微軟分析師在對Perforce Helix的游戲開發(fā)工作室產(chǎn)品進(jìn)行安全審查時(shí)，發(fā)現(xiàn)為游戲、政府、軍事和技術(shù)等部門廣泛使用的源代碼管理平臺 Perforce Helix Core Server 存在四大漏洞，并于今年 8 月底向 Perforce 報(bào)告了這些漏洞，其中一個漏洞被評為嚴(yán)重漏洞。

盡管目前微軟表示尚未發(fā)現(xiàn)上述四個漏洞被黑客利用的跡象，但還是建議用戶盡快升級到 11 月 7 日發(fā)布的 2023.1/2513900 版本，以降低風(fēng)險(xiǎn)。

Perforce Helix 核心漏洞

微軟發(fā)現(xiàn)的四個漏洞主要涉及拒絕服務(wù)（DoS）問題，其中最嚴(yán)重的漏洞允許未經(jīng)認(rèn)證的攻擊者以本地系統(tǒng)（LocalSystem）身份執(zhí)行任意遠(yuǎn)程代碼。

漏洞概述如下：

• CVE-2023-5759（CVSS 得分 7.5）： 通過 RPC 標(biāo)頭濫用進(jìn)行未驗(yàn)證（DoS）。
• CVE-2023-45849（CVSS 得分為 9.8）： 以 LocalSystem 身份執(zhí)行未經(jīng)驗(yàn)證的遠(yuǎn)程代碼。
• CVE-2023-35767 (CVSS 得分為 7.5)： 通過遠(yuǎn)程命令執(zhí)行未經(jīng)驗(yàn)證的 DoS。
• CVE-2023-45319 (CVSS 得分 7.5)：通過遠(yuǎn)程命令執(zhí)行未驗(yàn)證的 DoS： 通過遠(yuǎn)程命令實(shí)施未經(jīng)驗(yàn)證的 DoS。

其中，CVE-2023-45849 是這組漏洞中最危險(xiǎn)的漏洞，它允許未經(jīng)身份驗(yàn)證的黑客通過 "LocalSystem "執(zhí)行代碼，"LocalSystem "是一個為系統(tǒng)功能保留的高權(quán)限 Windows 操作系統(tǒng)賬戶，通過該賬戶可以訪問本地資源和系統(tǒng)文件、修改注冊表設(shè)置等。

根據(jù)調(diào)查，該漏洞的源頭是由于服務(wù)器對 user-bgtask RPC 命令的錯誤處理。在默認(rèn)配置下，Perforce 服務(wù)器允許未經(jīng)身份驗(yàn)證的黑客以 LocalSystem 身份遠(yuǎn)程執(zhí)行任意命令，包括 PowerShell 腳本。

黑客一旦成功利用 CVE-2023-45849漏洞，就能安裝后門、訪問敏感信息、創(chuàng)建或修改系統(tǒng)設(shè)置，并有可能完全控制運(yùn)行有漏洞的 Perforce Server 版本的系統(tǒng)。

導(dǎo)致命令執(zhí)行的函數(shù)調(diào)用鏈，來源：微軟

其余三個漏洞的嚴(yán)重程度較低，但仍應(yīng)該引起重視。這些漏洞允許DDos攻擊，可能造成運(yùn)行中斷，一旦有黑客利用漏洞發(fā)起大規(guī)模攻擊可能會出現(xiàn)重大經(jīng)濟(jì)損失。

保護(hù)建議

除了從供應(yīng)商的下載門戶下載最新版本的 Helix Core 外，微軟還建議采取以下措施：

• 定期更新第三方軟件
• 使用 VPN 或 IP 允許列表限制訪問
• 使用帶有代理的 TLS 證書進(jìn)行用戶驗(yàn)證
• 記錄對 Perforce 服務(wù)器的所有訪問
• 為 IT 和安全團(tuán)隊(duì)設(shè)置崩潰警報(bào)
• 使用網(wǎng)絡(luò)分段遏制漏洞

建議廣大用戶遵循上述的官方安全指南提示內(nèi)容。