本周二����,美國(guó)卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)緊急響應(yīng)小組(CERT)協(xié)調(diào)中心發(fā)布公告,波蘭安全研究員Julian Horoszkiewicz在惠普的ArcSight系列產(chǎn)品上發(fā)現(xiàn)了5個(gè)安全漏洞���。
漏洞一:上傳任意文件
認(rèn)證的攻擊者可以利用ArcSight記錄器上的漏洞�,遠(yuǎn)程上傳任意文件到受害者系統(tǒng)上���。這使得攻擊者可在擁有應(yīng)用程序權(quán)限的服務(wù)器上執(zhí)行惡意腳本����。該產(chǎn)品的配置輸入功能不會(huì)過(guò)濾文件名����,因此攻擊者可以實(shí)現(xiàn)上傳任意文件的操作。
漏洞二:內(nèi)容篡改
認(rèn)證的攻擊者可以篡改系統(tǒng)資源和解析器��。之所以會(huì)存在這個(gè)問(wèn)題是因?yàn)橛涗浧鲿?huì)允許所有的用戶訪問(wèn)某些配置功能�����,如輸入��、搜索和內(nèi)容管理等功能���,當(dāng)然攻擊者也可以了��,正好趁機(jī)鉆了這個(gè)空子����。
漏洞三:外部實(shí)體注入
Horoszkiewicz還發(fā)現(xiàn)記錄器內(nèi)容輸入部分的XML解析器很容易受到XML外部實(shí)體注入攻擊���,攻擊者會(huì)利用這個(gè)漏洞在受害者服務(wù)器上執(zhí)行任意腳本�����。
惠普ArcSight產(chǎn)品上的漏洞主要有兩種類型:一種是跨站腳本(XSS)漏洞��;另外一種是跨站請(qǐng)求偽造(CSRF)漏洞�。攻擊者可利用跨站腳本(XSS)漏洞損壞或者修改系統(tǒng)規(guī)則和資源,利用跨站請(qǐng)求偽造(CSRF)漏洞篡改系統(tǒng)上的數(shù)據(jù)����。攻擊者會(huì)利用這些漏洞欺騙受害者訪問(wèn)一個(gè)精心編制的惡意鏈接,至于會(huì)造成多大程度的傷害��,這個(gè)要取決于受害者的權(quán)限�����。
受影響的產(chǎn)品
ArcSight企業(yè)安全管理器(ESM):6.8c之前的所有版本
ArcSight記錄器:6.0p1之前的所有版本
POC
目前Horoszkiewicz已經(jīng)把ArcSight記錄器漏洞的POC上傳到了網(wǎng)上�,有興趣的小伙伴們可以去看看。
安全建議
近日惠普發(fā)布軟件安全更新�,修復(fù)了旗下ArcSight企業(yè)安全管理器(ESM)和ArcSight記錄器上的這些漏洞,ArcSight產(chǎn)品是惠普公司的企業(yè)安全重要系列產(chǎn)品��,建議用戶進(jìn)行升級(jí)��。
小編推薦閱讀
