近日向日葵軟體被爆出存在遠端指令執行漏洞(CNVD-2022-10270),威脅等級高,涉及向日葵個人版 for Windows (影響11.0.0.33162及以下版本)及向日葵簡約版 [影響V1.0.1.43315(2021.12)版本]。向日葵遠端控制是一款提供遠端控制服務的軟體。其支援主流作業系統Windows、Linux、Mac、iOS、Android跨平台協同操作,在任何可連入網際網路的地點,都可以輕松通路和控制安裝了向日葵遠端控制用戶端的裝置。
1.概述
向日葵遠端指令執行漏洞無法以檔案形式在終端側被發現,其攻擊方式主要是通過主動掃描、外部遠端服務等技術在流量測發起漏洞利用行為,進而執行惡意代碼。
安天探海網絡檢測小組針對向日葵個人版(Windows)的CNVD-2022-10270漏洞進行了分析和複現,該漏洞因向日葵用戶端運作提供HTTP服務,其中RPC接口存在未授權通路,可擷取主機資訊、驗證資訊,進而遠端指令執行。安天建議您考慮如下安全政策,以加強您的網絡:
- 立即更新網絡安全産品的特征庫,對漏洞利用過程的網絡行為特征進行檢測,及早發現網内利用該漏洞的攻擊活動。
- 基于向日葵軟體的流量特征結合資産管理工具進行暴露面排查。
- 在處理敏感或高價值資訊的網絡中,制定明确的利用公網進行遠端協助的軟體的使用控制政策,并定期考察政策依從性。
2.漏洞描述
經安天探海網絡檢測小組分析驗證,向日葵個人版 for Windows <=11.0.0.33162版本及向日葵簡約版 <= V1.0.1.43315(2021.12)版本存在被繞過的可能性,具體漏洞資訊如下:
漏洞資訊
漏洞名稱 | 向日葵遠端代碼執行漏洞 |
漏洞編号 | CNVD-2022-10270/CNVD-2022-03672 |
受影響應用及版本号 | 向日葵個人版 for Windows <= 11.0.0.33162 向日葵簡約版 <= V1.0.1.43315(2021.12) |
漏洞分類 | 主機應用漏洞 |
漏洞類型 | 未授權通路 |
漏洞标簽 | 主機應用漏洞、未授權通路、遠端指令執行 |
危害等級 | 高 |
漏洞簡介 | 向日葵遠端控制軟體存在未授權通路漏洞,啟動服務端軟體後,會開放未授權通路端口,攻擊者可通過未授權通路無需密碼直接擷取驗證資訊,并借此遠端任意指令執行。 |
3.漏洞利用對應的ATT&CK映射圖譜
經分析,向日葵遠端控制軟體存在未授權通路漏洞,攻擊者可通過未授權通路無需密碼直接擷取驗證資訊,并借此遠端執行任意代碼。通過ATT&CK映射,可發現攻擊者在該漏洞中使用的技術特點。
圖 3‑1漏洞利用對應的ATT&CK映射圖譜
具體ATT&CK技術行為描述表:
表3‑1 該漏洞利用對應的ATT&CK技術行為描述表
ATT&CK階段/類别 | 具體行為 | 注釋 |
偵查 | 主動掃描 | 通過掃描軟體獲得RCE端口,例如使用xrkRCE.exe |
初始通路 | 利用外部遠端服務 | 通過RCE端口可以通路内部網絡資源,可以擷取到session憑證 |
執行 | 利用指令與腳本解釋器 | 通過session憑證構造指令執行請求 |
發現 | 發現遠端系統 | 擷取系統機器名和域名 |
橫向移動 | 遠端服務會話劫持 | 不需要使用者名密碼,使用session憑證就可以通路 |
收集 | 自動收集 | 通過遠端指令收集所要資訊 |
指令與控制 | 使用應用層協定 | 通過HTTP傳輸控制指令 |
4.檢測思路及漏洞修複建議
安天探海網絡檢測小組建議使用者對向日葵用戶端活動進行檢測,若存在低版本向日葵用戶端則可能受該漏洞影響,具體檢測思路如下:
- 檢測使用向日葵用戶端活動,可以通過監控向日葵運作時的解析域名,配合使用者網絡行為基線、資産管理資訊發現網絡中存在的違規行為。
- 區域網路場景下,以漏洞利用位置、payload特征、指令特征、伺服器端口等作為檢測特征進行檢測;發現區域網路内未授權擷取主機資訊、利用漏洞進行橫向移動行為。
- 網際網路場景下,檢測向日葵心跳、檢測向日葵私有協定特征活動,結合告警時間範圍,發現網際網路場景下的遠端控制活動。
漏洞修複建議
- 臨時修複建議:
- 遵循最小權限原則,做好權限驗證;
- 限制通路路徑,對使用者的輸入進行白名單控制,對可執行的作業系統指令做白名單控制。
- 通用修複建議:
目前廠商已釋出了漏洞修複程式,建議使用者及時從官網下載下傳向日葵最新版本(Windows12.5.0.44969版本)進行安裝使用,下載下傳位址:https://sunlogin.oray.com/download/
安天探海解決思路
安天探海網絡檢測小組基于網絡流量對向日葵遠端代碼執行漏洞利用行為進行分析及複現,并及時制定向日葵漏洞利用檢測政策,現已應用到安天探海威脅檢測系統(PTD),安天探海産品已可針對向日葵使用情況及漏洞利用事件進行檢測,可有效檢測偵查、初始通路、執行、發現、橫向移動、收集、指令與控制等多個漏洞利用的ATT&CK威脅架構技術。
圖5-1探海對向日葵漏洞告警
使用者可通過安天探海産品檢視網絡流量中是否有向日葵流量,以及向日葵流量大小,具體如下:
圖5-2向日葵流量檢視
安天探海可以檢測并告警向日葵漏洞利用行為,詳細事件資訊可檢視事件分析-》威脅事件頁面中的流量檢測結果。
圖5-3向日葵漏洞利用事件
已包含相關向日葵漏洞利用檢測規則的PTD網絡威脅行為規則庫版本為Antiy_AVLX_2022021705(請确認裝置系統版本為6.6.1.2 SP1以上,舊版本建議先更新到最新版本)。