The Hacker News 網站披露，網絡會議服務 Apache OpenMeetings 存在多個安全漏洞，Sonar 漏洞研究員 Stefan Schiller 表示網絡攻擊者可以利用這些漏洞奪取管理帳戶的控制權，并在易受影響的服務器上執行惡意代碼。

1689911027_64b9fef3ef94e7fec5c4a.png!small

2023 年 3 月 20 日，研究人員披露了漏洞詳情，2 個月后。 更新的 Openmeetings 7.1.0 版本中解決了漏洞問題。

漏洞的列表詳情如下：

• CVE-2023-28936 （CVSS 得分：5.3）- 邀請哈希值檢查不足；
• CVE-2023-29032 （CVSS 得分：8.1）- 身份驗證繞過，導致通過邀請哈希進行不受限制的訪問；
• CVE-2023-29246 (CVSS 得分：7.2) - 一個 NULL 字節 (%00) 注入，允許具有管理員權限的攻擊者執行代碼。

據悉，使用 OpenMeetings come 創建的會議邀請不僅綁定到特定的會議室和用戶，還會附帶一個特定的哈希，應用程序使用該哈希來檢索與邀請相關的詳細信息。簡言之，前兩個漏洞與用戶提供的哈希與數據庫中儲存的哈希之間的弱哈希比較有關。此外，還存在一個特別的情況，即允許在沒有分配會議室的情況下創建房間邀請，導致出現邀請沒有附加會議室的情況。

這時候，網絡攻擊者就可以利用上述漏洞創建一個會議議程并加入相應的房間，此時會為管理員用戶創建一個到不存在房間的邀請。下一步，網絡攻擊者可以利用弱哈希比較錯誤來枚舉發送的邀請，并通過提供通配符哈希輸入來兌換邀請。

1689911063_64b9ff174ad6b2ee1ff19.png!small

Schiller 進一步表示雖然當相關會議議程被刪除時，房間也會被刪除，但網絡攻擊者在房間里的存在使這里成為僵尸房間。此外，盡管在兌換此類邀請的哈希時會引發錯誤，但會為具有此用戶完全權限的受邀者創建有效的 web 會話。

換言之，僵尸會議室可能允許攻擊者獲得管理員權限并對 OpenMeetings 實例進行修改，包括添加和刪除用戶和組、更改會議室設置以及終止連接用戶的會話。

此外，Sonar 表示第三個漏洞源于一項功能，該功能使管理員能夠為與 ImageMagick 相關的可執行文件配置路徑（ImageMagick 是一種用于編輯和處理圖像的開源軟件），這就使得具有管理員權限的攻擊者可以通過將 ImageMagic 路徑更改為“/bin/sh%00x”并觸發任意 shell 命令來獲得代碼執行。

最后，Schiller 強調目前上傳一個包含有效圖像頭和任意 shell 命令的假圖像時，轉換會產生/bin/sh，第一個參數是假圖像，有效地執行了其中的每個命令。結合帳戶接管，此漏洞使自注冊攻擊者能夠在底層服務器上遠程執行代碼。

文章來源：https://thehackernews.com/2023/07/apache-openmeetings-web-conferencing.html