最后更新于2023年2月1日(星期三)21:53:46 GMT

11月14日, 2022, Rapid7的产品工程团队发现,用于验证更新文件来源的Nexpose和InsightVM机制不可靠. 这个失败, 哪一个涉及到接收到的更新的内部加密验证, 编号为cve - 2022 - 4261, 是的一个例子 cwe - 494. Rapid7对CVSSv3的估计.对于大多数环境,此漏洞的基本等级是 4.4 (中等). 这个问题已经在2022年12月7日的常规会议上解决了 释放.

产品描述

Rapid7 expose和InsightVM是漏洞管理系统, 被世界各地的许多企业用于评估和管理其网络中存在的漏洞暴露. 你可以阅读更多关于曝光 我们的网站.

信贷

这个问题是由Rapid7首席软件工程师Emmett Kelly发现的,并由Rapid7 expose产品团队进行了验证. 它是按照 Rapid7的漏洞披露策略.

剥削

利用这个问题是复杂的. 为了利用cve - 2022 - 4261, 攻击者首先需要能够向expose或InsightVM提供恶意更新, 要么是通过网络上的特权地位, 在运行expose或InsightVM的本地计算机上(具有启动更新的足够权限), 或者说服expose管理员通过社会工程应用恶意制作的更新. 一旦应用, 这次更新可能会给expose引入一些对攻击者有利的新功能.

因为涉及到的复杂性, 我们相信我们的客户更适合对延迟更新的风险做出适当的判断, 也许根据已建立的变更控制程序.

影响

给定在网络或本地机器上的特权位置的需求, 利用cve - 2022 - 4261, 在大多数情况下, 是学术. 这样的对手很可能已经有许多其他(通常更容易)的选择,当谈到利用这一立场在目标网络上制造麻烦时. 在本地机器受损的情况下(这是最可能的攻击场景), 攻击者可以利用这个位置来创建一个相当永久的进入内部网络的通道,并执行通常的横向移动选项,记录为ATT&CK技术 T1557.

修复

大多数expose和InsightVM管理员使用自动更新, 并且应该在他们已经建立的自动时间表上应用更新,或者在方便的时候这样做.

然而, 管理员特别担心他们可能在下次更新时成为攻击目标, 或者认为自己已经被顽固的攻击者攻破, 是否应该禁用自动更新并使用文档 管理没有互联网连接的更新 手动验证更新包的真实性后,请执行修复此问题的过程. 禁用自动更新完全消除了利用cve - 2022 - 4261的风险.

使用更新来修复更新系统总是相当复杂的 先有鸡还是先有蛋 要处理的问题的性质, 以及使用更新系统修复更新系统所涉及的风险. So, 出于谨慎的考虑,我们今天发布了这个建议,以确保依赖自动更新的客户清楚地意识到这个问题,并可以相应地进行计划.

更新:2月1日,Rapid7发布了第6版.6.178解决涉及使用expose和InsightVM进行证书验证的次要问题, 跟踪为问题cve - 2022 - 3913.

披露时间表

  • 2022年11月:Emmett Kelly发现问题,并由Nexpose产品团队验证.
  • 2022年11月9日星期三: cve - 2022 - 3913 由Rapid7保留.
  • 2022年12月1日,星期四: cve - 2022 - 4261 由Rapid7保留.
  • 2022年12月7日星期三:这一披露和 更新6.6.172 第一次发布.
  • 2023年2月1日星期三:产品更新 6.6.178 发布,此披露于6月更新以解决cve - 2022 - 3913.6.178