【已复现】 IP-guard WebServer 远程命令执行漏洞

长亭安全应急响应中心 2023-11-09 15:11

IP-guard是溢信科技开发的终端安全管理软件，专注于数据保护、员工行为监控和系统管理简化。2023年11月，互联网上披露IP-guard WebServer远程命令执行漏洞情报，攻击者可利用该漏洞执行任意命令，获取服务器控制权限。该漏洞利用简单，EXP 已在互联网公开，建议受影响的客户尽快修复漏洞。
漏洞描述

Description 

01

漏洞成因在Web应用程序的实现中，参数的处理和验证是确保应用安全的关键环节。然而，当参数处理不当时，就会出现安全漏洞，给攻击者留下可利用的空间。在此次 IP-guard 的漏洞中，关键问题出现在对某个参数的处理上。该参数原本用于指定要查看的文档页面。但由于未对输入进行适当的过滤和限制，攻击者能够通过命令注入的方式，利用该参数在服务器上执行任意命令。利用特征针对这个漏洞，从流量层面的利用特征表现在不寻常的HTTP GET请求中。在正常情况下，这个存在漏洞的参数应该只包含数字或预定义格式的数据，用于指定文档的特定页面。然而在攻击流量中，该参数的值包含了操作系统命令，这些命令通常以特殊字符（如管道符 ||）开始，后跟可执行的系统命令。漏洞影响该漏洞的成功利用允许攻击者在服务器上远程执行命令，导致服务器完全被接管。同时，攻击者不仅可以利用漏洞获取对服务器的控制权，进而还可能访问或删除敏感数据，植入恶意软件，甚至使用服务器作为发起进一步攻击的跳板。
影响版本

Affects 

02

I
P-guard 
< 4.81.0307.0

解决方案

Solution 

03****
临时缓解方案配置入侵检测系统（IDS）和入侵防御系统（IPS）以及Web应用防火墙（WAF），以识别和阻止包含这类特征的请求，从而保护系统免受此类远程命令执行攻击的影响；同时为了避免攻击者绕过安全设备实施攻击，建议尽快修复漏洞。如非必要，不要将 IP-guard 放置在公网上。或通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。升级修复方案官方已发布新版本修复漏洞，建议尽快访问官网（https://www.ip-guard.net/）或联系官方售后支持获取版本升级安装包或补丁，升级至4.81.0307.0版本及以上。产品支持 Support 04云图：默认支持该产品的指纹识别，同时支持该漏洞的POC原理检测。雷池：已发布虚拟补丁支持该漏洞利用行为的检测。时间线 Timeline 0511月8日 互联网公开漏洞情报11月9日 长亭应急响应实验室漏洞分析与复现11月9日 长亭安全应急响应中心发布通告参考资料：[1].https://www.ip-guard.net/

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

应急响应热线：4000-327-707