公家機關及學術單位上百台BOA Webserver存有CVE-2017-9833漏洞等情 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2023-00063
  •  發信 Vendor: 公家機關及學術單位
  • Title: 公家機關及學術單位上百台BOA Webserver存有CVE-2017-9833漏洞等情
  • Introduction: path traversal

處理狀態

目前狀態

公開
Last Update : 2023/04/17
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2023/02/15 14:45:25 : 新提交 (由 phantom 更新此狀態)
  • 2023/02/15 14:50:29 : 新提交 (由 phantom 更新此狀態)
  • 2023/02/16 00:15:34 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/03/01 17:40:20 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/03/01 17:40:20 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/04/17 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2023-00063
  • 通報者:phantom (phantom)
  • 風險:高
  • 類型:本地檔案引入 (Local File Inclusion, LFI)

參考資料

攻擊者可經由該漏洞取得後端系統檔案及網站程式原始碼等敏感資料。

漏洞說明: OWASP - Testing for Local File Inclusion
https://www.owasp.org/index.php/Testing_for_Local_File_Inclusion

Wikepedia 漏洞說明:
https://en.wikipedia.org/wiki/File_inclusion_vulnerability

OWASP Top 10 2007 - Malicious File Execution
https://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

一、GSN:117.56.175.143、223.200.13.63、117.56.109.101、117.56.246.252、124.199.89.196、210.69.159.164、223.200.49.75、117.56.14.185、223.200.185.107、117.56.246.48、117.56.165.147、163.29.86.115、223.200.118.19、210.241.55.83、223.200.238.221、210.69.159.138。
二、TANET:140.136.221.49、163.17.247.20、163.21.194.217、163.23.77.42、163.21.102.12、140.114.12.181、140.130.45.69、163.23.113.16、163.20.131.201、140.136.181.139、163.20.131.209、163.21.230.34、140.136.220.142、203.72.145.224、163.21.161.31、163.23.93.11、163.21.194.213、203.72.59.16、163.20.89.207、203.71.0.222、163.20.150.35、203.71.0.217、163.21.160.47、163.20.106.70、140.128.81.217、163.21.194.214、163.17.127.28、163.20.6.223、163.23.94.94、163.21.230.33、163.23.88.142、140.136.124.250、163.20.131.208、163.20.141.247、140.112.248.208、163.23.118.78、203.71.0.211、163.23.98.183、163.23.116.249、203.71.0.212、140.127.115.239、163.23.118.18、203.71.0.218、163.23.94.94、203.71.0.215、163.23.78.221、140.120.190.240、203.71.0.221、140.126.169.241、140.120.75.11、163.20.95.175、140.120.102.200、163.23.72.52、140.138.177.79、203.71.0.214、163.21.194.212、163.20.126.88、163.23.71.38、163.21.194.216、140.114.30.59、203.71.0.223、163.20.140.99、163.17.21.245、163.23.73.14、140.120.77.138、140.126.169.240、163.20.93.246、163.23.77.41、203.71.0.220、140.136.141.49、163.20.94.121、163.17.148.218、163.22.33.44、140.136.215.105、163.20.166.75、163.20.150.34、163.20.126.89、203.71.0.229、203.72.59.13、163.17.176.136、163.23.97.91、163.22.79.247、163.20.131.207、140.130.176.209、163.20.131.226、140.128.81.216、163.20.76.204、163.21.230.37、163.20.131.203、140.136.185.63、163.22.161.7、163.20.166.39、163.17.231.95、163.22.9.190。

敘述

一、公家機關及學術單位共上百台BOA Webserver存有CVE-2017-9833漏洞,該漏洞係透過FILECAMERA 參數,於網址列上構造特殊網址即可讀取/etc/shadow、/etc/host及/etc/passwd等機敏檔案,為避免駭客透過上述未妥適設定之資通訊設備針對機關內部進行滲透,藉此竊取更多機敏資訊,因此建議相關單位應盡快修改密碼,避免遭駭客入侵。
二、範例:http://117.56.165.109:80/cgi-bin/wapopen?B1=OK&NO=CAM_16&REFRESH_TIME=Auto_00&FILECAMERA=../../etc/shadow%00&REFRESH_HTML=auto.htm&ONLOAD_HTML=onload.htm&STREAMING_HTML=streaming.htm&NAME=malice&PWD=malice&PIC_SIZE=0
即可讀取/etc/shadow檔案資料,另將網址列上的/etc/shadow取代成/etc/passwd,亦可讀取該檔案內容。
三、驗證圖片只能上傳10張,上述IP均有驗證成功的截圖,如有需要私訊取得。
四、111年11月間,Microsoft 指出該公司持續觀察到駭侵者試圖透過 Boa 中的各種漏洞,針對全球多個能源產業公司發動各種攻擊。駭侵者可以利用這些漏洞遠端執行任意程式碼,並發動進一步的攻擊,建議各關鍵基礎設施公私單位,應在例行的資安維護中定期檢視各連網裝置使用的軟體或韌體是否已停止維護,且應在無法取得更新後儘速停用並汰舊換新,以免舊漏洞無法更新,成為駭侵攻擊破口。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;