Concrete5 CMS 系统漏洞利用反向 Shellcode 注入攻击 Web 服务器

专家警告，一个影响Concrete5 CMS的远程执行代码（RCE）漏洞使许多服务器面临完全接管。

Concrete5 CMS中最近解决的远程代码执行（RCE）漏洞使许多网站受到攻击。

Concrete5是一个开源CMS管理系统，专为具有最低技术技能的用户设计，易于使用。它允许用户直接从页面编辑网站内容。

CMS目前已被全球许多知名组织使用，包括BASF，GlobalSign和美国陆军。

该漏洞是由Edgescan的研究人员发现的，攻击者可以利用此漏洞将反向Shellcode注入易受攻击的Web服务器，从而使他能够完全控制它们。它会影响Concrete5 8.5.2版本。该漏洞可能已经被利用来在允许的扩展列表中添加PHP扩展，然后上传文件。

攻击者需要管理权限才能访问“允许文件类型”功能，并将PHP文件类型包括在允许的扩展名列表中。

EdgeScan发表的帖子中写道:“在对Concrete5版本8.5.2进行评估期间，已注意到可以修改站点配置以上传PHP文件并执行任意命令。”
“默认情况下，不允许使用文件类型，例如PHP，HTML和其他危险的文件扩展名，但是可以在合法文件列表中包含PHP扩展名，然后上传文件”

然后，攻击者可以将潜在的恶意代码上传到服务器上，然后执行任意命令。

在HackerOne上发布了复制利用该缺陷的分步过程。

“攻击者需要适当的权限（管理员角色）才能编辑和允许其他文件类型（文件扩展名）。如果添加了诸如PHP之类的文件类型，则用户将能够上载PHP Shell以访问下划线服务器系统并获得完全的服务器/系统控制权。这是可能的上传反向壳中获得最大的系统应。”读帖子上HackerOne公布。
“反向外壳程序是一种机制，它使攻击者可以利用Web服务器来触发连接，从而拥有服务器外壳程序。攻击者将能够完全控制Web服务器（系统）。” 继续EdgeScan分析。通过在服务器上执行任意命令，攻击者可能会损害完整性，可用性和机密性。并转到内部网络上的其他服务器。”

该漏洞是在2020年1月通过HackerOne平台报告的，但该漏洞已在6月发布的Concrete5版本8.5.4中修复。

EdgeScan专家还提供了一些建议，以确保CMS的安全。

“对于确保已安装的脚本和CMS平台保持最新状态至关重要。创建定期计划以更新或修补CMS以及所有已安装的插件和主题。确保所有组件都是最新的。” Edgescan总结道。“至少每周更新一次同样重要。定期备份CMS及其基础数据库。”