【报告】Wget漏洞这事儿,还是绿盟Hold住!
Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,是Unix/Linux系统最常用的下载工具,支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。...
综述
Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,是Unix/Linux系统最常用的下载工具,支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。
Wget1.18之前的版本在对HTTP服务重定向进行处理时存在漏洞,远程攻击者可以利用此漏洞写入任意文件,CVE编号为CVE-2014-4877,CVSS分值为9.3【严重】。
官方通告地址如下:
https://lists.gnu.org/archive/html/bug-wget/2016-06/msg00033.html
影响的版本:Wget < 1.18
不受影响的版本:Wget = 1.18
快来投票
技术分析
HTTP服务可以将网络请求重定向到其他目标。利用此漏洞,远程攻击者可以通过控制HTTP重定向指向的FTP文件名,实现对敏感文件的写入操作。
例如,攻击者可以控制HTTP重定向的Location字段,将指向poc.txt的请求重定向到FTP服务上一个名为.bash_profile的文件:
攻击者监听指定的端口,当payload被执行后便可以获取到被攻击主机的shell:
官方修复分析
从wget的github的项目中可以看到,这个漏洞(CVE-2016-4971)是在这个commit中修复的:https://github.com/mirror/wget/commit/e996e322ffd42aaa051602da182d03178d0f13e1
从修复的log中可以看出,本次修复主要修复了ftp_loop和ftp_loop_interval这两个基础函数。
测试一下wget1.14和wget1.18(修复版本)
防护方案
- 通过命令wget –V 可以获得当前wget的版本,如果为受影响的版本,建议升级到1.18版本。
- 在调用wget命令时,尽量使用-O参数指定输出路径和文件名,并注意检查下载的文件。
- 使用绿盟科技的远程评估系统(RSAS)对内网进行安全评估。
- 使用绿盟科技检测类产品(IDS)进行检测。
- 使用绿盟科技防护类产品(IPS/NF/SG)进行防护。
- 已经购买了绿盟科技相关产品服务的客户可以通过产品升级进行检测与防护。
- 短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
- 中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
- 长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。
由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。
如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
请点击屏幕右上方“…”
关注绿盟科技公众号
NSFOCUS-weixin
↑↑↑长按二维码,下载绿盟云APP
点击下方“阅读原文”查看更多
↓↓↓
关注 绿盟科技
微信扫一扫关注公众号
