2021HW | 04/11 第三天总结

最新推荐文章于 2023-06-06 10:32:55 发布

zkzq

最新推荐文章于 2023-06-06 10:32:55 发布

阅读量1.3k

点赞数

分类专栏： HW

原文链接：https://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247514654&idx=2&sn=c5c2d8e7099e132393d7816ad480fc20&chksm=ebeaf333dc9d7a251fccef7a9f9cdbd6e851d99447ce69a14a7e21459f816a631590c1aeef9a&token=307607095&lang=zh_CN#rd

版权

HW 专栏收录该内容

5 篇文章 0 订阅

订阅专栏

> 更多黑客技能 公众号：白帽子左一

今日趣闻

文案有风险，钓鱼需谨慎

在这里插入图片描述

2021HW | 04/09 第一天总结

2021HW | 04/10 第二天总结

攻防第三日小节

4月10日，奇安信补天情报站全面研判后，提醒广大客户关注今晚的补丁包，尽快升级，提升防护能力。

截至2021年4月10日22点，奇安信补天情报站共监测到11个漏洞，涉及到8家厂家。

今日监测到54个漏洞，涉及33家厂商。

今日炒冷饭（早已发现且被修复的过期漏洞）3个，其余漏洞中需重点关注的证实漏洞为6个，其余漏洞持续监测中。

一、需重点关注的证实漏洞

漏洞编号：B-T-V-0037
漏洞名称：用友NC 反序列化利用（更新状态：4月9日未证实，4月10日已证实）
涉及厂商：用友
漏洞等级：高危
影响版本：NC6.5
可信度：90%
漏洞关注点：
/service/~xbrl/XbrlPersistenceServlet
是否公开：是
是否有POC：是
首次发现时间：2021年4月9日
情报来源：互联网

防护建议:
更新天眼规则升级包到规则ID：0x10020D44 版本号：3.0.0410.12745
奇安信安域Web应用防护系统规则ID：180840014 版本号：20210410004
奇安信网神智慧防火墙规则id：1242201 版本号：2104112000及以上版本
奇安信网神网络数据传感器规则ID：6374 版本号：2104102130
虚拟化安全管理平台windows版规则id:2923982 版本号:2021.04.13
虚拟化安全管理平台linux版规则id:313824 版本号:2021.04.13
奇安信网神统一服务器安全管理平台规则Id:63823982 版本号:10351

漏洞编号：B-T-V-0043
漏洞名称：金山终端安全系统 V8/V9存在文件上传漏洞
涉及厂商:DzzOffice
漏洞等级：高危
漏洞关注点:
dzz/shares/index.php
是否公开：是
是否有POC：是
首次发现时间：2021年4月8日
情报来源：互联网
备注：2021年4月9日相关漏洞分析及poc被公开，有利用风险

防护建议:
更新天眼规则升级包到规则ID：0x10020D4B 版本号：3.0.0410.12743
奇安信网神网络数据传感器规则ID：6373 版本号：2104101700
奇安信网神智慧防火墙规则id：1240501 版本号：2104102010及以上版本

漏洞编号：B-T-V-0047
漏洞名称：齐治堡垒机某版本任意用户登录
涉及厂商：齐治
漏洞等级：高危
漏洞关注点：
/audit/gui_detail_view.php
是否公开：是
是否有POC：是
首次发现时间：2021年4月9日
情报来源：互联网

防护建议:
更新天眼规则升级包到规则id: 0x10020D48 版本号：3.0.0410.12743
奇安信网神网络数据传感器规则ID：6370 版本号：2104101200
奇安信安域Web应用防护系统规则ID：181240001 版本号：20210410001
奇安信网神智慧防火墙规则id：1242101 版本号：2104102010及以上版本
虚拟化安全管理平台windows版规则id:2923977 版本号:2021.04.12
虚拟化安全管理平台linux版规则id:313820 版本号:2021.04.12
奇安信网神统一服务器安全管理平台规则Id:63823977 版本号:10350

漏洞编号：B-T-V-0048
漏洞名称：致远OA远程代码执行漏洞
涉及厂商：致远
漏洞等级：高危
漏洞关注点：暂不公开
是否公开：否
是否有POC：是
首次发现时间：2021年4月10日
情报来源:捕获漏洞

防护建议:
更新天眼规则升级包到规则ID：0x10020D49 版本号：3.0.0410.12743
奇安信安域Web应用防护系统规则ID：180680004 版本号：20210410002
奇安信网神智慧防火墙规则id：1240301 版本号：2104102010及以上版本
奇安信网神网络数据传感器规则ID：6371 版本号：2104101200
虚拟化安全管理平台windows版规则id:2923978 版本号:2021.04.12
虚拟化安全管理平台linux版规则id:313821 版本号:2021.04.12
奇安信网神统一服务器安全管理平台规则Id:63823978 版本号:10350

