向日葵远程控制软件存在远程代码执行漏洞（CNVD202210270）

大家好，今天来为大家分享向日葵远程控制软件存在远程代码执行漏洞（CNVD202210270）的一些知识点，和的问题解析，大家要是都明白，那么可以忽略，如果不太清楚的话可以看看本篇文章，相信很大概率可以解决您的问题，接下来我们就一起来看看吧！

2月17日，国家信息安全漏洞共享平台（CNVD）披露，远程桌面控制软件——向日葵存在远程命令执行漏洞（CNVD-2022-10270）。聚铭网络立即做出反应，其网络流量智能分析与审计系统（iNFA）现已增加了识别和检测该漏洞的能力。

1. 漏洞描述

CNVD披露，Oray旗下向日葵远程控制软件存在远程代码执行漏洞（CNVD-2022-10270）和（CNVD-2022-03672），影响个人版和简易版Windows系统。攻击者可以利用该漏洞获取服务器控制权。发现漏洞利用演示视频已被公开。请相关用户尽快采取措施保护自己。

2. 受影响版本

Windows 向日葵个人版=11.0.0.33

向日葵简易版=V1.0.1.43315 (2021.12)

3. 漏洞重复出现

【1.端口检测】

当向日葵开启并连接成功后，会出现40000-60000的端口。这时候我们就可以使用portscan（或者其他扫描工具）进行扫描。

图1 打开向日葵软件

图2 扫描端口

【2.漏洞扫描】

使用curl ip:[端口号]。以下响应表明存在漏洞。没有回显表明该漏洞无法被利用。

图3 测试端口是否可用

【3.获取会话值（远程验证码）】

图4 获取会话值

【4.命令执行】

将获取到的session值添加到cookie中，然后使用特殊格式发送执行命令，如‘whoami’，请求查看是否可以获取主机名。如果有回显，则证明漏洞已成功复现。

图5 whoami命令执行成功

4. 维修计划

1.向日葵已正式发布修复版本，请及时更新：https://sunlogin.oray.com/

2、如果目前无法升级，在业务环境允许的情况下，可以使用白名单限制Web端口的访问，降低风险。

5. 支持检测

聚铭网络智能网络流量分析与审计系统（iNFA）现已支持向日葵远程命令执行攻击的流量检测。