Goal Reached Thanks to every supporter — we hit 100%!

Goal: 1000 CNY · Raised: 1000 CNY

100.0%
Buy Us a Coffee

CVE-2022-28672 PoC — Foxit PDF Reader 资源管理错误漏洞

Source
https://github.com/fastmo/CVE-2022-28672
Associated Vulnerability
Title:Foxit PDF Reader 资源管理错误漏洞 (CVE-2022-28672)
Description:This vulnerability allows remote attackers to execute arbitrary code on affected installations of Foxit PDF Reader 11.2.1.53537. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of Doc objects. The issue results from the lack of validating the existence of an object prior to performing operations on the object. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-16640.
Description
 CVE-2022-28672 Vulnerabilidad Foxit PDF Reader - UaF - RCE - JIT Spraying
Readme
# CVE-2022-28672
 CVE-2022-28672 Vulnerabilidad Foxit PDF Reader - UaF - RCE - JIT Spraying
IOC de omisión de autenticación de FortiOS, FortiProxy y FortiSwitchManager (CVE-2022-40684)

Introducción
El reciente CVE FortiOS / FortiProxy / FortiSwitchManager ha sido explotado en la naturaleza. Nos gustaría proporcionar información adicional sobre la vulnerabilidad para que los usuarios puedan comenzar a determinar si han sido comprometidos. En esta publicación discutimos la habilitación del registro y los IOC para FortiOS 7.2.1. Es probable que estos pasos funcionen en otros productos vulnerables, sin embargo, no tenemos otros productos configurados en nuestro laboratorio para realizar pruebas. Vea los detalles de nuestra inmersión técnica aquí.

Registro
Si aún no está configurado, el registro de la API REST se puede establecer a través de la CLI de Fortinet con los siguientes comandos:

fortios_7_2_1 # config log setting
fortios_7_2_1 (setting) # set rest-api-set enable
fortios_7_2_1 (setting) # set rest-api-get enable
fortios_7_2_1 (setting) # end
fortios_7_2_1 # 

# IOCs
Además de las recomendaciones de Fortinet para verificar el registro del dispositivo para user="Local_Process_Access", cualquier sistema afectado también debe ser revisado para los registros con user_interface="Node.js" o user_interface="Report Runner". Vea las capturas de pantalla a continuación para ver ejemplos del exploit que se ejecuta en nuestros sistemas de laboratorio.

node js log
Registro JS de nodo

report runner log
Registro del ejecutor de informes

El exploit se puede utilizar con cualquier método HTTP (GET, POST, PUT, DELETE, etc.). Además, el error en la solicitud de la API de REST no es una indicación de que un atacante no haya tenido éxito. En nuestro entorno de laboratorio, pudimos modificar las claves SSH de los usuarios administradores a través de una solicitud de API REST que, según los informes, falló. También nos gustaría señalar que un sistema configurado para el uso de producción puede producir registros que coincidan con estos IOC de forma natural. Sin embargo, no esperaríamos que estos IOC coincidieran con las URL dirigidas a puntos finales de API de REST confidenciales.

#Mentalidad de atacante
Los extremos de la colección /api/v2/ se pueden utilizar para configurar el sistema y modificar el usuario administrador. Cualquier registro encontrado que cumpla con las condiciones anteriores y también tenga una URL que contenga /api/v2/ debería ser motivo de preocupación. Una investigación adicional de cualquier entrada de registro coincidente puede revelar cualquier daño que haya causado un ataque. Además, un atacante puede realizar las siguientes acciones para comprometer aún más un sistema:

Modifique las claves SSH de los usuarios administradores para permitir que el atacante inicie sesión en el sistema comprometido.
Agregar nuevos usuarios locales.
Actualice las configuraciones de red para redirigir el tráfico.
Descargue la configuración del sistema.
Inicie capturas de paquetes para capturar el tráfico.
Mitigación
# Se recomienda implementar medidas de mitigación inmediatamente para protegerse de futuros ataques. Estos incluyen:

Asegúrese de que todos los sistemas estén actualizados con la última versión de FortiOS.
Configure una contraseña segura para el usuario administrador.
Configure la autenticación de dos factores para el usuario administrador.
Configure la contraseña de cifrado para proteger las contraseñas almacenadas.
Limite el acceso a los extremos de la API REST a solo las direcciones IP confiables.
Habilite el registro de la API REST para monitorear el uso de la API.
Conclusión
Este CVE es un recordatorio de la importancia de mantener los sistemas actualizados y proteger los extremos de la API REST con medidas de seguridad adecuadas. Los usuarios de FortiOS, FortiProxy y FortiSwitchManager deben tomar medidas inmediatas para protegerse de futuros ataques y realizar una revisión completa de sus sistemas para determinar si han sido comprometidos.
File Snapshot

 [4.0K]  /data/pocs/f7b3f10022b98b8f14b13a0d27cd40a0a986f093
├── [7.6K]  exploit.pdf
├── [ 34K]  LICENSE
├── [5.3K]  rce.js
└── [4.0K]  README.md

0 directories, 4 files
Shenlong Bot has cached this for you
Remarks
    1. It is advised to access via the original source first.
    2. Local POC snapshots are reserved for subscribers — if the original source is unavailable, the local mirror is part of the paid plan.
    3. Mirroring, verifying, and maintaining this POC archive takes ongoing effort, so local snapshots are a paid feature. Your subscription keeps the archive online — thank you for the support. View subscription plans →