oray向日葵(oray向日葵下載)

前言

2月17日，國家信息安全漏洞共享平臺（CNVD）披露了遠程桌面控制軟件——向日葵存在遠程命令執行漏洞（CNVD-2022-10270），聚銘網絡第一時間響應，旗下網絡流量智能分析審計系統（iNFA）現已增加對該漏洞的識別檢測能力。

CNVD披露了Oray旗下向日葵遠控軟件存在遠程代碼執行漏洞（CNVD-2022-10270）與（CNVD-2022-03672），影響Windows系統中的個人版和簡約版，攻擊者可利用該漏洞獲取服務器控制權。目前已發現有漏洞利用演示視頻公開，請相關用戶盡快采取措施進行防護。

向日葵個人版for Windows <= 11.0.0.33

向日葵簡約版 <= V1.0.1.43315（2021.12）

【1、端口探測】

開啟向日葵并提示連接成功的時候會出現一個40000-60000的端口，這個時候我們可以利用portscan(或其他掃描工具)進行掃描。

圖1 打開向日葵軟件

圖2 掃描端口

【2、漏洞掃描】

使用curl ip:[端口號] ，如下響應結果表示存在漏洞，沒有回顯表明漏洞不能被利用。

圖3 測試端口是否可利用

【3、獲取ssion值（遠程驗證碼）】

圖4 獲取ssion值

【4、命令執行】

將獲取到的ssion值加進cookie，再利用特殊格式的發送執行命令，如’whoami’，請求嘗試看是否可以獲取到主機名稱，如果有回顯則證明這個漏洞成功復現。

圖5 執行命令whoami成功

1.向日葵官方已發布了修復版本，請及時更新：https://sunlogin.oray.com/

2.如果目前無法升級，在業務環境允許的情況下，使用白名單限制web端口的訪問來降低風險。

聚銘網絡旗下網絡流量智能分析審計系統（iNFA）現已支持對向日葵遠程命令執行攻擊行為的流量檢測。

圖6 檢測出黑客竊取終端認證信息

圖7 檢測出黑客開始執行遠程命令

本安全公告僅用來描述可能存在的安全問題，不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，作者不為此承擔任何責任。