2018年11月中旬,白帽匯安全研究院監測發現了最新MetInfo的SSRF注入漏洞。該漏洞是由於MetInfo中關於圖片上傳的代碼出現缺陷,沒有對指定圖片路徑中的“#”等敏感字符進行過濾,使得攻擊者可以藉助圖片上傳功能的圖片的相關參數來達到對內部網絡的探測的目的,嚴重威脅內網安全。
各行業的網站都有使用MetInfo的痕跡
MetInfo是中國知名的企業建站軟件,在中國的活躍使用量數以萬計,一旦有高危漏洞爆出,勢必會影響各行各業眾多網站。而且此次漏洞影響的版本不僅包括官網在10月16日所發佈的最新版本6.1.3,還有更早的5.3版本,預計會在最新補丁出來之前對所有使用該模板的網站造成不小的影響。而且據該安全院研究,此次漏洞一年前的某個Metinfo的SSRF漏洞極為相似,因此我們推測,以前的多個版本很大概率也存在該漏洞,預計在未來的很長一段時間,所有基於MetInfo的網站都將受到不小的安全威脅。
概況
MetInfo企業建站系統採用了開源的PHP+Mysql架構,第一個版本於2009年發佈,目前最新的版本是V6.1.3,更新於 2018年10月16日。MetInfo是一款功能全面、使用簡單的企業建站軟件。用戶可以在不需要任何編程的基礎上,通過簡單的安裝和可視化操作就能夠在互聯網搭建獨立的企業網站。目前國內各行業網站均有MetInfo的身影。
目前FOFA系統最新數據(一年內數據)顯示全球範圍內共有13214個基於Metinfo搭建的網站。中國使用數量最多,共有7931臺,中國香港第二,共有2570臺,美國第三,共有2059臺,日本第四,共有88臺,中國臺灣第五,共有88臺。值得一提的是,網上還有很多基於MetInfo改造的網站也受到潛在威脅。
全球範圍內MetInfo建站分佈情況(僅為分佈情況,非漏洞影響情況)
中國地區中浙江省使用用數量最多,共有4035臺;北京市第二,共有1745臺,廣東省第三,共有435臺,河南省第四,共有368臺,四川省第五,共有301臺。
中國大陸地區MetInfo建站分佈情況(僅為分佈情況,非漏洞影響情況)
##危害等級
中危
漏洞原理
不同版本的漏洞文件目錄存在差異,但都是因為圖片上傳的相關代碼存在漏洞中。其中保存遠程圖片的相關函數對傳入的遠程圖片的相關變量過濾不嚴,沒有多敏感字符進行檢查。導致攻擊者只要構造http://www.baidu.com/?%23.jpg 這樣的地址即可繞過圖片上傳的相關安全檢查,直接向指定的url和端口發出請求,進行SSRF攻擊。
成功利用該漏洞,可以看到成功訪問到了baidu.com中的內容。
##漏洞影響目前漏洞影響版本號包括:
Metinfo 5.3-6.1.3
影響範圍
暫無影響範圍
漏洞POC
目前FOFA客戶端平臺已經更新該漏洞檢測POC。
POC截圖
CVE編號
暫無編號
修復建議
1、最新補丁在官網還未發佈,建議用戶把有問題的功能代碼刪除。
2、在補丁發佈之前下線網站。官網地址:
https://www.metinfo.cn/download/
白帽匯會持續對該漏洞進行跟進。
參考
[1] https://www.metinfo.cn/
[2] http://www.baimaohui.cn/static_pages/98
白帽匯從事信息安全,專注於安全大數據、企業威脅情報。
公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。
