微慑信息网
        找回密码
当前位置:微慑信息网-VulSee.com 漏洞收集 Application 正文

Sonatype Nexus Repository Manager 3 远程代码执行漏洞分析(CVE-2019-7238)

2019-08-02 来源:360 分类:Application / 安全播报 阅读(3977) 评论(0)

enter description here

报告编号:B6-2019-021801

报告来源:360-CERT

报告作者:Lucifaer

更新日期:2019-02-18

0x00 漏洞背景

Nexus Repository Manager是Sonatype公司的一个产品,简称NXRM,它是一款通用的软件包仓库管理服务,可以简单的理解为Maven的私服。

2019年2月5日Sonatype发布安全公告,在Nexus Repository Manager 3中由于存在访问控制措施的不足,未授权的用户可以利用该缺陷构造特定的请求在服务器上执行Java代码,从而达到远程代码执行的目的。

0x01 影响范围

Nexus Repository Manager OSS/Pro 3.6.2版本到3.14.0版本

0x02 修复建议

将Nexus Repository Manager OSS/Pro升级到3.15.0及之后的版本

0x03 漏洞验证

public_image

0x04 漏洞分析

漏洞的触发主要分两部分:post包解析及jexl表达式执行。

post包解析

首先先看一下web.xml中如何做的路由解析:

public_image

org.sonatype.nexus.bootstrap.osgi.DelegatingFilter拦截了所有的请求,大概率为动态路由加载,动态路由加载需要配置相应的Module模块用代码将配置与路由进行绑定并显式加载servlet,而该漏洞的入口就在org.sonatype.nexus.extdirect.internal.ExtDirectModule#configure中:

public_image

直接跟进org.sonatype.nexus.extdirect.internal.ExtDirectServlet$doPost:

public_image

继续向下更进看到处理post请求的部分:

public_image

在这里我们跟进看一下如何对json格式的请求进行处理:

public_image

public_image

首先对json的语法树进行解析,将数据提取出来:

public_image

可以看到需要5个变量分别为actionmethodtidtypedata

注意到isBatched是由参数长度决定的,而返回的一个数组,其长度为1,所以isBatchedfalse。之后就是传入processIndividualRequestsInThisThread方法中:

public_image

在这里构造返回的结果,可以看到这里在有一个json序列化的过程,这里主要是将返回结果以json格式返回。

jexl表达式执行

从post包的解析中可以得知我们需要构造5个参数,同时当我们构造好actionmethod后,可以直接动态调用相应的类与方法。

这个漏洞出现在org.sonatype.nexus.coreui.ComponentComponent#previewAssets:

public_image

首先将post包中repositoryNameexpressiontype的值取出来,这三个参数分别代表已经存在的repository的名字、表达式,以及表达式的类型。

着重看一下jexl的处理过程:

public_image

public_image

注意到这里只是实例化了一个JexlSelector对象,而并没有调用evaluate来执行表达式,所以漏洞的触发点在其他的位置。而真正的表达式执行点在browseService.previewAssets的处理过程中,这一点也是这个漏洞最为难找的一个点。

跟进previewAssets的实现,在org.sonatype.nexus.repository.browse.internal.BrowseServiceImpl#previewAssets

public_image

在这里可以看到表达式最后会被当做参数形成SQL查询,最后由OrientDb执行:

public_image

但是OrientDb本身是没有contentExpression这个方法的,也就是说明这个方法是用Java来实现的,找了一下,在org.sonatype.nexus.repository.selector.internal.ContentExpressionFunction

public_image

checkJexlExpression中:

public_image

调用了selectorManage.evaluate来执行jexl表达式:

public_image

0x05 时间线

2019-02-05 Sonatype 官方发布安全公告

2019-02-05 360CERT发现漏洞威胁情报

2019-02-18 360CERT发布分析

0x06 参考链接

  1. https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019
赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Sonatype Nexus Repository Manager 3 远程代码执行漏洞分析(CVE-2019-7238)
分享到

相关推荐

评论 抢沙发

取消

微慑网

微慑网(VULSEE.COM):
[-] 关注前沿安全态势,
[-] 聚合网络安全漏洞信息,
[-] 分享安全文档案例。

搜索

最新文章

随机文章

微慑标签

CIA DDoS攻击 DDoS 攻击 FBI Google Kapustkiy VulSee.com wannacry 中国 以色列 俄罗斯 信息泄漏 信息泄露 僵尸网络 加拿大 勒索病毒 勒索软件 医疗 卡巴斯基 国家安全 土耳其 工控安全 微慑网 德国 恶意软件 数据泄漏 数据泄露 朝鲜 朝鲜黑客 欧盟 澳大利亚 维基解密 网络安全 网络攻击 网络犯罪 网络钓鱼攻击 美国 英国 苹果 远程代码执行 远程代码执行漏洞 金融 银行 韩国 黑客入侵

热门文章

2019 年 8 月
 12345
6789101112
13141516171819
20212223242526
2728293031  

信息资源

友情链接

域名

安全站点

工具

特效

本站信息

  • 日志总数:3620
  • 评论总数:1771
  • 标签总数:4827
  • 最后更新:2024-04-18

其他操作

赞助本站

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册