サイバーセキュリティ研究者は、ITおよび開発チームで広く使用されているオンラインドキュメントとコラボレーションプラットフォームであるShowDocの重大なリモートコード実行(RCE)脆弱性に関する緊急警告を発表しました。
CNVD-2020-26585として追跡されているこの欠陥は、現在野生で積極的に悪用されており、パッチが適用されていない数千のデプロイメントに深刻なリスクをもたらしています。
脆弱性は、ShowDocバージョン2.8.7以前に影響を与える無制限のファイルアップロードメカニズムに由来しています。
脆弱なエンドポイントはログイン認証を必要としないため、悪意のある行為者は/index.php?s=/home/page/uploadImgパスへのカスタムHTTP POSTリクエストを送信することで、PHPウェブシェルまたは他のバックドアを直接アップロードできます。
攻撃者は一般的にtest.<>phpなどの欺瞞的なファイル名でペイロードを偽装し、弱いファイル拡張子フィルターをバイパスします。
アップロードされると、サーバーは悪意のあるファイルを指すURLを自動的に返します。攻撃者がそのURLにアクセスするとペイロードが実行され、システムの完全なリモートコード実行機能が得られます。
セキュリティアナリストは、この欠陥を悪用することは驚くほど単純であり、最小限の技術的専門知識のみが必要であると警告しています。
ウェブシェルが配置されると、攻撃者は任意のコマンドを実行し、機密の内部ドキュメントを流出させ、内部ネットワーク全体をラテラルムーブするか、ランサムウェアなどの追加マルウェアを配置できます。
Vulhubでホストされているポックは、コード実行の成功を確認し、脆弱性の重大性を強調しています。
APIドキュメントと設定の詳細を保存するためのソフトウェアチーム間でのShowDocの人気を考慮すると、悪用は重要なインフラストラクチャの秘密を露出させ、より広いサプライチェーン攻撃を促進する可能性があります。
脆弱なShowDocインスタンスを運用している管理者は、潜在的な侵害を軽減するため、直ちに行動することを促されています。
セキュリティ専門家は、CNVD-2020-26585が既知の脆弱性であるにもかかわらず、古いバージョンの継続的な悪用は、一貫したパッチ管理と境界強化の緊急性を強調していると指摘しています。
翻訳元: https://cyberpress.org/showdoc-rce-vulnerability/
