本周二,美国卡内基梅隆大学计算机紧急响应小组(CERT)协调中心发布公告,波兰安全研究员Julian Horoszkiewicz在惠普的ArcSight系列产品上发现了 5个安全漏洞 。
认证的攻击者可以利用ArcSight记录器上的漏洞,远程上传任意文件到受害者系统上。 这使得 攻击者可在拥有应用程序权限的服务器上执行恶意脚本。该产品的配置输入功能不会过滤文件名,因此攻击者可以实现上传任意文件的操作。
认证的攻击者可以篡改系统资源和解析器。 之所以会存在这个问题是因为记录器会允许所有的用户访问某些配置功能,如输入、搜索和内容管理等功能,当然攻击者也可以了,正好趁机钻了这个空子。
Horoszkiewicz还发现记录器内容输入部分的XML解析器很容易受到XML外部实体注入攻击,攻击者会利用这个漏洞在受害者服务器上执行任意脚本。
惠普ArcSight产品上的漏洞主要有两种类型:一种是跨站脚本(XSS)漏洞;另外一种是跨站请求伪造(CSRF)漏洞。攻击者可利用跨站脚本(XSS)漏洞损坏或者修改系统规则和资源,利用跨站请求伪造(CSRF)漏洞篡改系统上的数据。攻击者会利用这些漏洞欺骗受害者访问一个精心编制的恶意链接,至于会造成多大程度的伤害,这个要取决于受害者的权限。
ArcSight企业安全管理器(ESM):6.8c之前的所有版本 ArcSight记录器:6.0p1之前的所有版本
目前Horoszkiewicz已经把ArcSight记录器漏洞的 POC 上传到了网上,有兴趣的小伙伴们可以去看看。
近日惠普发布软件安全更新,修复了旗下ArcSight企业安全管理器(ESM)和ArcSight记录器上的这些漏洞,ArcSight产品是惠普公司的企业安全重要系列产品,建议用户进行升级。
[参考来源 www.securityweek ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]