[漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞,且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞
原理:acme.sh 处理 ACME 数据时,如果服务器返回的响应不是预期的 JSON 格式,而是其他任意内容,那么 acme.sh 会将这些内容原样输出。在这种情况下,HiCA 利用这个特性,通过 Unicode 生成一个二维码,然后注入到 ACME 数据中。然后输出了一个二维码
据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用,同时担忧未来可能还会出现更多相同行为。他建议避免使用需要特定 ACME 客户端或有其他不寻常的限制/要求的证书颁发机构,并始终保持你的客户端最新
威胁:一般 ,但漏洞可远程执行 .sh 脚本,且需要使用者注意 [实际的远程代码执行(RCE)威胁相对较低,因为用户需要明确配置一个违反 ACME 规定的恶意证书颁发机构]
处置建议:用户在配置 CA 时应避免使用未经信任或未经审核的 CA,并尽量不要使用未经审核的第三方客户端
注意:本次漏洞通报中没有直接证明 HiCA 存在恶意行为,且需要注意的是 acme.sh 存在被第三方劫持的安全漏洞
相关链接:GITHUB
原理:acme.sh 处理 ACME 数据时,如果服务器返回的响应不是预期的 JSON 格式,而是其他任意内容,那么 acme.sh 会将这些内容原样输出。在这种情况下,HiCA 利用这个特性,通过 Unicode 生成一个二维码,然后注入到 ACME 数据中。然后输出了一个二维码
据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用,同时担忧未来可能还会出现更多相同行为。他建议避免使用需要特定 ACME 客户端或有其他不寻常的限制/要求的证书颁发机构,并始终保持你的客户端最新
威胁:一般 ,但漏洞可远程执行 .sh 脚本,且需要使用者注意 [实际的远程代码执行(RCE)威胁相对较低,因为用户需要明确配置一个违反 ACME 规定的恶意证书颁发机构]
处置建议:用户在配置 CA 时应避免使用未经信任或未经审核的 CA,并尽量不要使用未经审核的第三方客户端
注意:本次漏洞通报中没有直接证明 HiCA 存在恶意行为,且需要注意的是 acme.sh 存在被第三方劫持的安全漏洞
相关链接:GITHUB
GitHub
acme.sh runs arbitrary commands from a remote server · Issue #4659 · acmesh-official/acme.sh
Hello, You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine. I am not sure if thi...
