0x00 风险概述
2022年5月,启明星辰安全应急响应中心监控到重点关注漏洞共计60+,漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等,这些漏洞涉及Apache、F5、Cisco、GitLab 、QNAP、Microsoft、HP、Intel、VMware、Zyxel、OpenSSL、SonicWall和Citrix等厂商和开源项目。
0x01 风险详情
|
ID |
漏洞ID |
供应商/项目 |
漏洞名称 |
说明 |
记录日期 |
参考链接/来源 |
|
1 |
CVE-2022-29265 |
Apache |
Apache NiFi XML 外部实体引用漏洞(中危) |
Apache NiFi 0.0.1 -1.16.0 中的多个组件在默认配置中不限制 XML 外部实体引用,使用EvaluateXPath、EvaluateXQuery或ValidateXml处理器的Apache NiFi 流配置容易受到恶意 XML文档攻击。此漏洞已在Apache NiFi 1.16.1中修复。 |
5月5日 |
Apache官方 |
|
2 |
CVE-2022-1388 |
F5 |
F5 BIG-IP iControl REST 身份验证绕过漏洞(严重) |
此漏洞可能允许在未经身份验证的情况下通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,以执行任意系统命令、创建或删除文件或禁用服务。此漏洞的CVSS评分为9.8,目前PoC/EXP已经公开,且已检测到漏洞利用。 |
5月5日 |
F5官方 CNVD
|
|
3 |
CVE-2022-20777 |
Cisco |
Cisco企业 NFV 基础设施软件 (NFVIS) Guest逃逸漏洞(严重) |
Cisco NFVIS中存在多个安全漏洞,可能允许攻击者从guest虚拟机 (VM) 逃逸到主机,并以root权限执行命令,或将系统数据从主机泄漏到 VM。其中CVE-2022-20777的CVSS评分为9.9,已在Cisco NFVIS 4.7.1中修复。 |
5月5日 |
Cisco官方 |
|
4 |
CVE-2022-1423 |
GitLab |
GitLab CE/EE访问控制不当漏洞(高危) |
GitLab CE/EE中的CI/CD缓存机制存在访问控制不当漏洞,影响了14.8.6之前的所有1.0.2版本,可能通过缓存中毒从而导致执行任意代码。 |
5月5日 |
GitLab官方 |
|
5 |
CVE-2022-26352 |
dotCMS |
dotCMS目录遍历代码执行漏洞(严重) |
可以通过在dotCMS中上传恶意文件从而实现远程代码执行。此漏洞已在版本22.03、5.3.8.10_lts 和21.06.7_lts中修复。 |
5月5日 |
dotCMS官方 |
|
6 |
CVE-2022-23677 |
Aruba |
Aruba多款交换机 NanoSSL 远程代码执行漏漏洞(TLStorm 2.0漏洞) |
Aruba多款交换机的TLS 通信实施中存在漏洞,可能导致在没有用户交互的情况下通过交换机实现远程代码执行。 |
5月5日 |
互联网 |
|
7 |
CVE-2022-23676 |
Aruba |
Aruba多款交换机RADIUS 客户端内存损坏漏洞(TLStorm 2.0漏洞) |
Aruba多款交换机的TLS 通信实施中存在漏洞,能够导致攻击者控制的数据的堆溢出,这可能允许恶意的RADIUS服务器,或能够访问RADIUS共享秘密的攻击者,在交换机上远程执行代码。 |
5月5日 |
互联网 |
|
8 |
CVE-2022-29860 |
Avaya |
Avaya多款交换机TLS 重组堆溢出漏洞(TLStorm 2.0漏洞) |
在 Web 服务器上处理 POST 请求的进程未正确验证 NanoSSL 返回值,导致堆溢出,从而导致远程代码执行。 |
5月5日 |
互联网 |
|
9 |
CVE-2022-29861 |
Avaya |
Avaya多款交换机HTTP 头解析堆栈溢出漏洞(TLStorm 2.0漏洞) |
在处理多部分表单数据时,不正确的边界检查与非空终止的字符串相结合会导致攻击者控制的堆栈溢出,可能导致 RCE。 |
5月5日 |
互联网 |
|
