[EXP]CVE-2022-24706 Exploit公开 影响全网128万台Apache CouchDB数据库

两周前Apache couchdb官方发布安全通告，公告中修复了一个远程代码执行漏洞，漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。

简介

Apache CouchDB数据库，它类似于Redis，Cassandra和MongoDB，也是一个NoSQL数据库。CouchDB将数据存储为非关系性的JSON文档。这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。

漏洞信息

Apache CouchDB 是一个开源的无缝多主同步数据库，使用直观的HTTP/JSON API，并为可靠性而设计。

4月26日，Apache发布安全公告，公开了Apache CouchDB中的一个远程代码执行漏洞（CVE-2022-24706）。在3.2.2 版本之前的 Apache CouchDB 中，可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限：

1. CouchDB 打开一个随机网络端口，绑定到所有可用的接口以预期集群操作或runtime introspection，称为 “epmd “的实用程序向网络公布了这个随机端口。epmd本身在一个固定的端口上监听。

2. CouchDB包装之前为单节点和集群安装选择了一个默认的”cookie “值，该cookie用于验证Erlang 节点之间的任何通信。

CouchDB官方建议在所有CouchDB安装前设置防火墙。完整的CouchDB api在注册的端口5984上可用，这是单节点安装需要公开的唯一端口。不将单独的分发端口暴露给外部访问的安装不易受到攻击。

影响版本

CouchDB <= 3.2.1

影响范围

骚蛋搜索结果129万，不能保证全是，也不能保证都能利用，毕竟漏洞公开至今已经3周了，EXP昨日在漏洞库上公开。如果不指定目标的话，或许效果会比F5 BIG-IP好，毕竟数量大。当然漏洞这种东西不好说，一看时间节点，二看产品用途，三看管理员，数据库、域控等都比较重要，高危漏洞公开3周都没打补丁，只能说管理员有问题，正常来说高危漏洞重要机器，应该是1-3天内打实丁，其它机器次之，一两个月甚至几年都可能还能遇到漏网之鱼，这玩意有时候也看点运气，当然运气的前提，也是你把相关工具准备好，至少复现一下，不然项目遇到，直接打，不成功，不知道是EXP问题，还是目标WAF拦截，你只看到失败，就以为没漏洞，可能就错过一个权限。

Exploit

https://www.exploit-db.com/exploits/50914

把EXP修改成非交互式，就可以使用Ladon批量检测

Ladon插件CVE-2022-24706.ini

漏洞利用端口为4369，所以INI配置可以加一行port=4369，这样Ladon通过ICMP探测到存活时，就会先探测目标是否开放4369端口，再调用POC探测。当然如果被调用程序自动检测端口，也可以不需要让此命令，少了这个步骤，速度会更快，特别是被调用程序处理了相关异常，异步提交等。

[Ladon]#Ladon 192.10.22.1/24 CVE-2022-24706.iniexe=CVE-2022-24706.exearg=$ip$ idport=4369log=true

独立使用

CVE-2022-24706.exe  192.168.1.8 id

Ladon批量

Ladon 10.1.10.8/24 CVE-2022-24706.ini   检测C段Ladon 10.1.10.8/b CVE-2022-24706.ini    检测B段Ladon ip.txt CVE-2022-24706.ini         批量检测IP列表  Ladon ip24.txt CVE-2022-24706.ini       批量检测C段列表Ladon ip16.txt CVE-2022-24706.ini       批量检测B段列表Ladon cidr.txt CVE-2022-24706.ini       扫描指定国家IP段

漏洞环境使用Docker搭建3.2.1版本，复现成功

CVE-2017-12636  VulHub环境复现

修复建议

CouchDB 3.2.2 及更高版本将强制修改默认的 Erlang cookie 值，并将所有 CouchDB 分发端口绑定到 `127.0.0.1` 或 `::1`，来缓解此问题。

插件例子

[插件]SCHTASKS批量执行命令 CVE-2022-1388  F5 BIG-IP 批量检测POC