微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞
编译:代码卫士
微软公司的分析师对该平台的一次安全审计中发现了这些漏洞,并在2023年8月告知Perforce 公司。微软的游戏开发制作室使用该源代码管理平台。
尽管微软表示尚未看到这些漏洞遭在野利用的情况,但建议用户升级至在2023年11月7日发布的版本2023.1/2513900。
这四个漏洞主要是拒绝服务 (DoS) 问题,其中最严重的可导致未认证攻击者以 LocalSystem 的权限实现任意远程代码执行后果。
这四个漏洞是:
CVE-2023-5759(CVSS评分7.5):可通过 RPC 标头滥用导致未认证 DoS。
CVE-2023-45849(CVSS评分9.8):以 LocalSystem 权限实现未认证的 RCE。
CVE-2023-35767(CVSS评分7.5):通过远程命令实现未认证的DoS。
CVE-2023-45319(CVSS评分7.5):通过远程命令实现未认证的DoS。
上述最严重的漏洞是CVE-2023-45849,可导致未认证攻击者以 “LocalSystem” 的身份执行代码,而该权限是未系统函数保留的高权限 Windows OS 账户。该账户级别可访问本地资源和系统文件、修改注册表设置等。
该漏洞是因为该服务器对 user-bgtask RPC 命令处理不当造成的。在默认配置下,Perforce Server 允许未认证攻击者远程以 LocalSystem 身份执行任意命令如 PowerShell 脚本等。
攻击者可利用CVE-2023-45849 安装后门、访问敏感信息、创建或修改系统设置并可能完全控制运行易受攻击的 Perforce Server 的系统。
余下的三个漏洞严重性较低,可导致DoS攻击,但仍然可导致运营中断,从而在大型部署中造成重大经济损失。
除了从厂商的下载门户下载最新版本的 Helix Core 外,微软建议采取如下措施:
定期更新第三方软件
限制访问权限,如使用VPN或IP白名单
记录对 Perforce Server 的所有访问
为IT和安全团队设置崩溃报警
通过网络分段防止安全事件
此外,建议采取官方安全指南提供的建议。
https://www.bleepingcomputer.com/news/security/microsoft-discovers-critical-rce-flaw-in-perforce-helix-core-server/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。