Dell EMC Storage Monitoring and Reporting (SMR) 监控报表平台反序列化漏洞分析报告

Dell EMC Storage Monitoring and Reporting (SMR) 监控报表平台反序列化漏洞分析报告 漏洞概述 漏洞编号 : CVE-2019-18580 CVSS 3.0评分 : 9.8 (超危) 影响产品 : Dell EMC Storage Monitoring and Reporting (SMR) 受影响版本 : 4.3.1 漏洞类型 : Java RMI反序列化漏洞 攻击复杂度 : 低 (无需身份验证) 影响范围 : 远程代码执行 漏洞背景 Dell EMC Storage Monitoring and Reporting (SMR) 是美国Dell公司开发的一套存储性能监控软件，主要用于存储性能监控和报告生成功能。该软件默认使用Java RMI service监听TCP 52569端口。 漏洞详情 漏洞成因 该漏洞存在于Java RMI service中，具体原因是程序未能妥善验证用户提交的数据，导致反序列化不可信的数据。Java RMI (Remote Method Invocation) 是一种允许在不同Java虚拟机之间进行对象调用的机制，而反序列化漏洞则是由于系统在反序列化过程中未对输入数据进行充分验证导致的。 攻击向量 远程攻击者可通过发送特制的RMI请求利用该漏洞在目标主机上执行任意代码。由于该漏洞利用无需身份认证，攻击门槛极低。 技术分析 服务端口 : 默认监听TCP 52569端口 协议 : Java RMI 漏洞触发点 : RMI服务反序列化过程 利用条件 : 网络可达且服务运行中 影响评估 受影响系统 Dell EMC Storage Monitoring and Reporting 4.3.1版本 潜在影响 完全系统控制 : 攻击者可获得与SMR服务相同权限的系统访问权限 数据泄露 : 可能访问存储监控数据 横向移动 : 可作为跳板攻击内网其他系统 持久化 : 可植入后门维持长期访问 解决方案 官方修复 Dell已于2019年11月22日发布安全公告(DSA-2019-176)，并在11月26日更新公告内容。建议用户: 检查Dell官方安全公告获取最新补丁 按照Dell提供的变通方案进行防护 临时缓解措施 网络层防护 : 限制对52569端口的访问，仅允许可信IP连接 在网络边界设备上设置访问控制规则 系统层防护 : 使用Java安全管理器限制反序列化操作 更新Java运行环境至最新版本 监控措施 : 监控52569端口的异常连接 设置入侵检测规则检测可疑的RMI流量 漏洞发现与披露时间线 发现日期 : 由越南Viettel Cyber Security公司的安全研究人员tint0发现 报告日期 : 2019年7月25日报告给Dell 首次公告 : Dell于2019年11月22日发布安全公告 公告更新 : 2019年11月26日更新公告内容 参考链接 Dell官方安全公告: DSA-2019-176 Zero Day Initiative披露页面: ZDI披露 (具体链接未在原文中提供) 附录 CVSS 3.0评分详情 虽然原文未提供完整的CVSS向量，但根据9.8的高分可以推断: 攻击向量: 网络 攻击复杂度: 低 权限需求: 无 用户交互: 无 影响范围: 高机密性、高完整性、高可用性影响 检测方法 版本检查 : 检查SMR版本是否为受影响的4.3.1 端口扫描 : 检查52569端口是否开放 流量分析 : 监控RMI通信中的异常序列化对象 漏洞利用防护 建议企业安全团队: 将此类漏洞纳入红队演练场景 在安全设备上添加相应的检测规则 对存储管理网络进行严格隔离