Używasz JMetera na serwerze? – niezałatane wykonanie kodu w OS

17 marca 2018, 10:05 | W biegu | 1 komentarz
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

JMeter to popularne narzędzie służące głównie do realizacji testów wydajnościowych. Można go uruchomić lokalnie, ale jeśli potrzebujemy zasymulować większą ilość ruchu, popularną instalacją jest wystartowanie wielu serwerów JMetera a następnie uruchomienie równoległych testów właśnie z tych serwerów.

Jednak… w takiej instalacji możliwe jest zdalne wykonanie dowolnego kodu na serwerze a całość wykorzystuje klasykę java gatunku – czyli deserializację:

RCE

Oczywiście wymagane jest podłączenie się przez atakującego do stosownego portu wystawionego przez serwer (ale to raczej jest domyślna konfiguracja…).

Twórcy JMetera poprawili podatność…ale chyba nie do końca. Dalej możliwe jest wykonanie kodu w OS:

rce

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. skirge

    Co za odkrycie, opisane w dokumentacji od wersji 2.x (od tej wersji używam, mogło być wcześniej).

    Odpowiedz

Odpowiedz