2018年11月中旬,白帽汇安全研究院监测发现了最新MetInfo的SSRF注入漏洞。该漏洞是由于MetInfo中关于图片上传的代码出现缺陷,没有对指定图片路径中的“#”等敏感字符进行过滤,使得攻击者可以借助图片上传功能的图片的相关参数来达到对内部网络的探测的目的,严重威胁内网安全。
各行业的网站都有使用MetInfo的痕迹
MetInfo是中国知名的企业建站软件,在中国的活跃使用量数以万计,一旦有高危漏洞爆出,势必会影响各行各业众多网站。而且此次漏洞影响的版本不仅包括官网在10月16日所发布的最新版本6.1.3,还有更早的5.3版本,预计会在最新补丁出来之前对所有使用该模板的网站造成不小的影响。而且据该安全院研究,此次漏洞一年前的某个Metinfo的SSRF漏洞极为相似,因此我们推测,以前的多个版本很大概率也存在该漏洞,预计在未来的很长一段时间,所有基于MetInfo的网站都将受到不小的安全威胁。
概况MetInfo企业建站系统采用了开源的php+mysql架构,第一个版本于2009年发布,目前最新的版本是V6.1.3,更新于 2018年10月16日。MetInfo是一款功能全面、使用简单的企业建站软件。用户可以在不需要任何编程的基础上,通过简单的安装和可视化操作就能够在互联网搭建独立的企业网站。目前国内各行业网站均有MetInfo的身影。
目前FOFA系统最新数据(一年内数据)显示全球范围内共有13214个基于Metinfo搭建的网站。中国使用数量最多,共有7931台,中国香港第二,共有2570台,美国第三,共有2059台,日本第四,共有88台,中国台湾第五,共有88台。值得一提的是,网上还有很多基于MetInfo改造的网站也受到潜在威胁。
全球范围内MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)
中国地区中浙江省使用用数量最多,共有4035台;北京市第二,共有1745台,广东省第三,共有435台,河南省第四,共有368台,四川省第五,共有301台。
中国大陆地区MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)
危害等级 中危 漏洞原理不同版本的漏洞文件目录存在差异,但都是因为图片上传的相关代码存在漏洞中。其中保存远程图片的相关函数对传入的远程图片的相关变量过滤不严,没有多敏感字符进行检查。导致攻击者只要构造 http://www.baidu.com/?%23.jpg 这样的地址即可绕过图片上传的相关安全检查,直接向指定的url和端口发出请求,进行SSRF攻击。
成功利用该漏洞,可以看到成功访问到了baidu.com中的内容。
漏洞影响目前漏洞影响版本号包括: Metinfo 5.3-6.1.3 影响范围暂无影响范围
漏洞POC目前FOFA客户端平台已经更新该漏洞检测POC。
POC截图
CVE编号 暂无编号 修复建议1、最新补丁在官网还未发布,建议用户把有问题的功能代码删除。
2、在补丁发布之前下线网站。官网地址: https://www.metinfo.cn/download/
白帽汇会持续对该漏洞进行跟进。
参考 [1] https://www.metinfo.cn/ [2] http://www.baimaohui.cn/static_pages/98白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
