Używasz JMetera na serwerze? – niezałatane wykonanie kodu w OS

JMeter to popularne narzędzie służące głównie do realizacji testów wydajnościowych. Można go uruchomić lokalnie, ale jeśli potrzebujemy zasymulować większą ilość ruchu, popularną instalacją jest wystartowanie wielu serwerów JMetera a następnie uruchomienie równoległych testów właśnie z tych serwerów.

Jednak… w takiej instalacji możliwe jest zdalne wykonanie dowolnego kodu na serwerze a całość wykorzystuje klasykę java gatunku – czyli deserializację:

RCE

Oczywiście wymagane jest podłączenie się przez atakującego do stosownego portu wystawionego przez serwer (ale to raczej jest domyślna konfiguracja…).

Twórcy JMetera poprawili podatność…ale chyba nie do końca. Dalej możliwe jest wykonanie kodu w OS:

rce

–ms