漏洞概述 漏洞名称: Exploiting IOTransfer insecure API CVE-2022-24562 漏洞描述: IOTransfer 是一个允许用户在 iPhone 和 PC 之间传输文件的程序,类似于苹果的 iTunes。该程序使用 Node.js 服务器进行通信,API 未混淆且没有任何访问控制或安全措施。理解这种通信可以导致任意读取和写入计算机上的任何位置,从而可能导致远程代码执行(RCE)。 影响范围 受影响软件: IOTransfer 漏洞类型: 不安全的 API 影响: 任意读取和写入文件,可能导致远程代码执行 修复方案 建议: 由于 IOTransfer 的 AirServ 缺乏任何安全措施,建议 Blue Team 人员意识到这一点并阻止 IOTransfer 通信端口(7193),除非不使用。 披露时间线: - 2022年2月24日 - 向 IObit 披露漏洞 - 2022年2月29日 - IObit 回复称将分析信息 - 2022年3月5日 - 向 IOTransfer 披露 RCE,无回应 - 2022年3月7日 - 第二次邮件发送给 IOTransfer 团队 - 2022年3月21日 - 从 MITRE 收到 CVE 编号(CVE-2022-24562) - 2022年3月3日 - 从 MITRE 收到其他 4 个漏洞的 CVE 编号 POC 代码 详细分析 1. 背景: - IOTransfer 使用 Node.js 服务器进行通信,API 未混淆且无安全措施。 - 通过进程黑客发现 IOTransfer 正在监听 TCP 端口,进程以 elevated privileges 运行。 2. 发现第一个线索: - 进程名为 "AirServ.exe",命令行以 "iot_filetransfer.js" 结尾。 - API 由 5 个文件组成,其中 "iot_filetransfer.js" 是 API 的主要实现。 3. 代码审查: - AirServ 使用任务系统来执行操作,用户需要指定 taskID 来上传/下载文件。 - 创建任务需要发送特定字段,服务器会返回新的 taskID。 - 设置任务详情包括文件大小、保存路径、完整路径、MD5 和文件类型。 - 最后请求使用 "newuploadtask" 函数上传本地文件。 4. 结论: - IOTransfer 的 AirServ 缺乏任何安全措施,建议阻止其通信端口。 以上是对网页截图中关于漏洞的关键信息的简洁中文总结。