A CVE-2022-29464 afeta alguns produtos WSO2 como WSO2 API Manager e WSO2 Open Banking, permitindo upload arbitrário de arquivos e execução remota de código.
Produtos afetados:
- WSO2 API Manager 2.2.0, up to 4.0.0
- WSO2 Identity Server 5.2.0, up to 5.11.0
- WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
- WSO2 Identity Server as Key Manager 5.3.0, up to 5.11.0
- WSO2 Enterprise Integrator 6.2.0, up to 6.6.0
- WSO2 Open Banking AM 1.4.0, up to 2.0.0
- WSO2 Open Banking KM 1.4.0, up to 2.0.0
Aviso: Apenas para fins educativos.
Em plataformas como Shodan ou zoomye é possível identificar inúmeros hosts publicados na internet utilizando produtos WSO2.
Clone este repositório:
git clone https://github.com/Pasch0/WSO2RCE.git
cd WSO2RCE
pip install rich
Para iniciar o ataque utilize o comando -u para indicar uma única URL como alvo ou -f para um arquivo com múltiplos alvos:
python run.py -u https://alvo.com/
Ao acessar a backdoor pela URL gerada na execução do script é possível interagir com o campo de texto inserindo comandos do sistema e recebendo a resposta na página.
O WSO2 forneceu mitigações temporárias aos clientes em janeiro de 2022 e forneceu as correções para todas as versões de produtos com suporte listadas na Matriz de Suporte do WSO2 (status "disponível" e "obsoleto") em fevereiro. Se você for um cliente WSO2 com uma Assinatura de Suporte, use as Atualizações WSO2 para aplicar a correção.
Para mais detalhes acesse: https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738