F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE

申博_安全预警 申博 42次浏览 未收录 0个评论

F5端点搜检器(F5 Networks Endpoint Inspector)是一个平安搜检应用程序,它能够被web阅读器挪用,来扫描客户端的运转是不是相符平安请求。

近期有研究人员发明,假如F5端点搜检器能够会被歹意网站滥用,经由历程迥殊组织的页面触发RCE。

细致应用历程,请看此视频

下面我们来细致申明一下这个历程:

1.能够看到,假如阅读http://naughty.website/网站,该网站包括一个“迥殊制造”的f5-epi:// URI,这会触发F5端点搜检器的运转。

2.弹出一个UAC框,显然是试图运转一个由正当的F5收集证书署名的历程。

3.然后弹出powershell.exe,作为f5instd.exe的子历程运转,该历程具有管理员权限。

量力而行地讲,这并非一个真正意义上的破绽应用历程。所以研究人员在向F5报告时,该公司并不认可这是一个破绽,缘由安在呢?他们认为有太多的先决条件能够让该历程发生不测。为了申明这个状态,我会举行以下测试。

以下是不应用这个“非破绽”的基础先决条件:

1.受影响的用户必需具有管理员权限,因而他们能够单击UAC弹出窗口;

2.攻击者必需具有可托的代码署名证书才签订歹意CAB文件;

假如你想触发破绽(关于F5署名的二进制文件,只要一个清洁的UAC弹出窗口),CAB文件必需由“F5 Networks Inc”、“F5 Networks”或“uRoam Inc”署名。f5instd.exe二进制搜检署名“署名者称号”字段中的字符串:

F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE

你能够决议运用这些称号中的任何一个来取得受信托的代码署名证书的实在水平。我要说的是,“uRoam Inc”能够并不存在,由于F5在2003年买下了它。假如你想尝试一种更庞杂的方法来实行恣意代码,能够看下图。

Google Play中发现上百个伪装为游戏和拍照APP的广告恶意软件

美国2019年移动广告商的支出预计超过160万美元,随着移动广告传播活动逐年增长,网络犯罪分子开始通过广告恶意软件来进行盈利。Trend Micro研究人员近期发现了一起隐藏在Google Play应用商店中的恶意广告攻击活动,其中主要是游戏和拍照APP,下载量已经超过百万。攻击活动背后的广告恶意软件可以隐藏恶意APP的图标,展示无法立刻关闭或退出的全屏广告,还可以绕过沙箱的检测。 研究人员是在2019年6月中旬发现该广告恶意软件活动的。基于APP的行为分析,研究人员生成了可以用于分析其他原本的heuristic patterns。通过分析app的package名、标记、发布时间、下线时间、代码结构、代码风格和特征,研究人员得出结论:该广告恶意软件活动是从2018年开始活跃的,这些恶意APP是通过不同的开发者来提交的。 在这182个广告恶意软件加载的APP

F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE

但是,无论如何,纵然CAB署名中的“署名者称号”不是这三个字符串里的一个,恣意代码仍然会运转,用户只需点击另一个正告即可。

现实的破绽应用历程,请点此视频寓目。

注重:弹出的URL白名单框一般显现在新的网页上,但它确切不一致。

另一个提醒会讯问用户,他们是不是真的想要提取歹意CAB文件,只管它不是由F5或uRoam署名的。

不管怎样,这就是F5说它不是破绽的缘由。细致申明以下:

我们的团队已考核了你们剖析的报告,并肯定它不是一个破绽。装置弹出窗口清楚地显现署名者和称号,并显现正告音讯。此行动与用户从收集下载文件并单击它以在阅读器中运转它没有什么差别。个中也没有自动权限晋级的状态,假如装置须要管理员权限,而用户没有同意,那末其他人将没法装置该软件包。

但,个中的题目倒是:

1.为何许可CAB签订第三方证书呢,阻挠一切第三方证书肯定会更不轻易被应用?

2.在提取和处置惩罚CAB之前,为何不搜检证书中的“签订者称号”字段? 

3.为何要在2019年经由历程提取CAB文件来更新你的软件?有更好的方法来做到这一点;

4.这与用户从互联网上下载文件并点击它举行运转是差别的;

5.除此之外,F5是CVE编号机构(CNA),所以他们能够自行决议那些东西是不平安的;

3.让公司决议题目是破绽而不是不测状态时,是不是存在固有的利益冲突?

原文地点: https://www.4hou.com/vulnerable/18848.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址