近日,奇安信CERT發布了2020年1月安全監測報告。今年1月,奇安信CERT共監測到2611個漏洞,根據漏洞危害級別、實際影響範圍、輿論熱度等研判標準和流程,奇安信CERT對其中51個漏洞進行了定級,較為重要的26個漏洞生成了漏洞戶口(包括基本信息、漏洞描述、利用條件、影響版本、檢測方法以及修複方法等,詳細信息可查看報告全文)。
報告顯示,在51個定級的漏洞中,高危漏洞共19個,佔比約為了37%;中危漏洞共12個,佔比為25%;低危漏洞共20個,佔比約為38%。這些漏洞大多具有以下特點:漏洞危害大、漏洞利用條件易滿足、漏洞影響範圍較廣等。
從漏洞類型來看,在51個定級過的漏洞中,主要漏洞類型為遠程代碼執行,共19個,其佔比為36%。其次為拒絕服務、信息洩露、特權提升,佔比分別為11%、10%、8%。
從漏洞的輿論熱度來看,熱度最高的漏漏為Citrix ADC和Citrix Gateway遠程代碼執行漏洞,該漏洞不需要進行用戶認證並且無需用戶交互的情況下被利用。攻擊者可通過精心構造的請求攻擊Citrix ADC或Citrix Gateway伺服器,成功利用此漏洞的攻擊者可以在目標主機上執行任意代碼。目前,Citrix官方已發布了部分軟體版本更新來修復此漏洞。
此外,微軟Windows CryptoAPI欺騙漏洞熱度也極高。該漏洞不需要進行用戶認證並且無需用戶交互的情況下被利用。在Windows CryptoAPI中存在欺騙漏洞,通過利用此漏洞,攻擊者可繞過Windows系統中的證書校驗機制。此漏洞一度為評為微軟「超級」漏洞,微軟已經在1月份發布了相關補丁,建議及時下載修復。
綜合漏洞熱度、危害程度等信息,奇安信CERT從51個定級的安全漏洞中,篩選出了15個漏洞(2個歷史漏洞)發布了安全風險通告,具體漏洞信息如下:
(1)Apache Solr模板注入遠程代碼執行漏洞
2019年10月31日,奇安信CERT監測到安全研究人員該漏洞的POC放到了Github。經研判,該POC對Solr的多個版本有效。近日,通過監測外部安全情報發現Apache Solr官方已經修復該漏洞,同時該情報指出之前Apache Solr發布的8.3.1版本修復不完善,並重新確定了漏洞的受影響版本為5.0.0 <= Apache Solr <= 8.3.1。建議受影響的用戶更新Apache Solr,對此漏洞進行防禦。
(2)Nagios XI遠程命令執行漏洞
Nagios系統通過認證登陸後,在進行scheduler相關請求處理時可通過構造惡意請求造成遠程命令執行漏洞。經研判,該POC對Nagios的最新版本5.6.9有效。
(3)Citrix ADC和Citrix Gateway遠程代碼執行漏洞
Citrix ADC和Citrix Gateway存在一個遠程代碼執行漏洞,攻擊者可通過精心構造的請求攻擊Citrix ADC或Citrix Gateway伺服器。成功利用此漏洞的攻擊者可以在目標主機上執行任意代碼。
(4)ThinkPHP 6.0 「任意」文件創建漏洞
該漏洞源於ThinkPHP 6.0的某個邏輯漏洞,成功利用此漏洞的攻擊者可以實現「任意」文件創建,在特殊場景下可能會導致GetShell。
(5)WebLogic多個組件高危漏洞
Oracle官方發布了2020年1月的關鍵補丁程序更新CPU(Critical Patch Update),其中修復了多個存在於WebLogic中的漏洞。經過技術研判,奇安信CERT認為CVE-2020-2551與CVE-2020-2546限制較少,危害程度較大。值得注意的是CVE-2019-17359是Bouncy Castle這個第三方組件的安全漏洞,由於WebLogic使用了該組件,故受到影響。
(6)微軟多個產品高危漏洞
1月,微軟發布了多個漏洞的補丁程序,共涉及49個漏洞,包含以下幾個高危漏洞:微軟Windows遠程桌面網關(RD Gateway)遠程代碼執行漏洞,微軟Windows CryptoAPI欺騙漏洞,微軟ASP.NET Core拒絕服務漏洞,微軟.NET框架遠程代碼執行漏洞。鑑於這些漏洞危害較大,建議儘快安裝更新補丁。
(7)Bitbucket 伺服器和數據中心遠程代碼執行漏洞
1月15日,ATLASSIAN公司公開了其產品Bitbucket的伺服器和數據中心的3個遠程代碼執行(RCE)漏洞,這些漏洞影響 Bitbucket伺服器和數據中心的多個版本。
(8)ModSecurity拒絕服務漏洞
1月20日,Trustwave SpiderLabs公開了其維護的開源WAF引擎ModSecurity的1個拒絕服務(DoS)漏洞。此漏洞影響ModSecurity的3.0到3.0.3版本。
另外值得關注的是,以下兩個漏洞可能產生的危害較為嚴重,在過去的一個月內的熱度也相對較高,但因漏洞觸發條件過於苛刻、實際影響範圍較小等原因,奇安信CERT並未發布安全風險通告。
(1)Cacti遠程命令執行漏洞
Cacti是一個基於Web的網絡監視和製圖工具,其允許用戶以預定的時間間隔輪詢服務並繪製結果數據圖。此漏洞存在於poller_automation.php,經過身份認證的攻擊者可通過在Boost調試日誌中輸入特製字符來利用此漏洞,成功利用此漏洞的攻擊者可遠程執行命令。
(2)微軟Internet Explorer JScript遠程代碼執行漏洞
微軟IE存在遠程命令執行漏洞,此漏洞影響IE JScript腳本引擎。攻擊者通過製造精心構造的頁面誘導受害者點擊,觸發內存損壞漏洞獲取任意代碼執行從而控制用戶系統。成功利用此漏洞的攻擊者可在受害者主機上執行任意代碼。
下載報告全文可訪問https://shs3.b.qianxin.com/qax/9ec6bc57ebaa01d74ee4a1ec072a1eee.pdf
關於奇安信CERT
奇安信應急響應部(又稱:奇安信CERT)成立於2016年,是奇安信旗下的網絡安全應急響應平臺,平臺旨在第一時間為客戶提供漏洞或網絡安全事件安全風險通告、響應處置建議、相關技術和奇安信相關產品的解決方案。
關於奇安信A-TEAM
團隊主要致力於Web滲透、APT攻防、對抗,前瞻性攻防工具預研。從底層原理、協議層面進行嚴肅、有深度的技術研究,深入還原攻與防的技術本質,曾多次率先披露 Windows域、Exchange、WebLogic、Exim等重大安全漏洞,第一時間發布相關漏洞安全風險通告及可行的處置措施並獲得官方致謝。