第二季度
2020 年二季度(4 月-6 月),安恒应急响应中心公众号共发了 22 篇高危漏洞风 险提示,其中 8 篇提供了漏洞验证截图,6 篇提供了全球网络空间受影响资产测绘数 据。4 月,网络上有多个用户反馈中了名为“WannaRen”勒索病毒,加密后的文件 扩展名为*.WannaRen,并索要比特币才能解密,安恒应急响应中心和威胁情报中心 对抓取的勒索病毒样本进行了综合分析,发现黑产团伙此次攻击链如下:
当用户使用了非官方渠道下载精心打包的恶意程序,恶意程序即执行捆绑的 PowerShell 脚本进一步下载后续恶意文件包,其中使用了白加黑技术加载恶意的加密模块 wwlib.dll,并设置服务态启动,使得勒索实际过程在重启之后触发,重启之后 加密勒索程序被注入到 cmd.exe(mmc.exe、svchost.exe 等),等待加密完成后, 释放解密器和勒索信,针对该恶意攻击样本,安恒应急响应中心根据分析结果第一时 间发布风险提示,提醒用户注意规避和防范。
漏洞方面,二季度验证可利用的漏洞主要包括:
Oracle WebLogic Server 的 Core 组件、T3协议远程代码执行高危漏洞,成功利 用该漏洞可以达到命令执行的效果,甚至获取 WebLogic Server 的服务运行权限;
vBulletin 前台 SQL注入漏洞,该漏洞由安恒 Zionlab 团队分析报告并提供验证;
Apache Tomcat 反序列化漏洞,Tomcat 在开启 Session 持久化配置和业务系统存 在上传漏洞等场景下,恶意攻击者可以通过反序列化漏洞实现远程代码执行攻击,从 而获取系统权限;
spring-cloud-config-server 模块的目录遍历漏洞,可以直接通过构造 URL触发, 读取配置文件获取到配置敏感信息;
用友 NC产品反序列化漏洞,通过 JNDI注入利用成功后,恶意攻击者可获取目标 系统管理权限;
Apache Dubbo Provider 默认使用的反序列化工具和补丁绕过漏洞,攻击者通过发 送精心构造的恶意 RPC 请求来触发漏洞,当传入的恶意参数被反序列化时,达到代 码执行效果。
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,二季度发布的其他漏洞预警包括:
| 月份 | 预警公告 | 漏洞验证说明 | 资产影响范围统计 | ||
|---|---|---|---|---|---|
| 深信服 SSL VPN设备被 APT攻击利用风险提示 | 无 | 有 | |||
| 通过捆绑 PowerShell 脚本和污染下载站点传播恶意软件风险提示 | 有 | 无 | |||
| 4 月 | Oracle WebLogic 多个高危安全漏洞风险提示 | 有 | 无 | ||
| 微软 4 月安全更新补丁和高危漏洞风险提示 | 无 | 无 | |||
| Autodesk FBX-SDK库高危漏洞风险提示 | 无 | 无 | |||
| Juniper HTTP HTTPS 高危漏洞风险提示. | 无 | 有 | |||
| SaltStack 高危安全漏洞风险提示 | 无 | 无 | |||
| VMware vRealize Operations Manager 高危安全漏洞风险提示 | 无 | 无 | |||
| 5 月 | vBulletin5 _=5.6.1 SQL 注入漏洞风险提示 | 有 | 无 | ||
| Apache Tomcat 反序列化漏洞风险提示 | 有 | 无 | |||
| Fastjson 高危漏洞风险提示 | 无 | 无 | |||
| 6 月 | Fastjson(autoType 绕过)漏洞风险提示 | 无 | 无 |
| Spring-Cloud-Config 目录遍历漏洞风险提示 | 有 | 无 | ||
|---|---|---|---|---|
| 用友 NC远程命令执行漏洞风险提示 | 有 | 有 | ||
| WebSphere远程代码执行漏洞风险提示 | 无 | 无 | ||
| 微软 6 月安全更新补丁和 SMB高危漏洞风险提示 | 无 | 无 | ||
| Apache Spark 高危漏洞风险提示 | 无 | 无 | ||
| Apache Dubbo 高危漏洞风险提示 | 有 | 有 | ||
| Treck TCP IP 协议库高危漏洞风险提示 | 无 | 无 | ||
| VMware多个产品高危漏洞风险提示 | 无 | 无 | ||
| Apache Dubbo 补丁绕过高危漏洞风险提示 | 有 | 有 | ||
| PAN-OS(Palo Alto)SAML 身份验证漏洞风险提示 | 无 | 有 |
扫一扫
2388
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
