Node.js 严重漏洞使数百万系统面临 RCE 攻击

龙猫安小圈 2024-12-26 00:45

安小圈

第576期

严重漏洞 · RCE攻击【风险预警】

在广泛使用的Node.js包“systeminformation”中发现了一个严重的安全漏洞，可能会使数百万个系统面临远程代码执行（RCE）攻击。

该漏洞被确定为
CVE-2024-56334
，影响该软件包 5.23.6 及以下的版本，该软件包每月下载量超过 800 万次，总下载量达到惊人的 3.3 亿次。

该漏洞源于 getWindowsIEEE8021x 函数中的命令注入缺陷，该函数可检索网络 SSID 信息。

此函数在讲 SSID 作为参数传递给 cmd.exe 之前无法正确清理 SSID。因此，攻击者可以在
Wi-Fi 网络的 SSID
中嵌入恶意命令，然后在调用 getWindowsIEEE8021x 函数是在易受攻击的系统上执行这些命令。

根据程序包的使用方式，此漏洞可能使攻击者能够执行远程代码执行或本地权限提升。该漏洞利用似乎相对简单，只需要本地访问权限即可解近攻击。

PoC
演示了
两种可能的攻击场景：

通过将 SSID 设置为以下方式无限期运行 ping 命令：

a" | ping /t 127.0.0.1 &

通过将 SSID 设置为以下方式，以root权限执行具有提升权限的任意可执行文件：

a" | %SystemDrive%\a\a.exe &

一旦连接到恶意构建的 Wi-Fi 网络，只需调用易受攻击的函数（例如
si.networkInterfaces()
）即可触发命令的执行。

“systeminformation” 的维护者已在版本 5.23.7 中解决了这个问题。强烈建议此软件包的所有用户立即更新到最新版本。

对于无法升级的开发人员，解决方法包括手动清理传递给特定函数的参数，包括
si.inetLatency() 、si.inetChecksite()、si.services() 和 si.processLoad()。

此漏洞凸显了 npm 生态系统中持续存在的安全挑战以及与广泛使用的软件包相关的潜在风险。它提醒开发人员：

· 定期更新依赖项并监控安全公告

· 实施适当的输入清理，尤其是在处理系统级命令时

· 对项目中使用的第三方软件包进行彻底的安全审计

在“systeminformation”包中发现 CVE-2024-56334 凸显了对软件安全保持警惕的极端重要性，尤其是对于广泛采用的开源库。

随着 Node.js 生态系统的不断发展，开发人员和组织都必须优先考虑安全实践并随时了解可能影响其系统的潜在漏洞。

漏洞信息

https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-cvv5-9h9w-qp2m

【原文来源：星尘安全】

– # 【年末警惕】针对财会人员！“银狐”木马新变种伪装成财税文件在微信群传播！

【突发】中国工商银行遭勒索软件攻击

****- 【专题分享】中国工商银行：数据安全技术平台建设实践

近期文章