漏洞编号：B-T-V-0049
漏洞名称：浪潮 ClusterEngineV4.0 任意命令执行2
涉及厂商：浪潮
漏洞等级：高危
漏洞关注点：
/alarmConfig
是否公开：是
是否有POC：是
首次发现时间：2021年4月10日
情报来源：互联网
备注：2021年4月10日相关漏洞分析及poc被公开，有利用风险

防护建议:
更新天眼规则升级包到规则ID：0x10020D4A 版本号：3.0.0410.12742
奇安信网神网络数据传感器规则ID：6372 版本号：2104101400
奇安信网神智慧防火墙规则id：1240401 版本号：2104102010及以上版本
奇安信安域Web应用防护系统规则ID：181250001 版本号：20210410003

漏洞编号：B-T-V-0054
漏洞名称：金山WPS存在远程堆损坏漏洞
涉及厂商：金山
漏洞等级：高危
是否公开：是
是否有POC：否
首次发现时间：2021年4月9日
情报来源：互联网

二、炒冷饭漏洞

漏洞列表：

漏洞编号：B-T-V-0035
漏洞名称：Apache Solr任意文件读取漏洞(状态更新：4月8日未证实，4月10日确认为炒冷饭)
涉及厂商：Apache Solr
漏洞等级：高危
影响版本：Solr全版本
漏洞关注点：
/solr/db/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd
是否公开：是
是否有POC：是
首次发现时间：2021年3月17日
情报来源：互联网

漏洞编号：B-T-V-0046
漏洞名称：Apache Struts 2.x REST远程代码执行(实际为S2-052)
涉及厂商：Apache Struts
漏洞等级：高危
影响版本：2.1.1到2.3.x之前的2.3.x和2.5.13之前的2.5.x
漏洞关注点：
com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource
是否公开：是
是否有POC：是
首次发现时间：2017年9月6日
情报来源：互联网

漏洞编号：B-T-V-0053
漏洞名称：用友NC协同管理软件存在目录遍历漏洞
涉及厂商：用友
漏洞等级：高危
影响版本：未知
漏洞关注点：
/NCFindWeb?service=IPreAlertConfigService&filename=
是否公开：是
是否有POC：是
首次发现时间：2015年10月15日
情报来源：互联网

三、持续监测漏洞

漏洞编号：B-T-V-0050
漏洞名称：coremail疑似存在漏洞
涉及厂商：论客
漏洞等级：高危
可信度：50%
是否公开：否
是否有POC：否
首次发现时间：2021年4月10日
情报来源：互联网

漏洞编号：B-T-V-0051
漏洞名称：Exchange疑似存在某漏洞
涉及厂商：微软
漏洞等级：不明确
可信度：10%
是否公开：否
是否有POC：否
首次发现时间：2021年4月10日
情报来源：互联网

四、恶意IP情报通报

情报编号：B-T-I-0005
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/能源/企业
攻击队IP：221.236.18.88,122.10.82.221,68.132.136.198,116.1.86.117,45.77.148.89,42.193.3.60,68.150.109.112,119.52.193.79,216.244.66.239,203.248.175.71
处置建议：封禁&溯源

情报编号：B-T-I-0006
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/能源/烟草/企业
攻击队IP：139.214.87.183,51.210.166.116,167.71.175.162,139.155.230.32,47.98.187.238,42.193.37.228,123.56.72.196,14.116.218.7,121.5.39.223,37.49.225.166
处置建议：封禁&溯源

情报编号：B-T-I-0007
危险等级：高
评判类型：攻击队IP
涉及行业：金融/环境/通信/企业
攻击队IP：
80.82.77.33,39.103.130.139,42.51.34.229,101.69.134.96,58.216.2.51,58.216.2.59,121.89.205.44,121.5.147.143,221.213.198.194,183.201.200.142
处置建议：封禁&溯源

情报编号：B-T-I-0008
危险等级：高
评判类型：攻击队IP
涉及行业：财税/电力/企业
攻击队IP：
223.149.126.81,58.216.2.67,58.216.2.180,39.99.241.200,130.61.76.90,42.193.12.196,122.228.23.154,101.69.134.100,150.138.138.79,114.228.56.150
处置建议：封禁&溯源

情报编号：B-T-I-0009
危险等级：高
评判类型：攻击队IP
涉及行业：财税/通信/能源/电力/企业
攻击队IP：
58.216.2.86,39.103.201.163,114.228.62.108,58.216.2.195,138.197.89.132,223.149.126.176,106.120.139.59,58.216.2.87,121.196.214.192,221.237.189.210
处置建议：封禁&溯源

情报编号：B-T-I-0010
危险等级：高
评判类型：攻击队IP
涉及行业：财税/电力/企业
攻击队IP：58.246.221.40,58.246.221.42,47.101.53.132,39.99.155.39,39.101.177.198,39.99.253.241,101.69.134.98,47.92.78.22,113.142.198.120,117.136.33.147
处置建议：封禁&溯源

