【已复现】JumpServer未授权访问漏洞(CVE-2023-42442)安全风险通告

原创 QAX CERT 奇安信 CERT 2023-09-19 11:51

● 
点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	JumpServer未授权访问漏洞
漏洞编号	QVD-2023-22341、CVE-2023-42442
公开时间	2023-09-15	影响对象数量级	十万级
奇安信评级	高危	CVSS 3.1分数	7.5
威胁类型	信息泄露	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	已公开
危害描述：未授权情况下可以访问录像文件，远程获取到敏感信息。

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

01

漏洞详情

>
>
>
>

影响组件

Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统。

>
>
>
>

漏洞描述

近日，奇安信CERT监测到JumpServer未授权访问漏洞(CVE-2023-42442)：
未经身份验证的远程攻击者利用该漏洞可以访问录像文件，远程获取到敏感信息。如果会话重播存储在S3或OSS或其他云存储中，则不受影响。

鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>
>
>
>

影响版本

3.0.0 <= JumpServer <= 3.5.4

3.6.0 <= JumpServer <= 3.6.3

>
>
>
>

其他受影响组件

无

03

复现情况

目前，奇安信CERT已成功复现JumpServer未授权访问漏洞(CVE-2023-42442)
，截图如下：

04

处置建议

>
>
>
>

安全更新

目前官方已有可更新版本，建议受影响用户升级至：

JumpServer >= v3.5.5

JumpServer >= v3.6.4

>
>
>
>

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20230919. 391版本已支持对JumpServer未授权访问漏洞(CVE-2023-42442)的检测。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对JumpServer未授权访问漏洞(CVE-2023-42442)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7940，建议用户尽快升级检测规则库至2309191100以上。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到20230915172500以上版本。规则名称：JumpServer未授权访问漏洞(CVE-2023-42442)。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0918.14060或以上版本。规则ID及规则名称：0x1002186B，JumpServer未授权访问漏洞(CVE-2023-42442)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

Snort检测方案

Snort是一个开源的入侵检测系统，使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则，进行检测：

alert tcp any any -> any any (msg:”JumpServer Information Disclosure Vulnerability”; content:”/api/v1/terminal/sessions/”; http_uri; sid:1000001; rev:1;)

05

参考资料

[1]https://github.com/jumpserver/jumpserver/security/advisories/GHSA-633x-3f4f-v9rw

[2]https://www.jumpserver.org/

06

时间线

2023年9月19日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。

点击↓阅读原文，到ALPHA威胁分析平台
订阅更多漏洞信息。