В конце прошлого месяца были опубликованы детали уязвимости CVE-2024-4956 (оценка по CVSS=7.5) классический path traversal в Sonatype Nexus Repository 3.x

Данная уязвимость, несмотря на недооценённую оценку критичности имеет большой потенциал для развития supply chain атак, благодаря широкому распространению open-source версии данного ПО в разных компаниях по всему миру.
Sonatype Nexus Repository представляет собой менеджер репозиториев для хранения артефактов. Поддерживаются следующие форматы артефактов: Java (Maven), образы Docker, Python, Ruby, NPM, Bower, RPM-пакеты, gitlfs, apt, Go, Nuget и пр.

Эксплуатация очень тривиальна и позволяет не аутентифицированному злоумышленнику получить доступ к чтению файлов на сервере ПО:
curl https://nexus_target/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

Но предположим, что мы не просто хотим читать файлики, а получить доступ и протроянить артефакты для развития дальнейших атак 😎
Nexus для аутентификации использует Apache Shiro 1 хеши, которые можно прочитать из OrientDB .pcl файлов с помощью эксплуатации этой уязвимости, но была проблема была в том, что оригинальный Hashcat не умел в Shiro 1, до момента пока Dylan Evans aka fin3ss3g0d не написал для него модуль - mode 12150, а заодно и скрипт автоматизирующий этот вектор эксплуатации👍

⚙️ POC: https://github.com/fin3ss3g0d/CVE-2024-4956
🔎 Shodan: title:"Sonatype Nexus Repository"
🔎 Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-4956.yaml
🪲 Уязвимые версии ПО: Sonatype Nexus Repository OSS/Pro до версии 3.68.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 3.68.1