第四季度
2020 年四季度(10 月-12 月),安恒应急响应中心公众号共发了 18 篇高危漏洞风 险提示,其中 7 篇提供了漏洞验证截图,11 篇提供了全球网络空间受影响资产测绘数 据。12 月,SolarWinds 公告在 SolarWinds Orion Platform 的 2019.4 HF5 到 2020.2.1 及其相关补丁包的受影响版本中,存在高度复杂后门行为的恶意代码(SUNBURST 后 门),从而导致安装了被污染包的用户系统存在直接被植入后门的巨大风险,通过安恒 SUMAP 平台对暴露在互联网上的 SolarWinds Orion Platform 进行统计,当时查询分布 情况如下,全球分布:
四季度验证可利用的漏洞主要包括:
Apache Solr 在使用 Configsets API 时,在未进行身份验证或授权的情况下,可以 通过结合使用 UPLOAD 或 CREATE 进行任意文件上传,达到远程代码执行效果;
当 MyBatis 服务中使用二级缓存,进行 Mapper 的 xml 中配置时,恶意攻击者将会 利用二级缓存序列化数据,配合恶意的参数载荷,对目标机器进行攻击,远程代码执行 效果;
在禅道开源版低于 12.4.3 中存在任意文件读取和任意文件上传漏洞,恶意攻击者可 以通过 fopen/fread/fwrite 方法结合 file、http、ftp 等协议,读取或上传任意敏感文件, 成功利用漏洞可获得目标系统中敏感文件及系统管理权限,应急响应中心对其漏洞的验 证效果如下图:
在业务系统使用 XXL-JOB <= 2.2.0 版本的场景中,恶意攻击者可以构造特殊 HTTP 请求来命令执行,从而获得服务器权限;
通过 Oracle WebLogic Server HTTP(Console)、IIOP、T3 协议漏洞,恶意攻 击者能实现远程代码执行效果,从而获取目标系统管理权限;
用友 NC 产品存在文件上传漏洞,恶意攻击者可以通过该漏洞上传任意文件,从 而可能导致获取到目标系统管理权限,应急响应中心对其漏洞的验证效果如下图:
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,四季度发布的其他漏洞包括:
| 月份 | 预警公告 | 漏洞验证说明 | 资产影响范围统计 |
|---|---|---|---|
| 10 月 | Apache Solr 文件上传漏洞风险提示 | 有 | 无 |
| MyBatis 反序列化高危漏洞风险提示 | 有 | ||
| 微软 10 月安全更新补丁和 TCPIP高危漏洞风险提示 | 无 | ||
| SAP 10月安全更新补丁和高危漏洞风险提示 | 无 | ||
| WebLogic Server 高危安全漏洞风险提示 | 无 | ||
| VMware ESXi OpenSLP高危漏洞风险提示 | 无 | ||
| 禅道开源版高危漏洞风险提示 | 有 | ||
| XXL-JOB远程命令执行漏洞风险提示 | 有 | ||
| 致远 OA更新安全补丁和高危漏洞风险提示 | 无 | ||
| WebLogic高危安全漏洞补丁绕过风险提示 | 有 | ||
| Apache Shiro 身份验证绕过漏洞风险提示 | 无 | ||
| 11 月 | Drupal 高危安全漏洞风险提示 | 无 | |
| VMware多个产品高危漏洞风险提示(11 月) | 无 | ||
| Drupal core 高危漏洞风险提示 v1.0 | 无 | ||
| 用友 NC文件上传漏洞风险提示 | 有 | ||
| 12 月 | Apache Struts 2 高危漏洞风险提示 | 无 | |
| Apache APISIX Admin API 默认访问令牌漏洞风险提示 | 有 | ||
| SolarWinds Orion Platform软件供应链攻击风险更新提示 | 无 |
安全建议
漏洞缓解
2020 年安恒应急响应中心主要提供高危以上级别的安全漏洞和高级攻击事件风险 预警,发布风险提示时,优先推荐涉及漏洞产品官方提供的安全更新补丁、漏洞已经修 复的新版本、官方提供的临时缓解措施、具体影响的版本范围等,最后才是安恒应急响 应中心和 SUMAP(全球资产测绘)结果匹配影响区域范围和临时缓解措施,这些措施 包括安全加固配置、推荐的安全产品部署等多种灵活的安全加固方案,最小程度减少用 户在缓解安全漏洞的同时对系统正常运行的影响。
应急响应中心建议用户根据漏洞实际可利用指数,以及对业务的具体影响实施安全 加固的措施参考如下:
| 安全漏洞加固建议(仅针对高危、严重漏洞说明) |
|---|
| 操作系统 |
| 根据漏洞的严重等级、情报来源、可利用指数等建议先测试、后安装官方推荐的安全更新补 | ||
|---|---|---|
| 应用服务 | 丁和更新版本(一般需要重启应用服务程序生效),或采用临时关闭该项功能模块,或限制 | |
| 端口访问等措施缓解 | ||
| 漏洞影响 | 能直接获取核心系统权限的漏洞(服务器权限、数据库权限),直接导致业务拒绝服务,或 严重的敏感信息泄漏以及逻辑设计缺陷等漏洞建议立即部署补丁或采用可靠的解决方案 | |
| 可利用指数 | 根据对漏洞的分析,明确能实现远程代码执行、本地代码执行或提权等方式利用,或利用工 具已公开建议立即部署补丁或采用可靠的解决方案 | |
| 严重等级 | 参考可利用指数和情报来源定,紧急漏洞需要立即部署补丁或采用可靠的解决方案 | |
| 情报来源 | 根据内部、外部等情报来源建议先测试漏洞可利用指数再结合漏洞影响级别,捕获到漏洞利 用代码需要立即部署补丁或采用可靠的解决方案 | |
| 威胁场景推演 | 结合实际业务场景下的危害,如果已爆发攻击活动或爆发蠕虫可能性很高,需要立即进行阻 断和同步补丁部署 | |
| 威胁风险等级 | 综合判断高风险的漏洞建议立即部署补丁或采用可靠的解决方案 | |
| 安全更新等级 | 紧急补丁需要立即优先部署 | |
| 漏洞历史 | 已经多次爆发漏洞的组件需要考虑淘汰和替换 | |
| 风险说明 | 暴露在互联网上的主机容易遭到第一波攻击,需要优先部署补丁 | |
| 安恒应急响应中心还提供常态化的缓解建议,主要是安全开发生命周期建议、安全 运营、反入侵威胁防御能力建设等,同时还提供必要的远程和现场应急响应支持,帮助 用户第一时间解决紧迫的网络攻击事件和溯源反制、分析和应对 APT 级别的高级威胁。 |
扫一扫
197
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
