在开源CasaOS个人云软件中发现的两个关键安全漏洞可能被攻击者成功利用,以实现任意代码执行和接管易受攻击的系统。
这些漏洞被跟踪为CVE-2023-37265和CVE-2023-37266,CVSS得分均为9.8(满分10分)。
发现这些漏洞的声纳安全研究员Thomas Chauchefoin表示,这些漏洞“允许攻击者绕过身份验证要求,并获得CasaOS仪表板的完全访问权限。”
更麻烦的是,CasaOS对第三方应用程序的支持可以被武器化,在系统上运行任意命令,以获得对设备的持久访问或进入内部网络。
在2023年7月3日的负责任披露之后,这些缺陷在其维护者IceWhale于2023年7月14日发布的0.4.4版本中得到了解决。
这两个缺陷的简要说明如下:
CVE-2023-37265-不正确的源IP地址标识,允许未经身份验证的攻击者在CasaOS实例上执行任意命令
CVE-2023-37265-未经身份验证的攻击者可以创建任意JSON Web令牌(JWT),访问需要身份验证的功能,并以根用户身份在CasaOS实例上执行任意命令
成功利用上述缺陷的后果可能使攻击者能够绕过身份验证限制,并获得易受攻击的CasaOS实例的管理权限。
Chauchefoin表示“一般来说,在应用层识别IP地址是有风险的,不应该依赖于安全决策。”
“许多不同的头可以传输此信息(X-Forwarded-For、Forwarded等),并且语言API有时需要以相同的方式解释HTTP协议的细微差别。同样,所有框架都有自己的怪癖,如果不具备这些常见安全性方面的专业知识,可能会很难驾驭。”