情报编号：B-T-I-0011
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/电力/企业
攻击队IP：121.201.72.2,39.101.167.221,39.103.134.84,114.228.50.100,106.75.119.46,101.32.218.253,211.91.248.29,211.91.248.28,47.92.35.221,113.96.198.245,115.216.242.9,218.91.30.171
处置建议：封禁&溯源

情报编号：B-T-I-0012
危险等级：高
评判类型：攻击队IP
涉及行业：环境/财税/电力/企业
攻击队IP：119.52.194.164,39.101.129.203,39.99.158.49,122.228.23.160,47.254.247.217,8.208.101.38,114.117.166.86,114.228.58.90,122.51.147.168,113.142.198.185
处置建议：封禁&溯源

五.安全工具

2个安全工具发布更新，具体信息如下：

1、冰蝎

Behinder_v3.0 Beta 72021.4.8修复问题如下：

1.数据库查询内容显示不正常；
2.关闭主界面后，虚拟终端后台线程继续请求；
3.某些场景下中文路径显示乱码；
4.优麒麟系统无法弹出窗口；
5.某些不能自动保存；
6.某些场景下提示数据库被锁定；
7.目标https证书过期连接问题；
8.Jar包缩小，Jar包执行不再区分操作系统平台，提供跨平台版本；
9.删除了一些特征；
10.其他一些问题；

2、goby

测试版（1.8.239）•2

021年4月2日更新情况如下：

•总共有44个新漏洞：Weblogic Server RCE（CVE-2021-2109），Apache Flink Upload（CVE-2020-17518），lanproxy目录遍历（CVE-2021-3019），Ruijie EG RCE，Apache Druid RCE（CVE -2021-25646）等；

•添加IP库：活动挂图战斗！通过根域，快速定义目标网络资产图；

•添加ICON映射功能：支持查询规则以搜索当前任务资产，例如查询ip，端口，应用，协议，标题等；

•新服务器管理：支持添加多个远程服务器，并支持服务器管理；

•添加对Windows 32位，mips和arm版本的支持：当前仅限于命令行启动，启动方法与Windows 64位相同，运行goby-cmd：

./goby-cmd -apiauth用户：pass -mode api -bind 0.0 .0.0：8361

•新协议：星号，梭子鱼-bcp，信标ccnet，ceph，daap，firebird，nomachine-nx，remoting，rtmp，stun，svrloc，varnish-cli等；

•新扩展：弱密码字典：DictionaryConfig，定时任务功能：任务队列等；

•支持指定多个poc进行扫描；

•解决在线升级问题；

•优化漏洞利用的编码显示；

•纠正pocs的一些错误；

•解决了由中国主题引起的白屏问题；

•解决了无法显示网站屏幕截图的问题；

•优化部分隐藏的深层但经常使用的功能交互；

六.威胁情报

威胁情报信息收集2600余条，部分情况如下：

红队IP：

36.32.3.116

112.117.113.39

111.162.145.36

36.5.197.212

23.233.237.73

92.118.160.25

175.9.44.160

58.19.216.52

58.253.182.54

89.252.131.18

218.206.249.133

119.52.194.164

139.214.87.158

222.178.134.72

45.146.165.165

45.148.10.45

45.155.205.151

45.155.205.211

116.85.44.231

124.64.18.205

125.111.7.14

148.81.111.121

106.121.3.115

185.172.111.212

扫描二次验证过的 cobalt strike 地址：

1.14.4.51    

1.14.19.101    

1.15.29.198    

1.15.48.111    

1.15.67.142

HW日记（来源于网络）

2021年4月10日周六阴

早晨只是在朋友圈发了一句"你可以试探"，结果，中午遭遇两个0day攻击，一上来就是核武器。业务系统临时下线处理还被攻击队频繁举报非法防守，我晓得，他瞄上我了！

暮色来袭，坚守了30小时，拖着疲惫的身躯回家，迷迷糊糊中，走进一个梦境。愿梦里没有攻击！

2021年4月10日星期六晴

今天邮件网关截获到一个HR发送过来的宏病毒Word文档，客户让我火速分析。心头一紧，我啷个会分析这个，我只是一个混吃等死的废物罢了，抱着忐忑的心把文件丢到虚拟机里，刚丢进去火绒就告警了宏病毒，客户说你把宏代码截取出来看看它的行为.

我的WPS不支持宏，我沉默了，也许在这一刻，我的临时工身份已经彻底暴露，客户的脸色不是很好，今天中午的饭到现在也没送来，可能我已经不配吃他们的午饭了。生而为人，我很抱歉。

本文整理来源于：IRT工业安全红队，补天平台
在这里插入图片描述