Специалисты по кибербезопасности обратили внимание на опасную уязвимость в популярной платформе для совместной работы над документами ShowDoc, которую широко используют IT-отделы. Проблема, получившая идентификатор CNVD-2020-26585, представляет собой критическую ошибку, позволяющую выполнять произвольный код на удалённом сервере без какой-либо аутентификации. Это создаёт серьёзную угрозу для множества организаций, особенно тех, которые до сих пор используют устаревшие версии этого программного обеспечения для внутреннего документооборота. Уязвимость даёт злоумышленникам возможность получить полный контроль над хост-системой, что может привести к катастрофическим последствиям, включая утечки конфиденциальной документации и остановку бизнес-процессов.
Уязвимость CNVD-2020-26585
Согласно техническому анализу и доказательствам концепции (PoC), опубликованным в репозитории Vulhub, корень проблемы кроется в механизме загрузки файлов, который не имеет должных ограничений. Версии ShowDoc ранее 2.8.7 не проводят корректную проверку и очистку файлов, загружаемых пользователями. Поскольку доступ к конечной точке загрузки не требует авторизации, удалённые угрозовые актёры могут легко обходить базовые фильтры безопасности и размещать на сервере вредоносные файлы. Эксперты подчёркивают, что эксплуатация этой уязвимости требует минимальных технических навыков, что делает её крайне опасной.
Атака начинается с отправки специально сформированного HTTP POST-запроса к системе загрузки изображений приложения. Злоумышленники нацеливаются на директорию "/index.php?s=/home/page/uploadImg". Вредоносная полезная нагрузка, например, веб-оболочка (webshell) на языке PHP, маскируется с помощью простейших манипуляций с расширением файла. В частности, для обхода примитивных проверок в имя файла добавляются угловые скобки, например, "test.<>php". Уязвимое приложение ShowDoc обрабатывает такой запрос, не проводя санацию типа файла, и в ответе возвращает прямой URL-адрес к загруженному объекту. После этого атакующему достаточно перейти по полученному адресу, чтобы запустить вредоносный скрипт и получить возможность выполнять произвольные команды на сервере.
Ключевая опасность заключается в том, что для успешной атаки не требуется никаких предварительных учётных данных. Любой злоумышленник, имеющий сетевой доступ к экземпляру уязвимого ShowDoc, может инициировать эксплуатацию. После успешного размещения веб-оболочки хакеры получают возможность выполнять команды на уровне операционной системы. Это открывает путь к краже высокочувствительной IT-документации, перемещению по внутренней сети организации для атаки на другие активы или развёртыванию вторичных угроз, таких как программы-вымогатели. Доказательство концепции от Vulhub подтверждает, что команды выполняются беспрепятственно, что наглядно демонстрирует высокую критичность обнаруженного недостатка.
Для защиты корпоративной инфраструктуры от этой критической уязвимости RCE командам информационной безопасности и системным администраторам необходимо незамедлительно принять ряд защитных мер. В первую очередь, требуется обновить все развёртывания ShowDoc до версии 2.8.7 или новее, где содержится официальный патч, устраняющий проблему. Кроме того, крайне рекомендуется ограничить публичный доступ к внутренним платформам обмена документами, разместив их за защищённым VPN-подключением. Развёртывание межсетевого экрана уровня веб-приложений (WAF) поможет автоматически обнаруживать и блокировать подозрительные POST-запросы, нацеленные на директории загрузки изображений. Параллельно следует наладить активный мониторинг журналов сервера на предмет появления нестандартных расширений файлов, неожиданного выполнения PHP-кода или несанкционированного доступа к конечным точкам загрузки.
Инцидент с ShowDoc служит очередным напоминанием о критической важности своевременного обновления программного обеспечения, особенно того, которое используется для внутренней инфраструктуры и работы с конфиденциальными данными. Пренебрежение регулярным патчингом даже вспомогательных инструментов, таких как системы документооборота, может открыть злоумышленникам лёгкий путь в самое сердце корпоративной сети. Организациям следует пересмотреть свои практики управления уязвимостями, уделяя внимание всем компонентам IT-ландшафта, а не только внешне ориентированным системам.
Ссылки
- https://github.com/vulhub/vulhub/tree/master/showdoc/CNVD-2020-26585
- https://github.com/advisories/GHSA-6jmr-r7p6-f5wr
