Logsign Unified SecOps任意文件删除漏洞CVE-2024-9257

Logsign 公司成立于2010年，旨在使网络安全从业者能够使用智能、整洁的下一代软件更高效地工作，保护 IT 系统和管理网络安全运营。

Logsign 提供自动化驱动的网络安全解决方案，并致力于提供最智能、最易于使用和最实惠的网络安全检测和响应解决方案以及增值服务。

一、基本情况

Logsign's Unified SecOps Platform 平台提供全面解决方案，增强组织的网络弹性，促进平稳运营、无缝部署、快速及时检测和高效响应。

Logsign 凭友好界面，简化流程为企业提供无忧体验，无须额外成本和时间，通过单一部署即使用Logsign Unified SecOps Platform 执行。

栋科技漏洞库关注到Logsign Unified SecOps平台中的 delete_gsuite_key_file 输入验证任意文件删除漏洞，漏洞追踪为CVE-2024-9257。

二、漏洞分析

CVE-2024-9257是Logsign Unified SecOps Platform中的delete_gsuite_key_file存在输入验证任意文件删除漏洞，该漏洞CVSS评分为4.3。

该漏洞源于在用户造文件操作前未对用户提供的文件名进行适当验证，即无法正确验证delete_gsuite_api_key_file()函数的 filename 参数。

函数位于Logsign Unified SecOps Platform的delete_gsuite_key_file端点中，与/API/settings/delete _ g suite _ key _ file/< filename >关联。

当发出HTTP删除请求时，该函数无法检查文件名是否为有效的. p12文件，从而导致远程攻击者可以在指定的目录中任意删除其中是文件。

例如/opt/log sign-poller/pollers/or/HDFS/opt/var/log/（如果启用了集群模式），官方基于此建议客户确保他们始终拥有该程序最新版本。

具有delete_settings_device_list权限的经过身份验证的攻击者可以利用此漏洞删除这些目录中的任何文件，包括敏感文件或系统配置文件。

该漏洞允许允许远程攻击者在Logsign Unified SecOps Platform受影响安装上删除敏感目录中的任意文件，利用该漏洞需要进行身份验证。

Logsign 感谢趋势科技零日计划团队负责任地披露了此问题，攻击者可以利用此漏洞删除系统上的关键文件，漏洞被列为ZDI-CAN-25265。

三、漏洞影响

Logsign Unified SecOps Platform <= 6.4.25

四、修复建议

Logsign Unified SecOps Platform > 6.4.26

五、参考链接

https://support.logsign.net/hc/en-us/articles/21062889743762-30-08-2024-Version-6-4-26-Release-Notes