10 |
暂无 |
Avaya |
Avaya多款交换机HTTP POST请求处理堆溢出漏洞(TLStorm 2.0漏洞) |
由于缺少 Mocana NanoSSL 库的错误检查,在处理HTTP POST请求时存在漏洞,导致攻击者控制长度的堆溢出,可能导致RCE。 |
5月5日 |
互联网 |
|
11 |
CVE-2022-26522 |
Avast |
Avast & AVG Antivirus代码执行漏洞(高危) |
Avast & AVG防病毒解决方案使用的内核驱动程序aswArPot.sys中存在漏洞,可能导致非管理员用户在内核中运行代码、实现权限升级或接管设备等。 |
5月6日 |
互联网 |
|
12 |
CVE-2022-26523 |
Avast |
Avast & AVG Antivirus代码执行漏洞(高危) |
Avast & AVG防病毒解决方案使用的内核驱动程序aswArPot.sys中存在漏洞,可能导致非管理员用户在内核中运行代码、实现权限升级或接管设备等。 |
5月6日 |
互联网 |
|
13 |
CVE-2022-30295 |
uClibc |
uClibc 库DNS组件漏洞(中危) |
该漏洞是由库生成的 DNS 请求中包含的事务 ID 的可预测性引起的,这可能允许对目标设备执行 DNS 中毒或DNS欺骗攻击,并将受害者重定向到恶意网站。该漏洞影响了uClibc-ng到1.0.40和uClibc到0.9.33.2的域名系统(DNS)实现。 |
5月6日 |
互联网 |
|
14 |
CVE-2022-27588 |
QNAP |
QNAP QVR远程命令执行漏洞(严重) |
该漏洞影响了运行QVR 的 QNAP VS 系列 NVR,并存在于QVR 5.1.6 build 20220401之前的版本中,成功利用该漏洞可在易受攻击的 QVR 系统上远程执行任意命令,其CVSS评分为9.8。 |
5月7日 |
QNAP官方 |
|
15 |
CVE-2022-29176 |
RubyGems.org |
RubyGems未授权访问漏洞(高危) |
RubyGems中可从存储库中取消发布(“yank”)某些 Ruby 包,并使用相同的文件名和版本号重新发布其污染或恶意的版本,但gem名称需要满足破折号、30天内创建或100 多天内未更新等多个前提条件。 |
5月9日 |
RubyGems官方 |
|
16 |
CVE-2022-29972 |
Magnitude Simba |
Magnitude Simba Amazon Redshift ODBC 驱动程序代码执行漏洞(高危) |
Magnitude Simba Amazon Redshift ODBC 驱动程序1.4.11 – 1.4.21.1001, 1.4.22 – 1.4.51的基于浏览器的认证组件中存在参数注入漏洞,可能允许本地用户执行任意代码。注:该漏洞也影响了微软的Self-hosted Integration Runtime以及Azure Synapse pipelines 和Azure Data Factory。 |
5月10日 |
微软官方 互联网 |
|
17 |
CVE-2022-26925 |
Microsoft |
Windows LSA 欺骗漏洞(高危) |
可利用此漏洞在未经身份验证的情况下调用 LSARPC 接口上的方法并强制域控制器使用 NTLM进行身份验证。当此漏洞与针对 Active Directory 证书服务 (AD CS) 的 NTLM 中继攻击结合使用时,该漏洞的CVSS 评分将为 9.8。目前此漏洞已公开披露,且已检测到漏洞利用。 |
5月11日 |
微软官方 |
|
18 |
CVE-2022-22713 |
Microsoft |
Windows Hyper-V 拒绝服务漏洞(高危) |
此漏洞无需与用户交互即可本地利用,但攻击复杂度高,成功利用此漏洞需要赢得竞争条件。此漏洞已公开披露,目前暂未发现被利用。 |
5月11日 |
微软官方 |
|
19 |
CVE-2022-22017 |
Microsoft |
Remote Desktop Client远程代码执行漏洞(高危) |
利用此漏洞必须使目标用户连接到恶意 RDP 服务器,以在目标用户的上下文中在受害者系统上执行代码。 |
5月11日 |
微软官方 |
|
20 |
