Keysight技术传感器管理服务器多个远端控制设备的漏洞

cve - 2022 - 38129 - addLicenseFile路径遍历远端控制设备(CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N /S: U / C: H /我:H / H):

一个路径遍历com.keysight.tentacle漏洞存在。licensing.LicenseManager。addLicenseFile()方法在Keysight传感器管理服务器(SMS)。这允许一个未经身份验证的远程攻击者上传任意文件到SMS主机。

攻击者可以远程调用addLicenseFile()方法通过URL端点/服务器/服务/licensingServiceHttpInvoker。方法以在许可证文件名称作为输入数据和文件应该是保存在< SMS_DIR > \ \许可,其中< SMS_DIR >是短信安装目录。

方法检查许可文件名称包含一个Windows文件分隔符确保文件是保存在< SMS_DIR > \ \许可:

/ / com.keysight.tentacle。licensing.LicenseManager。addLicenseFile ()
公共LicenseError addLicenseFile (LicenseDescription paramLicenseDescription) {
如果(paramLicenseDescription = = null)
返回LicenseError.INVALID_FILENAME;
字符串str = paramLicenseDescription。getFilename ();
如果(str = = null | | str.length () = = 0)
返回LicenseError.INVALID_FILENAME;
如果(str.contains (File.separator))
返回LicenseError.PATHNAME_NOT_允许;
byte [] arrayOfByte = paramLicenseDescription。getLicense ();
如果(arrayOfByte = = null | | arrayOfByte。长度= = 0)
返回LicenseError.INVALID_LICENSE_文件;
ByteArrayInputStream ByteArrayInputStream = new ByteArrayInputStream (arrayOfByte);
文件文件=新文件(“许可证/”+ str);
FileOutputStream FileOutputStream =零;
LicenseError LicenseError = LicenseError.UNKNOWN;
BufferedOutputStream BufferedOutputStream =零;
尝试{
fileOutputStream = new fileOutputStream(文件);
bufferedOutputStream = new bufferedOutputStream (fileOutputStream);
byte [] arrayOfByte1 =新字节[1024];
int i = 0;
((我= byteArrayInputStream.read (arrayOfByte1) ! = 1)
bufferedOutputStream.write (arrayOfByte1 0我);
licenseError = LicenseError.OK;
}捕捉(FileNotFoundException FileNotFoundException) {
licenseError = LicenseError.FILE_WRITE_ERROR;
}捕捉(IOException IOException) {
licenseError = LicenseError.FILE_WRITE_ERROR;
最后}{
尝试{
如果(bufferedOutputStream ! = null)
bufferedOutputStream.close ();
如果(fileOutputStream ! = null)
fileOutputStream.close ();
}捕捉(IOException IOException) {
licenseError = LicenseError.FILE_WRITE_ERROR;
}
}
返回licenseError;
}

然而,检查可以用正斜杠(即绕过。. . /)。攻击者可以使用路径遍历的许可文件名上传一个attacker-controlled文件短信主机上的任何位置。例如,攻击者可以上传一个反向壳TCP负载,将其保存为< SMS_DIR > \平。exe,然后调用com.keysight.tentacle.config。SensorConfigurer.sensorPing()(通过/服务器/服务/sensorConfigServiceHttpInvoker)执行负载,实现未经身份验证的远端控制设备。

sensorPing()方法执行attacker-supplied平。exe不是C:\Windows\System32\ping.exe因为短信进程的当前目录(KeysightSMS.exe) < SMS_DIR >,和sensorPing()调用ping.exe时不使用绝对路径:

/ / com.keysight.tentacle.config。SensorConfigurer.sensorPing ()
公共列表<字符串> sensorPing(字符串paramString) {
LinkedList <字符串> LinkedList = new LinkedList ();
字符串str = " ";
尝试{
过程过程= Runtime.getRuntime () .exec (“萍”+ paramString);
<剪…>


cve - 2022 - 38130 - smsRestoreDatabaseZip UNC路径远端控制设备(CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N /S: U / C: H /我:H / H):

com.keysight.tentacle.config。ResourceManager。smsRestoreDatabaseZip()方法用于恢复HSQLDB数据库用于短信。需要压缩数据库文件的路径作为单一参数。一个未经身份验证的远程攻击者可以指定数据库文件(即一个UNC路径。,\ \ < attacker-host > \手机\ <attacker-db.zip >),有效地控制数据库恢复的内容。

HSQLDB数据库包含一个脚本文件中包含的SQL语句执行的数据库。在方法执行,执行脚本文件中的SQL语句。攻击者可以将任意SQL语句导致它们被执行的脚本。

例如,由于HSQLDB可以调用Java静态方法,攻击者可以使用以下SQL语句一个attacker-controlled DLL加载到执行脚本文件的过程,实现未经身份验证的远端控制设备。