AD

ClamAV远程命令执行0DAY

概述

       68号,有人在T上发布了一个ClamAV0day,在ClamAV 0.99.2及以前的版本,有一个安全漏洞,可以远程关闭ClamAV以及枚举文件。
       然后国外友人,闲的蛋疼,尝试在互联网中找到这个0day

技术细节

       ClamAV的安全问题在于有一个监听进程监听一个端口,等待用户命令,然后执行扫描等工作。正常情况下,该进程应该只监听本地127.0.0.1端口,但也可以配置为在3310端口上监听远程地址。并且很多ClamAV默认有该配置。
       3310上的监听协议很简单,直接将命令发送到该端口即可。例如"PING", "VERSION", "SHUTDOWN"
       于是国外友人拿出号称可以5分钟扫玩互联网的masscan进行了探测。首先使用版本进行探测,使用-banner参数探测banner,使用VERSION命令探测对应版本:
       masscan 0.0.0.0/0 -p3310 --banners --hello-string[3310] VkVSU0lPTg==
       在扫描存在CAVIP中进行测试。对3310端口发送“SCAN /test”命令,均返回文件不存在或者OK,则证明该CAV存在这个安全问题。
   




验证

    NMAP已经发布了最新的检测脚本文件,可以使用如下命令进行检测测试:
    nmap -sV --script clamav-exec
nmap --script clamav-exec --script-args cmd='scan',scandb='files.txt'
nmap --script clamav-exec --script-args cmd='shutdown'


参考


       http://blog.erratasec.com/2016/06/scanning-for-clamav-0day.html#.V2C9tlV95D8

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

多种方法绕过POWERSHELL的执行策略