关键漏洞信息 1. 漏洞属性 标题: HP Storage Essentials Remote Code Execution via Java deserialization CVE ID: CVE-2017-10992 CVSSv3 基础分数: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 厂商: HP (www.hp.com) 产品: HP Storage Essentials 9.5.0.142 (可能还有其他版本) 公告发布日期: 2017年9月19日 公告URL: https://labs.integrity.pt/advisories/cve-2017-10992 发现者: Filipe Bernardo 2. 漏洞摘要 HP Storage Essentials版本9.5.0.142,在用户通过Java序列化请求访问/invoker/JMXInvokerServlet服务端点时,易受未认证远程代码执行攻击。 3. 技术细节 HP Storage Essentials暴露了一个Java Web服务器,可通过发送Java序列化负载到Java服务器端点(/invoker/JMXInvokerServlet)实现代码执行。使用Burp扩展“Java SerialKiller”创建序列化命令inject,已证明概念。 4. 受影响版本 HP Storage Essentials版本9.5.0.142(可能还有其他版本) 5. 解决方案 HP团队回复邮件称该版本不再获得更新,因此无解决方案可用。详见“6.变通方法”。 6. 变通方法 确保所有对管理页面的访问都受访问控制列表的控制。 联系HP寻求支持。 7. 漏洞时间线 2017年5月18日 - 联系厂商,报告漏洞 2017年5月23日 - 厂商回复邮件,内部票据PSRT110461 2017年5月29日 - 询问厂商详细信息,回复已提供给内部产品工程 2017年6月19日 - 再次询问厂商详细信息,回复产品团队仍在分析 2017年7月7日 - 厂商回复称该产品不再支持,产品团队将不再修复该问题 2017年7月7日 - 邮件询问Mitre CVE ID,获CVE-2017-10992 2017年9月19日 - 漏洞公告发布 8. 参考资料 https://softwaresupport.hpe.com/document/-/facetsearch/document/KM01178963