本周二����,美國(guó)卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)緊急響應(yīng)小組(CERT)協(xié)調(diào)中心發(fā)布公告���,波蘭安全研究員Julian Horoszkiewicz在惠普的ArcSight系列產(chǎn)品上發(fā)現(xiàn)了5個(gè)安全漏洞。
漏洞一:上傳任意文件
認(rèn)證的攻擊者可以利用ArcSight記錄器上的漏洞��,遠(yuǎn)程上傳任意文件到受害者系統(tǒng)上�。這使得攻擊者可在擁有應(yīng)用程序權(quán)限的服務(wù)器上執(zhí)行惡意腳本。該產(chǎn)品的配置輸入功能不會(huì)過濾文件名����,因此攻擊者可以實(shí)現(xiàn)上傳任意文件的操作。
漏洞二:內(nèi)容篡改
認(rèn)證的攻擊者可以篡改系統(tǒng)資源和解析器�。之所以會(huì)存在這個(gè)問題是因?yàn)橛涗浧鲿?huì)允許所有的用戶訪問某些配置功能,如輸入��、搜索和內(nèi)容管理等功能���,當(dāng)然攻擊者也可以了�����,正好趁機(jī)鉆了這個(gè)空子�����。
漏洞三:外部實(shí)體注入
Horoszkiewicz還發(fā)現(xiàn)記錄器內(nèi)容輸入部分的XML解析器很容易受到XML外部實(shí)體注入攻擊��,攻擊者會(huì)利用這個(gè)漏洞在受害者服務(wù)器上執(zhí)行任意腳本��。
惠普ArcSight產(chǎn)品上的漏洞主要有兩種類型:一種是跨站腳本(XSS)漏洞�����;另外一種是跨站請(qǐng)求偽造(CSRF)漏洞���。攻擊者可利用跨站腳本(XSS)漏洞損壞或者修改系統(tǒng)規(guī)則和資源,利用跨站請(qǐng)求偽造(CSRF)漏洞篡改系統(tǒng)上的數(shù)據(jù)�。攻擊者會(huì)利用這些漏洞欺騙受害者訪問一個(gè)精心編制的惡意鏈接,至于會(huì)造成多大程度的傷害��,這個(gè)要取決于受害者的權(quán)限�。
受影響的產(chǎn)品
ArcSight企業(yè)安全管理器(ESM):6.8c之前的所有版本
ArcSight記錄器:6.0p1之前的所有版本
POC
目前Horoszkiewicz已經(jīng)把ArcSight記錄器漏洞的POC上傳到了網(wǎng)上,有興趣的小伙伴們可以去看看����。
安全建議
近日惠普發(fā)布軟件安全更新,修復(fù)了旗下ArcSight企業(yè)安全管理器(ESM)和ArcSight記錄器上的這些漏洞�,ArcSight產(chǎn)品是惠普公司的企業(yè)安全重要系列產(chǎn)品,建議用戶進(jìn)行升級(jí)����。
小編推薦閱讀
