CVE-2026-4761 Panorama证书私钥权限配置错误

漏洞信息

漏洞编号

CVE-2026-4761

漏洞类型

权限配置错误

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Panorama Suite (Network and Security tool)

漏洞概述

该漏洞存在于Codra Panorama套件的Network and Security工具中。当使用该工具在Windows机器证书存储中安装证书及其私钥时，系统错误地将私钥的访问权限授予了操作员组。这种不当的权限配置使得属于操作员组的用户能够读取本应受到严格保护的私钥文件，从而导致敏感信息泄露。受影响的安装版本包括基于Panorama Suite 2025 (25.00.004)且未安装PS-2500-00-0357（或更高版本）更新的系统。

技术细节

该漏洞的根本原因是应用程序在处理证书安装时，未能正确设置Windows证书存储中私钥文件的访问控制列表（ACL）。在Windows操作系统中，机器私钥通常存储在受保护的目录（如%ProgramData%\Microsoft\Crypto\RSA\MachineKeys）下，默认仅允许系统和管理员账户访问。然而，Panorama工具在安装过程中将'Operators'组添加到了私钥文件的DACL中，并赋予了读取权限。由于CVSS向量显示无需认证且无需用户交互，攻击者若能以操作员组身份访问系统（或结合其他漏洞提权至该组），即可利用此漏洞读取私钥。利用方式通常涉及使用CryptoAPI或直接文件访问来导出私钥材料，进而导致中间人攻击或服务身份伪造。

攻击链分析

STEP 1

1. 漏洞引入

管理员使用Panorama Network and Security工具在Windows机器上安装证书及其私钥。

STEP 2

2. 权限错误配置

工具在安装过程中，错误地将'Operators'用户组添加到私钥文件的ACL中，并授予读取权限。

STEP 3

3. 权限获取

攻击者通过某种方式获得操作员组的访问权限，或者攻击者本身就是拥有该权限的内部恶意人员。

STEP 4

4. 私钥读取

攻击者编写脚本或利用工具访问Windows证书存储，读取受影响私钥文件的内容。

STEP 5

5. 后果利用

利用获取的私钥，攻击者可以解密通信流量、伪造服务器签名或进行中间人攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC: Check if 'Operators' group has read access to private keys in Machine Store
# This script requires PowerShell and checks the ACLs of non-root certificate keys.

function Test-CertificatePrivateKeyAcl {
    param (
        [string]$StorePath = "Cert:\LocalMachine\My"
    )

    Write-Host "[+] Scanning certificates in $StorePath for weak ACLs..."
    
    Get-ChildItem -Path $StorePath | ForEach-Object {
        $cert = $_
        if ($cert.HasPrivateKey) {
            try {
                # Attempt to get the unique key container name
                $rsa = [System.Security.Cryptography.RSACryptoServiceProvider]::new()
                $rsaParameters = $cert.PrivateKey.ExportParameters($false)
                
                # In a real scenario, we would resolve the CspKeyContainerInfo to get the file path
                # For demonstration, we simulate checking the ACL logic described in the CVE
                $cspParams = New-Object System.Security.Cryptography.CspParameters(1, $cert.PrivateKey.CspKeyContainerInfo.ProviderName, $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName)
                $cspParams.Flags = [System.Security.Cryptography.CspProviderFlags]::UseMachineKeyStore
                
                $keyPath = Join-Path $env:ProgramData "Microsoft\Crypto\RSA\MachineKeys\$($cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName)"
                
                if (Test-Path $keyPath) {
                    $acl = Get-Acl -Path $keyPath
                    $access = $acl.Access | Where-Object { $_.IdentityReference.Value -eq "BUILTIN\Operators" -and $_.FileSystemRights -match "Read" }
                    
                    if ($access) {
                        Write-Host "[!] VULNERABLE FOUND: Certificate Subject: $($cert.Subject)" -ForegroundColor Red
                        Write-Host "    Key Path: $keyPath"
                        Write-Host "    Issue: 'BUILTIN\Operators' group has Read access."
                    }
                }
            } catch {
                # Ignore errors for certs without accessible key file paths
            }
        }
    }
}

Test-CertificatePrivateKeyAcl

影响范围

Panorama Suite 2025 (25.00.004) (未安装 PS-2500-00-0357 或更高版本)

防御指南

临时缓解措施

如果无法立即安装补丁，建议手动检查Windows机器证书存储中私钥文件的权限（位于%ProgramData%\Microsoft\Crypto\RSA\MachineKeys），并移除'Operators'组对私钥文件的读取权限，确保仅授权的管理员和系统账户拥有访问权。