奇安信CERT發(fā)布1月安全監(jiān)測報告：51個漏洞威脅較大

近日，奇安信CERT發(fā)布了2020年1月安全監(jiān)測報告。今年1月，奇安信CERT共監(jiān)測到2611個漏洞，根據漏洞危害級別、實際影響范圍、輿論熱度等研判標準和流程，奇安信CERT對其中51個漏洞進行了定級，較為重要的26個漏洞生成了漏洞戶口(包括基本信息、漏洞描述、利用條件、影響版本、檢測方法以及修復方法等，詳細信息可查看報告全文)。

報告顯示，在51個定級的漏洞中，高危漏洞共19個，占比約為了37%;中危漏洞共12個，占比為25%;低危漏洞共20個，占比約為38%。這些漏洞大多具有以下特點：漏洞危害大、漏洞利用條件易滿足、漏洞影響范圍較廣等。

從漏洞類型來看，在51個定級過的漏洞中，主要漏洞類型為遠程代碼執(zhí)行，共19個，其占比為36%。其次為拒絕服務、信息泄露、特權提升，占比分別為11%、10%、8%。

從漏洞的輿論熱度來看，熱度最高的漏漏為Citrix ADC和Citrix Gateway遠程代碼執(zhí)行漏洞，該漏洞不需要進行用戶認證并且無需用戶交互的情況下被利用。攻擊者可通過精心構造的請求攻擊Citrix ADC或Citrix Gateway服務器，成功利用此漏洞的攻擊者可以在目標主機上執(zhí)行任意代碼。目前，Citrix官方已發(fā)布了部分軟件版本更新來修復此漏洞。

此外，微軟Windows CryptoAPI欺騙漏洞熱度也極高。該漏洞不需要進行用戶認證并且無需用戶交互的情況下被利用。在Windows CryptoAPI中存在欺騙漏洞，通過利用此漏洞，攻擊者可繞過Windows系統(tǒng)中的證書校驗機制。此漏洞一度為評為微軟“超級”漏洞，微軟已經在1月份發(fā)布了相關補丁，建議及時下載修復。

綜合漏洞熱度、危害程度等信息，奇安信CERT從51個定級的安全漏洞中，篩選出了15個漏洞(2個歷史漏洞)發(fā)布了安全風險通告，具體漏洞信息如下：

(1)Apache Solr模板注入遠程代碼執(zhí)行漏洞

2019年10月31日，奇安信CERT監(jiān)測到安全研究人員該漏洞的POC放到了Github。經研判，該POC對Solr的多個版本有效。近日，通過監(jiān)測外部安全情報發(fā)現Apache Solr官方已經修復該漏洞，同時該情報指出之前Apache Solr發(fā)布的8.3.1版本修復不完善，并重新確定了漏洞的受影響版本為5.0.0 <= Apache Solr <= 8.3.1。建議受影響的用戶更新Apache Solr，對此漏洞進行防御。

(2)Nagios XI遠程命令執(zhí)行漏洞

Nagios系統(tǒng)通過認證登陸后，在進行scheduler相關請求處理時可通過構造惡意請求造成遠程命令執(zhí)行漏洞。經研判，該POC對Nagios的最新版本5.6.9有效。

(3)Citrix ADC和Citrix Gateway遠程代碼執(zhí)行漏洞

Citrix ADC和Citrix Gateway存在一個遠程代碼執(zhí)行漏洞，攻擊者可通過精心構造的請求攻擊Citrix ADC或Citrix Gateway服務器。成功利用此漏洞的攻擊者可以在目標主機上執(zhí)行任意代碼。

(4)ThinkPHP 6.0 “任意”文件創(chuàng)建漏洞

該漏洞源于ThinkPHP 6.0的某個邏輯漏洞，成功利用此漏洞的攻擊者可以實現“任意”文件創(chuàng)建，在特殊場景下可能會導致GetShell。

(5)WebLogic多個組件高危漏洞

Oracle官方發(fā)布了2020年1月的關鍵補丁程序更新CPU(Critical Patch Update)，其中修復了多個存在于WebLogic中的漏洞。經過技術研判，奇安信CERT認為CVE-2020-2551與CVE-2020-2546限制較少，危害程度較大。值得注意的是CVE-2019-17359是Bouncy Castle這個第三方組件的安全漏洞，由于WebLogic使用了該組件，故受到影響。

(6)微軟多個產品高危漏洞

1月，微軟發(fā)布了多個漏洞的補丁程序，共涉及49個漏洞，包含以下幾個高危漏洞：微軟Windows遠程桌面網關(RD Gateway)遠程代碼執(zhí)行漏洞，微軟Windows CryptoAPI欺騙漏洞，微軟ASP.NET Core拒絕服務漏洞，微軟.NET框架遠程代碼執(zhí)行漏洞。鑒于這些漏洞危害較大，建議盡快安裝更新補丁。

(7)Bitbucket 服務器和數據中心遠程代碼執(zhí)行漏洞

1月15日，ATLASSIAN公司公開了其產品Bitbucket的服務器和數據中心的3個遠程代碼執(zhí)行(RCE)漏洞，這些漏洞影響 Bitbucket服務器和數據中心的多個版本。

(8)ModSecurity拒絕服務漏洞

1月20日，Trustwave SpiderLabs公開了其維護的開源WAF引擎ModSecurity的1個拒絕服務(DoS)漏洞。此漏洞影響ModSecurity的3.0到3.0.3版本。

另外值得關注的是，以下兩個漏洞可能產生的危害較為嚴重，在過去的一個月內的熱度也相對較高，但因漏洞觸發(fā)條件過于苛刻、實際影響范圍較小等原因，奇安信CERT并未發(fā)布安全風險通告。

(1)Cacti遠程命令執(zhí)行漏洞

Cacti是一個基于Web的網絡監(jiān)視和制圖工具，其允許用戶以預定的時間間隔輪詢服務并繪制結果數據圖。此漏洞存在于poller_automation.php，經過身份認證的攻擊者可通過在Boost調試日志中輸入特制字符來利用此漏洞，成功利用此漏洞的攻擊者可遠程執(zhí)行命令。

(2)微軟Internet Explorer JScript遠程代碼執(zhí)行漏洞

微軟IE存在遠程命令執(zhí)行漏洞，此漏洞影響IE JScript腳本引擎。攻擊者通過制造精心構造的頁面誘導受害者點擊，觸發(fā)內存損壞漏洞獲取任意代碼執(zhí)行從而控制用戶系統(tǒng)。成功利用此漏洞的攻擊者可在受害者主機上執(zhí)行任意代碼。

關于奇安信CERT

奇安信應急響應部(又稱：奇安信CERT)成立于2016年，是奇安信旗下的網絡安全應急響應平臺，平臺旨在第一時間為客戶提供漏洞或網絡安全事件安全風險通告、響應處置建議、相關技術和奇安信相關產品的解決方案。

關于奇安信A-TEAM

團隊主要致力于Web滲透、APT攻防、對抗，前瞻性攻防工具預研。從底層原理、協議層面進行嚴肅、有深度的技術研究，深入還原攻與防的技術本質，曾多次率先披露 Windows域、Exchange、WebLogic、Exim等重大安全漏洞，第一時間發(fā)布相關漏洞安全風險通告及可行的處置措施并獲得官方致謝。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。