大家好,今天来为大家分享向日葵远程控制软件存在远程代码执行漏洞(CNVD202210270)的一些知识点,和的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧!
2月17日,国家信息安全漏洞共享平台(CNVD)披露,远程桌面控制软件——向日葵存在远程命令执行漏洞(CNVD-2022-10270)。聚铭网络立即做出反应,其网络流量智能分析与审计系统(iNFA)现已增加了识别和检测该漏洞的能力。
1. 漏洞描述
CNVD披露,Oray旗下向日葵远程控制软件存在远程代码执行漏洞(CNVD-2022-10270)和(CNVD-2022-03672),影响个人版和简易版Windows系统。攻击者可以利用该漏洞获取服务器控制权。发现漏洞利用演示视频已被公开。请相关用户尽快采取措施保护自己。
2. 受影响版本
Windows 向日葵个人版=11.0.0.33
向日葵简易版=V1.0.1.43315 (2021.12)
3. 漏洞重复出现
【1.端口检测】
当向日葵开启并连接成功后,会出现40000-60000的端口。这时候我们就可以使用portscan(或者其他扫描工具)进行扫描。
图1 打开向日葵软件
图2 扫描端口
【2.漏洞扫描】
使用curl ip:[端口号]。以下响应表明存在漏洞。没有回显表明该漏洞无法被利用。
图3 测试端口是否可用
【3.获取会话值(远程验证码)】
图4 获取会话值
【4.命令执行】
将获取到的session值添加到cookie中,然后使用特殊格式发送执行命令,如‘whoami’,请求查看是否可以获取主机名。如果有回显,则证明漏洞已成功复现。
图5 whoami命令执行成功
4. 维修计划
1.向日葵已正式发布修复版本,请及时更新:https://sunlogin.oray.com/
2、如果目前无法升级,在业务环境允许的情况下,可以使用白名单限制Web端口的访问,降低风险。
5. 支持检测
聚铭网络智能网络流量分析与审计系统(iNFA)现已支持向日葵远程命令执行攻击的流量检测。
用户评论
看名字就吓人!远控软件还漏洞?这简直是噩梦啊,现在连远程控制都不能安全的吗?
有13位网友表示赞同!
我一直担心这类软件的安全性问题,果然现实中还是存在很多漏洞,希望向日葵团队赶紧修复吧!
有6位网友表示赞同!
对这个漏洞了解了一下,真的很恐怖!如果攻击者利用这个漏洞入侵系统,后果不堪设想啊...幸好我已经卸载了向日葵。
有8位网友表示赞同!
CNVD202210270 这个编号记下来了,大家使用远控软件一定要小心点,建议定期更新软件版本!
有13位网友表示赞同!
之前朋友跟我说过这个向日葵有安全隐患,我当时没太在意,现在看来是有道理的。以后还是少用这类软件吧!
有13位网友表示赞同!
远程代码执行漏洞可是很严重的威胁啊,幸好我没用过向日葵软件,不然后果就难以想象了!提醒各位小心使用远控软件!
有10位网友表示赞同!
希望向日葵团队能够尽快修复这个漏洞,保证用户的安全。否则,软件的声誉会受到严重损害的!
有15位网友表示赞同!
为什么总是老是出现这些安全问题?这真是让用户越来越没有安全感了。。。希望监管部门能对这类软件更加严格!
有12位网友表示赞同!
我的电脑里有向日葵远程桌面,真担心自己被黑客入侵怎么办?现在就赶紧卸载掉吧,换个别的安全一点的软件!
有8位网友表示赞同!
向日葵一直都是一个比较知名的远控软件,现在出现这样的漏洞真的很让人失望。用户需要提高警惕,及时了解最新的安全信息!
有13位网友表示赞同!
我的朋友之前就说向日葵不靠谱,容易被攻击,我一直没信...现在看来真的是有道理的啊...
有14位网友表示赞同!
这个漏洞修复得快一点吧,别耽误我用远控软件工作!希望开发者们能够重视用户安全问题!
有17位网友表示赞同!
向日葵之前一直被认为是比较安全的远程控制软件,没想到现在会出现这样的问题。希望他们的修复方案能让用户放心!
有12位网友表示赞同!