Java和Python FTP攻击可以穿过防火墙打孔
AI Scheduling Startup启动企业订阅
阿里巴巴云和英特尔团队在物联网上
升级到S / 4 HANA的风险
Apple的企业成功:Mac和iOS使用速度快
参议员探测到Cloudpets智能玩具黑客
新的麦斯科斯兰科·勒索在野外发现了
谷歌在用户挤压后拉动虚拟助手广告
农村地区将成为第一个获得沃达丰5G的人之一
英国东南部的NHS组织为HSCN选择了BT
Microsoft发布KB 4015438 Windows 10的紧急修复
阿里巴巴眼睛零售业与新的云产品
Kubernetes现在通常可以在Azure Container Service上提供
丹麦政府雄心勃勃的数据中心推动
谷歌研究如何更快地使互联网变得更快
数据窃取Betabot Malware
UKTECH50 2018 - 帮助我们在英国找到最有影响力的人
石油巨头外壳呼吁搬到清洁能源
Comms提供商可能被迫通知合同的用户
美国与飞机指向鸟类的无人机碰撞探测器
铃声重新开始另一轮:Fred Studer签署了金融法
英国科技产业警告政府在Brexit后移民
数百万商人容易受到传真的网络攻击
NCR补丁ATM漏洞
Indigo海底有线电路在珀斯
英特尔发布修复最新芯片安全漏洞
Maidstone和Tunbridge Wells NHS信任获得完整的EPR
三星开始生产新的10nm Exynos 9系列芯片
苹果公司的苹果是“比Pixar更喜欢哈利波特”,我们表示,我们表示
什么机器学习从业者可以从数据仓库中学习
谷歌将于今年晚些时候发货Soli姿态开发套件
四分之一的英国人希望他们的工作被技术取代
Yahoo Breach展示了国家赞助的黑客攻击
汗湿的贝蒂改造网站,以满足数字客户
Gartner索赔纯Play IAAS提供商可以被缺陷,因为企业态度成熟
三个犁276米进入5G准备
聪明的泰迪熊涉及有争议的数据泄露
HPE重新聚焦云上的技术服务组,大数据
不完整的可见性最佳安全性失败
'Candy-Bar'手机将获得智能手机功能,具有新的Qualcomm芯片
Mystery更新KB 3150513制作了另一种重新出现
手机银行木马达到历史新高
Marissa Mayer要求她的年度奖金分发给雅虎员工
'满足'谷歌的企业新的视频会议服务
修复文化以使数字取得成功
IBM的新Q程序包括一个50 Qubit量子计算机
缺乏DMARC电子邮件验证将品牌和客户面临风险
芬兰政府审查公共采购法
Twitter帐户被黑客攻击,推特计数器向前迈向罪魁祸首
只有11%的雇主在明年不期望技术技能短缺
您的位置:首页 >论坛 > 电子业界 >

Java和Python FTP攻击可以穿过防火墙打孔

2021-08-12 16:44:13 [来源]:

Java和Python运行时无法正确验证FTP URL,这可能允许攻击者通过防火墙打孔来访问本地网络。

周六,安全研究员Alexander Klink披露了一个有趣的攻击,其中利用XXE(XML外部实体)漏洞在Java应用程序中可用于发送电子邮件。

XXE漏洞可以通过欺骗应用程序来解析要强制XML解析器揭示文件,目录列表等敏感信息(如服务器上运行的进程)的敏感信息的特制XML文件。

klink显示相同类型的漏洞可用于欺骗Java运行时,通过以FTP:// User:Password @ Host @ Host:Port / File.ext的形式给出FTP URL来启动到远程服务器的FTP连接。

但是,事实证明,Java中的FTP客户端的内置实现不会从URL中过滤出特殊的CR(回车返回)和LF(行馈送)字符,并且实际解释它们。

通过在UTP的用户或密码部分中插入此类字符,可以欺骗Java FTP客户端以执行Rogue命令,甚至可以欺骗才能说SMTP(简单邮件传输协议),因为SMTP和FTP的语法类似。

Klink显示,通过利用XXE漏洞和Java的FTP客户端实现中的Quirk,攻击者可以强制Java应用程序向SMTP服务器发送电子邮件。

“这种攻击在一个场景中特别有趣,您可以从中达到(不受限制,可能不会垃圾邮件或恶意软件过滤)内部邮件服务器,从而从执行XML解析的机器中,”Klink在博客文章中表示。

在查看Klink的Exploit之后,Dimothy Morgan是一名盲目安全的研究人员,决定披露类似于Java和Python的FTP实现的类似攻击。但他的攻击更严重,因为它可以用来穿过防火墙拳击漏洞。

摩根通过恶意URL调用攻击“FTP协议流注入”,它还涉及通过利用CRLF过滤的缺失来注入流氓FTP命令。

但是,而不是注入SMTP命令,摩根滥用FTP端口命令,以欺骗客户端将数据通道打开到特定TCP端口上的远程FTP服务器。

正如研究人员所指出的那样,许多基于Linux的有状态数据包检查(SPI)防火墙(包括商业),支持FTP翻译的经典模式,并将自动打开TCP端口,然后将其转发到FTP客户端的LAN IP,如果它们检测到来自该客户端的FTP流量中的端口命令。

此次攻击矢量已知多年来,这就是为什么Conntrack的开发人员,大多数防火墙使用的Linux组工具集添加了额外的检查。仅在TCP数据包的开始时端口命令出现端口命令,才会打开端口,以确保客户端实际发送命令。

这会带来一个有两个问题的攻击者:首先,发现客户端的内部IP地址,以便能够欺骗端口命令,然后,将客户端和服务器之间的TCP数据包对齐,以便欺骗端口命令落在数据包的开头。

摩根已经通过他的FTP协议流注入攻击和声称凭证开发了一种方式来做这两种事情,并宣布他不打算公开发布,直到Oracle和Python纠正他们的FTP客户端代码。

“整个攻击(包括用于确定受害者内部IP的请求)通常只用三个SSRF(服务器端请求伪造)攻击来开辟一个TCP端口,”他在星期一的博客文章中说。“每个额外的SSRF攻击都可以打开一个额外的TCP端口。”

有多种方法可以利用此问题,包括使用计算机上安装的Java的用户使用它。用户甚至需要执行恶意Java applet,因为可以通过Java Web Start应用程序传递漏洞。

“如果桌面用户可以相信在安装Java时访问恶意网站,即使Java applet被禁用,它们仍然可以触发Java Web Start以解析JNLP文件,”摩根说。“这些文件可能包含触发此错误的恶意FTP URL。”

攻击者还可以通过滥用网络上的中间位置或通过利用这些应用程序的SSRF或XXE漏洞来实现Java应用程序的服务器。

摩根表示,他对运行最近内核的自定义Linux防火墙测试了这次攻击,以及从帕洛阿尔托网络和思科系统的防火墙,证明在默认设置下易受攻击。

“在这一点上的商用防火墙测试的虽然这一点非常有限,但似乎很可能是世界上的大量生产防火墙易于通过FTP协议流注入攻击,”他说。

java和python开发人员已通知此问题,但在修复其FTP客户端实现之前,研究人员默认建议防火墙供应商禁用Classic Mode FTP转换。

用户应该从其系统中卸载Java,或者至少禁用浏览器插件并将.jnlp文件扩展名从Java Web开始二进制。同时,Java和Python应用程序应审核SSRF和XXE缺陷。但是,Java中的XML解析当前默认易受攻击,在该平台上使XXE漏洞非常常见,摩根说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。