CVE-2018-11138

Суть уязвимости

Анонимный пользователь (без аутентификации) может отправить специально сформированный HTTP-запрос к скрипту /common/download_agent_installer.php. Это позволяет выполнить произвольные команды на операционной системе с привилегиями веб-сервера (обычно www-data или apache).

Как исправить

Установите официальный патч от Quest Software. Для KACE System Management Appliance версий 8.0.x и 9.0.x необходимо обновиться до одной из следующих исправленных версий: * Версия 8.0.x: Обновитесь до версии 8.0.318 или новее. * Версия 9.0.x: Обновитесь до версии 9.0.270 или новее.

Процедура обновления: 1. Скачайте файл обновления (.KISO) с портала поддержки Quest. 2. Загрузите его в интерфейс администрирования KACE (Settings > Updates). 3. Примените обновление через раздел Settings > Updates > Uploaded Updates.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к уязвимому скрипту.

1. Через веб-сервер (Apache) .htaccess: Добавьте в файл .htaccess в корне веб-приложения (или в конфигурацию виртуального хоста) правило, блокирующее прямой доступ к скрипту.

<Files "download_agent_installer.php">
    Order Deny,Allow
    Deny from all
    # Разрешить только с доверенных IP-адресов (пример)
    # Allow from 10.0.0.0/24
</Files>

После изменения перезагрузите Apache:

sudo systemctl reload apache2
# или для CentOS/RHEL
sudo systemctl reload httpd

2. Через сетевой экран (iptables): Заблокируйте внешний доступ к порту веб-интерфейса (по умолчанию TCP/443 или TCP/80) для всех, кроме доверенных сетей администрирования.

# Пример: разрешить только из сети 10.1.1.0/24, остальным запретить
sudo iptables -A INPUT -p tcp --dport 443 ! -s 10.1.1.0/24 -j DROP

Для сохранения правил после перезагрузки используйте iptables-save.

3. Через WAF: Настройте правило в Web Application Firewall (например, ModSecurity, облачный WAF) для блокировки запросов, содержащих в URI путь /common/download_agent_installer.php.