Spectrum Protect Plus 任意代码执行漏洞预警

king2020-09-17 18:44:59

IBM官方公布其Spectrum Protect Plus的管理控制台中存在一个的任意代码执行漏洞（CVE-2020-4703），该漏洞是由于6月披露的一个高危漏洞CVE-2020-4470的修复不完整造成的。**

0x00漏洞概述

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案，可在几分钟内完成部署，并在一小时内为环境提供保护。它将数据保护化繁为简，无论是存储在物理环境、虚拟环境、软件定义的环境还是云环境中的数据都是如此。它可作为独立解决方案来实施，或者与IBM Spectrum Protect 环境集成，从而大规模高效转移副本用于长期存储和数据监管。

2020年9月14日，IBM官方公布其Spectrum Protect Plus的管理控制台中存在一个的任意代码执行漏洞（CVE-2020-4703），该漏洞是由于6月披露的一个高危漏洞CVE-2020-4470的修复不完整造成的。其CVSS评分为8。

0x01漏洞详情

CVE-2020-4470是IBM Spectrum Protect Plus 10.1.0到10.1.5版本中存在的一个任意代码执行漏洞。成功利用该漏洞的攻击者可以上传任意文件到易受攻击的服务器上执行任意代码。CVE-2020-4770漏洞利用需要两个步骤。

第一步是通过向URL端点https://:8090/api/plugin发送HTTP POST消息，将恶意的RPM软件包上传到管理员帐户可写的目录中。

第二步是通过向URL端点http://:8090/emi/api/hotfix发送HTTP POST消息来安装恶意RPM包。

在易受攻击的服务器上，两个步骤都不需要身份验证。CVE-2020-4470的修复程序仅通过对/emi/api/hotfix端点强制执行身份验证来解决第二个步骤。它仍然允许未经身份验证的任意文件上传到管理员帐户可写的目录并在该目录下运行。这导致恶意攻击者可与CVE-2020-4711漏洞结合使用，将任何文件上传到服务器的任意目录，从而导致未经身份验证的RCE。

该漏洞的PoC如下：

本次IBM还修复了Spectrum Protect Plus的一个目录遍历漏洞（CVE-2020-4711）。

CVE-2020-4711是Spectrum Protect Plus的脚本/opt/ECX/tools/scripts/restore_wrapper.sh中的一个目录遍历漏洞。该漏洞是由于目录路径的检查被绕过。

未经身份验证的远程攻击者可以通过向URL端点https://:8090/catalogmanager/api/catalog发送特制的HTTP请求来利用此问题，当cmode参数为restorefromjob时，不需要身份验证：

端点处理程序调用com.catalogic.ecx.catalogmanager.domain.CatalogManagerServiceImpl.restoreFromJob方法，而无需检查用户凭据。restoreFromJob方法以root用户身份执行/opt/ECX/tools/scripts/restore_wrapper.sh脚本，将攻击者控制的HTTP参数ctarget / cRestoreTarget传递给该脚本：