CVE-2022-29108 |
Microsoft |
Microsoft SharePoint Server 远程代码执行漏洞(高危) |
此漏洞的CVSSv3评分为 8.8,必须经过身份验证并拥有创建页面的权限才能利用此漏洞。可利用性评估:可能被利用。 |
5月11日 |
微软官方 |
|
21 |
CVE-2022-22012 |
Microsoft |
Windows LDAP 远程代码执行漏洞(高危) |
此漏洞的CVSSv3评分为9.8,可在未经认证的情况下向存在漏洞的服务器发送特制的请求,成功利用此漏洞可导致在SYSTEM账户的上下文中运行代码。只有将 MaxReceiveBuffer LDAP 策略设置为高于默认值的值时,才能利用此漏洞。使用该策略默认值的系统不存在此漏洞。 |
5月11日 |
微软官方 |
|
22 |
CVE-2022-26923 |
Microsoft |
Active Directory 域服务特权提升漏洞(高危) |
经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并从 Active Directory 证书服务获取允许提升权限的证书。只有当 Active Directory 证书服务在域上运行时才容易受此漏洞影响。此漏洞的细节和POC已公开。 |
5月11日 |
微软官方 |
|
23 |
CVE-2022-29885 |
Apache |
Apache Tomcat EncryptInterceptor拒绝服务漏洞(低危) |
Apache Tomcat 10.1.0-M1 -10.1.0-M14、10.0.0-M1 -10.0.20、9.0.13 - 9.0.62、8.5.38 - 8.5.78中容易受到拒绝服务攻击。 |
5月11日 |
Apache官方 |
|
24 |
CVE-2021-3808 |
HP |
HP PC任意代码执行漏洞(高危) |
可以利用漏洞以内核级权限执行操作,将权限升级到系统管理模式(SMM)。在SMM模式下执行可获得对主机的全部权限,从而进一步实施攻击。 |
5月12日 |
HP官方 |
|
25 |
CVE-2021-3809 |
HP |
HP PC任意代码执行漏洞(高危) |
可以利用漏洞以内核级权限执行操作,将权限升级到系统管理模式(SMM)。在SMM模式下执行可获得对主机的全部权限,从而进一步实施攻击。 |
5月12日 |
HP官方 |
|
26 |
CVE-2021-33078 |
Intel |
Intel® Optane™ SSD & Intel® Optane™ SSD Data Center (DC)拒绝服务漏洞(高危) |
某些英特尔傲腾(TM) SSD 和英特尔SSD DC 产品的固件线程内的竞争条件漏洞可能允许特权用户通过本地访问导致拒绝服务。 |
5月12日 |
Intel官方 |
|
27 |
CVE-2022-22970 |
VMware |
Spring Framework DoS漏洞(中危) |
Spring Framework 5.3.0 -5.3.19、 5.2.0 -5.2.21及不受支持的旧版本中,如果处理文件上传的Spring MVC或Spring WebFlux应用程序依赖数据绑定将MultipartFile或javax.servlet.Part设置为模型对象中的字段,则容易受到DoS攻击。此漏洞已在5.3.20和5.2.22中修复。 |
5月12日 |
VMware官方 |
|
28 |
CVE-2022-22971 |
VMware |
Spring Framework DoS漏洞(中危) |
Spring Framework 5.3.0 -5.3.19、 5.2.0 -5.2.21及不受支持的旧版本中,带有 STOMP over WebSocket 端点的 Spring 应用程序容易受到经过身份验证的拒绝服务攻击。此漏洞已在5.3.20和5.2.22中修复。 |
5月12日 |
VMware官方 |
|
29 |
CVE-2021-43503 |
Laravel |
Laravel 代码执行漏洞(严重) |
