当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088765

漏洞标题:某大型关键中间件tailor可影响企业内网(中国移动等)

相关厂商:h3w.com.cn

漏洞作者: 黑暗游侠

提交时间:2014-12-26 22:15

修复时间:2015-03-26 22:16

公开时间:2015-03-26 22:16

漏洞类型:地下0day/成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-26: 细节已通知厂商并且等待厂商处理中
2014-12-30: 厂商已经确认,细节仅向厂商公开
2015-01-02: 细节向第三方安全合作伙伴开放
2015-02-23: 细节向核心白帽子及相关领域专家公开
2015-03-05: 细节向普通白帽子公开
2015-03-15: 细节向实习白帽子公开
2015-03-26: 细节向公众公开

简要描述:

详细说明:

该关键性中间件为tailor,多为大公司关键性内网系统部署Beijing Handscape Technology Co. Ltd研制
官网介绍:http://www.h3w.com.cn/index.html
Tailor介绍Tailor是什么?
Tailor是北京掌中经纬技术有限公司潜心数年研究开发的移动化中间件产品。该产品技术已向国家产权局申请了相关专利并已受理。
Tailor能干什么?
Tailor顾名思义是一个裁缝,它可以根据用户要求,对各种Web应用进行裁剪、设计、缝制形成一个新的应用,并且Tailor技术是天然移动化的。
Tailor关键技术:
1. Web应用的拆分与重装技术通过该项技术,可根据业务需要将各类Web应用在应用层完成应用拆解与重组装,并且无需原应用提供接口。
2. JavaScript执行过程的动态控制可将Web应用前台主要业务逻辑控制脚本(JavaScript)执行过程进行动态控制,包括中断、切分、再执行等。
通过此两项关键技术,不但可完成某单一简单或复杂应用移动化,并可进行多应用服务融合,甚至对整个服务流程进行切片、重组、优化。目前该两项技术均已申请相关专利
Tailor的技术体系:
Tailor等于可编程的浏览器环境+动态页面解析,其技术架构示意。
Tailor技术特点:
• 跨平台:支持IOS、Andorid、win Phone,而且一次开发同时完成三个版本多类型:支持Web App、Native App多种APP模式。
• 高效:使用Tailor开发,无需原应用二次开发,无需原应用开发商配合,支持动态调整。
• 高性能:构建服务器端浏览器环境,两端分布式处理,提升软件效率。
• 完整性:通过Tailor可以无损完成原应用移动化,保持原有系统服务的连续性、完整性。
• 服务融合:通过Tailor可以对原有多个系统进行服务切片并对象化,可优化原系统服务,或重组服务链条,形成新的服务链。
Tailor应用案例:
中国国家知识产权局门户网站移动化项目
中国移动集团MOA项目
中国气象局门户整合项目
百度销售助手项目
...
该中间件连接内外网,当代理,可导致多大公司系统shell沦陷
来看2个案例,该中间件没有dork,问题确实存在且比较严重,因为配合的是
nginx+tomcat,任意文件读取和tomcat配合简直就是灾难,shell设置war包上传即可,而且
此中间件存在代理漏传协议,可跨协议访问内网
1、中国移动集团MOA项目

2.png


2、四川移动项目

3.png


搭配了tailor中间件做代理服务的网站均存在任意文件读取
配合读取tomcat密码可通过上传war包访问shell,风控内网

漏洞证明:

修复方案:

版权声明:转载请注明来源 黑暗游侠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-12-30 17:24

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向软件生产厂商通报,涉及中国移动的案例由CNCERT向中国移动通报。

最新状态:

暂无