最后更新于2022年7月26日星期二17:15:00 GMT
本咨询涵盖了中确定的若干问题 伶盗龙 由Tim Goddard执行的安全代码审查披露 CyberCX. 我们也感谢Rhys Jenkins与迅猛龙团队一起发现并纠正了这些问题. 所有这些确定的问题都在版本0中得到了修复.6.5-2, 2022年7月26日上映.
cve - 2022 - 35629:快速盗龙客户端ID欺骗
伶盗龙使用客户端id唯一地标识每个客户端. 客户端id来自客户端自己的加密密钥,因此通常需要泄露该密钥才能欺骗另一个客户端.
由于处理客户端和服务器之间通信的错误, 这对一个客户来说是可能的, 已经注册了自己的客户端ID, 向服务器发送声称来自另一个客户端ID的消息. 这可能允许恶意客户端将消息属性为另一个受害客户端ID(例如, 声称其他客户端包含一些指标或其他数据).
这个问题的影响很低,因为成功的开发需要:
- 恶意客户端识别特定主机的客户端ID -因为客户端ID是随机的, 攻击者不太可能猜出有效的客户端ID. 客户端id也不存在于网络通信中, 所以不能访问迅猛龙的服务器, 或者主机的伶盗龙客户端回写文件, 很难发现客户端ID.
- 来自客户端的每个新工件集合都包含一个唯一的随机“流ID”.,以便将新数据插入到有效集合中, 恶意客户端将需要猜测有效当前流的流ID. 因此, 这个问题最有可能影响客户机事件监视提要, 不包含随机流id.
CVE-2022-35630:工件收集报告中的不安全HTML注入
伶盗龙允许用户以HTML格式导出“收集报告”. 这是一个包含集合摘要的独立HTML文件. 服务器将生成HTML文件,用户的浏览器将下载它. 然后用户从本地磁盘打开HTML文件.
在生成此报告时存在跨站点脚本(XSS)问题,这使得恶意客户端有可能将JavaScript代码注入静态HTML文件.
这个问题的影响被认为很低,因为文件是在本地提供的(例如.e. 从文件:// URL),因此不能访问服务器cookie或其他信息(尽管它可能促进网络钓鱼攻击)。. 这个特性也不经常使用.
CVE-2022-35631:临时文件的文件系统竞争
伶盗龙客户端使用本地缓冲文件来存储无法足够快地传递到服务器的数据. 尽管该文件是用受限的权限创建的, 文件名是可预测的(并存储在客户端的配置文件中).
在MacOS和Linux上, 通过将这个可预测的文件名替换为指向另一个文件的符号链接,并让伶盗龙客户端覆盖另一个文件,就有可能执行符号链接攻击.
这个问题可以通过使用内存缓冲机制来缓解, 或者指定缓冲区文件应该创建在一个只能由根用户写的目录中. 设置客户端.local_buffer.Filename_linux设置为空字符串,或者设置为只能由根用户写的目录.
默认情况下,在Windows上,缓冲区文件存储在 C:\Program Files\迅猛龙\工具, 它是用受限制的权限创建的,只能由管理员写. 因此,默认配置的Windows客户端不受此问题影响.
CVE-2022-35632:用户界面中的XSS
伶盗龙 GUI包含一个编辑器建议特性,可用于为各种功能提供帮助. 它还可以显示VQL函数、插件或工件的描述字段. 该字段没有经过适当的清理,可能导致跨站点脚本(XSS)。.
在0之前.6.5版本,工件描述也被发送到这个函数,但是在0.6.5、由于性能原因,这种情况已不复存在.
在年龄大于0的服务器上.6.5, 具有ARTIFACT_WRITER权限(通常只授予管理员)的经过身份验证的攻击者可以在描述字段中创建带有原始HTML的工件并触发此XSS. 版本0的服务器.6.5或更新版本不受此问题影响.
修复
为了修复这些漏洞,迅猛龙的用户应该 升级他们的服务器.
披露时间表
2022年7月: CyberCX的蒂姆·戈达德发现的问题
2022年7月11日: CyberCX披露的漏洞
2022年7月12日: Rapid7/Velocidex验证
2022年7月26日: 发布的修复 0版本.6.5-2
2022年7月26日: Rapid7发布了这一建议
