OpenLiteSpeed Web 伺服器被曝多個嚴重性漏洞

網路安全團隊Unit 42研究並發現了開源OpenLiteSpeed Web伺服器中的三個不同漏洞。這些漏洞也會影響企業版LiteSpeed Web伺服器。透過連結和利用漏洞，攻擊者可能會破壞 Web 伺服器並獲得完全特權的遠端程式碼執行。三個漏洞包括：

• 遠端執行程式碼(CVE-2022-0073)評級為高嚴重性(CVSS 8.8)

• 許可權升級(CVE-2022-0074)評級為高嚴重性(CVSS 8.8)

• 目錄遍歷(CVE-2022-0072)評級為中等嚴重性(CVSS 5.8)

OpenLiteSpeed是LiteSpeedWeb Server Enterprise 的開源版本，由 LiteSpeed Technologies 開發和維護。LiteSpeed Web伺服器在最受歡迎的Web伺服器中排名第六。資料分析顯示，LiteSpeed 為大約 2% 的 Web 伺服器應用程式提供服務，在全球擁有近 190 萬臺的獨立伺服器。

遠端程式碼執行

成功獲得儀表板憑證的威脅行為者(無論是透過暴力攻擊還是透過社會工程)可以利用該漏洞在伺服器上執行程式碼。該漏洞存在於外部應用程式命令欄位中，該欄位允許使用者指定在伺服器啟動時執行的命令。s

許可權提升

在以nobody身份探索 OpenLiteSpeed Docker 映像時，PATH環境變數中存在配置錯誤，可以使用 CWE不受信任的搜尋路徑將其利用為許可權提升。

執行具有相對路徑的二進位制檔案時，作業系統將檢視包含目錄列表的PATH變數。然後，它將按照與目錄顯示相同的順序在列出的資料夾中搜尋該二進位制檔案。

在這種情況下，問題是PATH中的第二個目錄是 /usr/local/bin，這是一個使用者沒有人控制的目錄。

這會導致這樣一種情況：攻擊者可以非特權使用者(例如nobody)執行程式碼以放置惡意檔案並將其偽裝成合法的二進位制檔案/usr/local/bin，目的是由高特權程式執行該檔案，因為它位於PATH環境變數的第二個目錄中。

能夠透過濫用指令碼entrypoint.sh來利用這一點，如圖 1 所示，該指令碼以root身份執行並重復執行二進位制grep。

圖1

透過連結這些漏洞，我們能夠獲得遠端程式碼執行並將我們的許可權提升到root，如圖 2 所示。

連結漏洞的程式碼片段，以獲得遠端程式碼執行並將許可權提升到根。

圖2

此漏洞要求受控使用者具有 /usr/local/bin 的寫入許可權，預設情況下通常不是這種情況。在 OpenLiteSpeed docker 容器中，預設情況下，此目錄可由使用者nobody寫入。

目錄遍歷

目錄遍歷漏洞可能允許攻擊者繞過安全措施並訪問禁止的檔案。入侵伺服器的攻擊者可以建立秘密後門並利用此漏洞訪問它。

當在LiteSpeed中瀏覽時，伺服器將確保客戶端只訪問應該對他們可見的端點。它透過驗證所請求的URL不包含將導致目錄遍歷的字元，從而允許它們訪問被禁止的端點來實現這一點。

這個驗證是透過兩個正規表示式完成的，分別在第2060行和2061行。透過繞過那些正規表示式驗證，能夠訪問最初無法訪問的路徑。

利用此漏洞允許攻擊者訪問 Web 根目錄中的任何檔案，但僅限於該目錄。

緩解措施

LiteSpeed Technologies技於 2022 年 10 月 18 日迅速釋出了補丁版本(v1.7.16.1)，以緩解報告的漏洞。

建議使用 OpenLiteSpeed 版本 1.5.11 至 1.7.16 和 LiteSpeed 版本 5.4.6 至 6.0.11 的組織將其軟體更新到最新的匹配版本，v1.7.16.1 和6.0.12。

包括Web伺服器在內的Web技術在過去幾十年中取得了長足的進步。它們變得更加安全，但由於技術仍在快速發展，漏洞仍在被發現。

參考來源：