Laravel 5.8.38中存在RCE漏洞,通过(1) RoutingPendingResourceRegistration.php中的__destruct,(2) QueueCapsuleManager.php中的__cal,和(3) mockerylibraryMockeryClosureWrapper.php中的__invoke,存在一个反序列化 pop链。
|
5月12日 |
NVD |
|
30 |
CVE-2022-30525 |
Zyxel |
Zyxel 防火墙命令注入漏洞(严重) |
该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。目前该漏洞的细节已经公开披露,且相应的Metasploit 模块已经发布。 |
5月13日 |
Zyxel官方 |
|
31 |
CVE-2022-25762 |
Apache |
Apache Tomcat 请求混淆漏洞(高危) |
在Apache Tomcat 9.0.0.M1 - 9.0.20、8.5.0 -8.5.75中,如果web应用程序在关闭WebSocket连接的同时发送WebSocket消息,那么应用程序有可能在关闭后继续使用该socket,这可能导致多种错误处理。此漏洞已在Apache Tomcat 9.0.21 及更高版本、8.5.76 及更高版本中修复。 |
5月13日 |
Apache官方 |
|
32 |
CVE-2022-1292 |
OpenSSL |
OpenSSL命令注入漏洞(中危) |
由于c_rehash 脚本没有正确清理 shell 元字符导致命令注入,可以利用该漏洞在未授权的情况下以脚本的权限执行任意命令。此漏洞影响了影响 OpenSSL 版本 1.0.2、1.1.1 和 3.0,可升级到1.0.2ze、1.1.1o或3.0.3。 |
5月16日 |
OpenSSL官方 |
|
33 |
CVE-2022-1343 |
OpenSSL |
OpenSSL错误验证响应签名证书(中危) |
由于OCSP_basic_verify函数在验证某些签名证书时存在错误,可利用该漏洞在未授权的情况下执行证书欺骗攻击,最终导致非法响应签名证书验证成功。此漏洞影响了OpenSSL 3.0.0、3.0.1、3.0.2,可升级到3.0.3。 |
5月16日 |
OpenSSL官方 |
|
34 |
CVE-2022-1434 |
OpenSSL |
OpenSSL加密错误漏洞(低危) |
由于RC4-MD5 密码套件的 OpenSSL 3.0 实现错误地使用了AAD 数据作为 MAC 密钥,这使得MAC 密钥可以被预测。可以利用该漏洞在未授权的情况下执行中间人攻击、修改通信数据等,但无法对数据进行解密。此漏洞影响了OpenSSL 3.0.0、3.0.1、3.0.2,可升级到3.0.3。 |
5月16日 |
OpenSSL官方 |
|
35 |
CVE-2022-1473 |
OpenSSL |
OpenSSL拒绝服务漏洞(低危) |
用于清空哈希表的 OPENSSL_LH_flush() 函数存在错误,在解码证书或密钥时内存使用量将无限扩大,进程可能被系统终止,导致拒绝服务。此漏洞影响了OpenSSL 3.0.0、3.0.1、3.0.2,可升级到3.0.3。 |
5月16日 |
OpenSSL官方 |
|
36 |
CVE-2022-22282 |
SonicWall |
SonicWall SMA 1000 系列访问控制绕过漏洞(高危) |
SonicWall SMA 1000 系列(6200、6210、7200、7210、8200v)固件版本12.4.1-02994之前存在未经身份验证的访问控制绕过漏洞,可能导致未授权访问内部资源。 |
5月16日 |
SonicWall官方 |
|
37 |
CVE-2022-22978 |
VMware |
Spring Security身份认证绕过漏洞(高危) |
Spring Security 版本5.5.7之前、5.6.4 之前以及不受支持的旧版本中,使用正则表达式中包含". "的RegexRequestMatcher的应用程序容易导致绕过,可利用此漏洞在未授权的情况下绕过身份认证,导致配置的权限验证失效。 |
5月17日 |
VMware官方 |
|
38 |
CVE-2022-22976 |
VMware |
Spring Security 整数溢出漏洞(中危) |
pring Security版本5.5.7之前、5.6.4之前以及不受支持的旧版本中存在整数溢出漏洞,当使用最大工作系数(31)的BCrypt类时,由于整数溢出错误,编码器不会执行任何salt rounds。 |
