关键信息总结 影响环境 项目: HummerRisk 仓库: https://github.com/HummerRisk/HummerRisk 受影响版本: <=1.5.0 执行摘要 在HummerRisk云任务调度组件中存在严重的命令注入漏洞,允许具有云扫描任务创建权限的攻击者通过 参数注入任意操作系统命令。此恶意输入存储在数据库中,执行时会被连接到shell命令中,导致HummerRisk服务器上的远程代码执行(RCE)。 漏洞详情 描述: 参数在任务创建时未经验证地接受用户控制的输入,该值存储在云任务条目的 列中,任务执行清理操作时检索并直接拼接到shell命令中,允许攻击者使用shell元字符注入任意命令。 漏洞类型: - 分类: 存储/第二级OS命令注入 - CWE-78: 特殊元素使用不当的中立化(在OS命令中"OS命令注入") 入口点: - API端点: POST /task/manual/create 影响分析 技术影响: - 远程代码执行: 使用hummer-risk用户权限完全控制服务器 - 权限提升: 如果配置了sudo则可能有根访问权限 - 数据外泄: 访问hummer-risk用户可读的所有文件 - 数据销毁: 通过 命令删除任意文件 - 持久性: 攻击者可以部署后门、SSH密钥或cron作业 - 纵向移动: 从被攻破的主机访问内部网络 - 云端凭证盗窃: 访问存储的AWS、Azure、GCP凭据 业务影响: - 完整的云基础设施暴露: 所有扫描的云资源都可访问 - 凭据泄露: 存储在数据库中的云提供商凭据暴露 - 数据泄露: 敏感扫描结果和配置都可访问 - 服务中断: 攻击者可以删除关键数据或破坏操作 - 合规性违规: GDPR、PCI DSS、SOC 2和行业特定法规 证明概念(PoC) 提供了多种攻击场景,包括: 通过 参数的反向shell 通过 的数据外泄 任意文件删除(路径遍历) Webshell上传 分类与补救措施 漏洞分类: - CWE-78: OS命令注入 - CWE-20: 不当的输入验证 - CWE-89: SQL注入(存储恶意数据的类似模式) 根本原因: - 缺失的输入验证 - 不安全的命令构建 - 危险的命令执行 - 数据库数据的信任 缓解建议: - 实施严格的输入验证 - 使用安全的命令执行API - 实施region ID白名单 - 路径遍历保护 检测指南 妥协指标: - 数据库中可疑的 值: 包含shell元字符、命令关键字、异常长值等 - 日志中可疑命令: 包含 、多语句命令、反向shell模式等 检测规则: 包含Sigma规则,用于检测通过 参数的潜在存储命令注入。 受影响的组件 主要服务: ResourceCreateService、K8sCreateService、ResourceService、SshUtil 受影响的云平台: AWS、GCP、Microsoft Azure、Alibaba Cloud、Huawei Cloud、Tencent Cloud、Kubernetes集群 受影响的API端点: POST /task/manual/create 和所有接受region参数的云扫描任务端点 相关漏洞 : fileRun端点的fileName参数中的立即命令注入 元数据 报告者: Ana10gy 披露日期: 2025-01-23 CVE状态: 待分配 漏洞类型: 存储OS命令注入(CWE-78) 访问向量: 远程(网络) 复杂性: 低 所需身份验证: 是(低权限用户) 引用 包含对相关CWE条目的引用。