中華資安國際數位鑑識暨資安檢測中心發現國內知名跨平台數位簽章軟體具有不安全的API

中華資安國際數位鑑識暨資安檢測中心發現國內知名跨平台數位簽章軟體之弱點 (CVE-2022-46304CVE-2022-46305CVE-2022-46306),指出國內知名跨平台數位簽章軟體具有不安全的API,可被攻擊者利用導致命令注入、任意函式庫執行、任意讀取檔案。


【風險等級】高度威脅

【影響範圍】Windows/Mac 版本,版本號 1.0.22(多個子版本號)

【細節描述】

  1. CVE-2022-46304:元件未對連線回傳參數進行特殊字元的過濾,遠端攻擊者(不需要任何權限)建置惡意網站,即可利用該漏洞,導致安裝該元件之使用者連線至惡意網站時觸發Command Injection攻擊,令攻擊者可執行系統任意指令,並對系統進行任意操作或中斷服務。
  2.   CVE-2022-46305:元件特定功能之參數存在Path Traversal漏洞,區域網路內的攻擊者不須權限,即可利用此漏洞繞過身分認證機制,讀取任意系統檔案。
  3.   CVE-2022-46306:元件存在Path Traversal漏洞,未過濾載入DLL檔案的路徑,遠端攻擊者(不需要任何權限)建置惡意網站,即可利用該漏洞,導致安裝該元件之使用者連線至惡意網站時,觸發引入的惡意DLL檔案,令攻擊者可對系統進行任意操作或中斷服務。


開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此數位簽章系統,建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施:

1.使用者:確認該軟體版本是否是最新版本,且不在影響範圍之內。

2.政府機關、企業:儘速聯絡軟體開發商修補,並通知使用者更新軟體。

3.軟體開發商:建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測滲透測試等安全檢測,才能有效地確保產品及用戶安全。

【參考資訊】

https://www.twcert.org.tw/tw/cp-132-6800-b5cf6-1.html

https://www.twcert.org.tw/tw/cp-132-6801-bb704-1.html

https://www.twcert.org.tw/tw/cp-132-6802-4341b-1.html