5月17日 |
VMware官方 |
|
39 |
CVE-2021-25094 |
Tatsu Builder |
WordPress Tatsu Builder插件远程代码执行漏洞(高危) |
3.3.12之前的Tatsu Builder WordPress插件存在安全漏洞,可在未经身份验证的情况下无限制上传文件并实现远程代码执行。该漏洞已在3.3.12中修复。 |
5月18日 |
互联网 |
|
40 |
CVE-2022-26650 |
Apache |
Apache ShenYu (incubating)拒绝服务漏洞(中危) |
Apache ShenYu(incubating)2.4.0、2.4.1和2.4.2中,RegexPredicateJudge.java使用Pattern.matches(conditionData.getParamValue(), realData)来进行判断,其中两个参数都可以由用户控制,可能导致传入恶意的正则表达式和字符,导致资源耗尽。可升级到2.4.3或应用补丁。 |
5月18日 |
Apache官方 |
|
41 |
CVE-2022-22675 |
Apple |
AppleAVD代码执行漏洞(高危) |
Apple AppleAVD(音频和视频解码的内核扩展)中存在越界写入问题,允许应用程序以内核权限执行任意代码。该漏洞影响了watchOS、tvOS 和 macOS Big Sur,且已检测到漏洞利用。 |
5月18日 |
CISA |
|
42 |
CVE-2022-28181 |
NVIDIA |
NVIDIA Windows GPU驱动程序代码执行漏洞(高危) |
NVIDIA Windows GPU驱动程序存在多个安全漏洞,可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改等,并影响了多种产品。 |
5月18日 |
NVIDIA官方 |
|
43 |
CVE-2022-1654 |
ArtBees |
WordPress Jupiter Theme 和 JupiterX Core 插件权限提升漏洞(严重) |
Jupiter Theme 6.10.2 之前和 JupiterX Core Plugin 2.0.8之前存在权限提升漏洞,允许网站上任何经过身份验证的用户使用易受攻击的插件获得管理权限,最终接管站点。 |
5月19日 |
互联网 |
|
44 |
CVE-2022-22972 |
VMware |
VMware多个产品身份验证绕过漏洞(严重) |
VMware Workspace ONE Access、Identity Manager和vRealize Automation存在一个影响本地域用户的认证绕过漏洞,成功利用此漏洞可在未经身份验证的情况下获得管理访问权限。 |
5月19日 |
VMware官方 |
|
45 |
CVE-2022-22973 |
VMware |
VMware多个产品本地权限提升漏洞(高危) |
VMware Workspace ONE Access 和 Identity Manager 存在权限提升漏,允许具有本地访问权限的用户将权限提升到root。 |
5月19日 |
VMware官方 |
|
46 |
CVE-2021-22573 |
Google(开源) |
Google-OAuth-Java-Client身份验证绕过漏洞(高危) |
由于IDToken 验证程序无法验证令牌是否正确签名,Google-OAuth-Java-Client中存在身份验证绕过漏洞,可以通过提供具有自定义Payload的受损令牌通过客户端的验证。 |
5月20日 |
NVD |
|
47 |
CVE-2022-1183 |
ISC |
BIND拒绝服务漏洞(高危) |
BIND 9.18.3之前和BIND 9.19.1之前的版本中,如果使用易受攻击的配置(在named.conf的listen-on语句中包含对http的引用),named守护程序在某些情况下可能会因断言失败而终止,可能导致拒绝服务。 |
5月20日 |
ISC官方 |
|
48 |
CVE-2022-1802 |
Mozilla |
Mozilla 原型污染漏洞(严重) |
