectrum Protect Plus 任意代碼執行漏洞預警

king2020-09-17 18:44:59

IBM官方公布其Spectrum Protect Plus的管理控制臺中存在一個的任意代碼執行漏洞（CVE-2020-4703），該漏洞是由于6月披露的一個高危漏洞CVE-2020-4470的修復不完整造成的。**

0x00漏洞概述

IBM Spectrum Protect Plus是用于虛擬環境的數據保護和可用性解決方案，可在幾分鐘內完成部署，并在一小時內為環境提供保護。它將數據保護化繁為簡，無論是存儲在物理環境、虛擬環境、軟件定義的環境還是云環境中的數據都是如此。它可作為獨立解決方案來實施，或者與IBM Spectrum Protect 環境集成，從而大規模高效轉移副本用于長期存儲和數據監管。

2020年9月14日，IBM官方公布其Spectrum Protect Plus的管理控制臺中存在一個的任意代碼執行漏洞（CVE-2020-4703），該漏洞是由于6月披露的一個高危漏洞CVE-2020-4470的修復不完整造成的。其CVSS評分為8。

0x01漏洞詳情

CVE-2020-4470是IBM Spectrum Protect Plus 10.1.0到10.1.5版本中存在的一個任意代碼執行漏洞。成功利用該漏洞的攻擊者可以上傳任意文件到易受攻擊的服務器上執行任意代碼。CVE-2020-4770漏洞利用需要兩個步驟。

第一步是通過向URL端點https://:8090/api/plugin發送HTTP POST消息，將惡意的RPM軟件包上傳到管理員帳戶可寫的目錄中。

第二步是通過向URL端點http://:8090/emi/api/hotfix發送HTTP POST消息來安裝惡意RPM包。

在易受攻擊的服務器上，兩個步驟都不需要身份驗證。CVE-2020-4470的修復程序僅通過對/emi/api/hotfix端點強制執行身份驗證來解決第二個步驟。它仍然允許未經身份驗證的任意文件上傳到管理員帳戶可寫的目錄并在該目錄下運行。這導致惡意攻擊者可與CVE-2020-4711漏洞結合使用，將任何文件上傳到服務器的任意目錄，從而導致未經身份驗證的RCE。

該漏洞的PoC如下：

本次IBM還修復了Spectrum Protect Plus的一個目錄遍歷漏洞（CVE-2020-4711）。

CVE-2020-4711是Spectrum Protect Plus的腳本/opt/ECX/tools/scripts/restore_wrapper.sh中的一個目錄遍歷漏洞。該漏洞是由于目錄路徑的檢查被繞過。

未經身份驗證的遠程攻擊者可以通過向URL端點https://:8090/catalogmanager/api/catalog發送特制的HTTP請求來利用此問題，當cmode參數為restorefromjob時，不需要身份驗證：

端點處理程序調用com.catalogic.ecx.catalogmanager.domain.CatalogManagerServiceImpl.restoreFromJob方法，而無需檢查用戶憑據。restoreFromJob方法以root用戶身份執行/opt/ECX/tools/scripts/restore_wrapper.sh腳本，將攻擊者控制的HTTP參數ctarget / cRestoreTarget傳遞給該腳本：