如果能够通过原型污染破坏JavaScript中Array对象的方法,就可以实现在特权环境下执行JavaScript代码。此漏洞已在Firefox 100.0.2、Firefox for Android 100.3.0、Firefox ESR 91.9.1、Thunderbird 91.9.1 中修复。 |
5月23日 |
Mozilla官方 |
|
49 |
CVE-2022-1529 |
Mozilla |
Mozilla 原型污染漏洞(严重) |
JavaScript 对象索引中使用了不受信任的输入,导致原型污染。此漏洞已在Firefox 100.0.2、Firefox for Android 100.3.0、Firefox ESR 91.9.1、Thunderbird 91.9.1 中修复。 |
5月23日 |
Mozilla官方 |
|
50 |
CVE-2022-1609 |
Weblizar |
WordPress插件 School Management Pro后门漏洞(严重) |
School Management Pro版本9.9.7之前存在一个后门漏洞,允许在未经身份验证的情况下在安装了该插件的站点上执行任意PHP 代码,并最终完全控制网站。该漏洞的CVSS评分为10.0。 |
5月23日 |
互联网 |
|
51 |
暂无 |
开源 |
FastJson反序列化远程代码执行漏洞(高危) |
FastJson采用了黑白名单以防御反序列化漏洞,但在FastJson 1.2.80及之前的版本中,在特定条件下可绕过默认autoType关闭限制,从而反序列化存在安全风险的类,并利用该漏洞在目标主机上远程执行代码。此漏洞已在FastJson 1.2.83中修复。 |
5月23日 |
FastJson官方 |
|
52 |
CVE-2022-20821 |
Cisco |
Cisco IOS XR 开放端口漏洞(中危) |
Cisco IOS XR 软件健康检查在激活时默认打开 TCP 端口 6379。攻击者可以通过开放端口连接到 Redis 实例,并允许访问在 NOSi 容器中运行的 Redis 实例。此漏洞影响了Cisco IOS XR 7.3.3,已在7.3.4中修复,目前已发现被利用。 |
5月23日 |
Cisco官方 |
|
53 |
暂无 |
开源 |
Swagger UI跨站脚本漏洞(高危) |
由于Swagger UI中使用了过时的库DOMpurify(用于输入清理),导致了由查询参数控制的DOM XSS漏洞,允许在页面上注入任何属性的HTML元素(脚本标签除外)。此漏洞的PoC已公开 |
5月25日 |
互联网 |
|
54 |
CVE-2022-22784 |
ZOOM |
Zoom代码执行漏洞(高危) |
5.10.0之前的Zoom 会议客户端(适用于Android、iOS、Linux、macOS和Windows)未能正确解析XMPP消息中的XML节,可利用此漏洞让接收用户的客户端执行各种操作,或伪造来自服务器的XMPP消息。 |
5月25日 |
ZOOM官方 |
|
55 |
CVE-2022-22977 |
VMware |
VMware Tools for Windows XXE漏洞 (中危) |
VMware Tools for Windows 12.0.0、11.xy 和 10.xy中存在XML 外部实体漏洞,具有非管理权限的本地用户可利用此漏洞导致拒绝服务或信息泄露。此漏洞已在VMware Tools for Windows 12.0.5中修复。 |
5月25日 |
Vmware官方 |
|
56 |
CVE-2022-29599 |
Apache |
Apache Maven maven-shared-utils命令注入漏洞(高危) |
在版本 3.3.3 之前的 Apache Maven maven-shared-utils 中,Commandline类可以在没有适当转义的情况下发出双引号字符串,从而导致 shell注入攻击。 |
5月25日 |
Apache官方 |
|
57 |
CVE-2022-26532 |
ZYXEL |
ZYXEL多个产品命令注入漏洞(高危) |
ZYXEL某些防火墙、AP控制器和AP版本的"packet-trace "CLI命令存在命令注入漏洞,允许在本地认证的情况下执行任意系统命令。 |
5月26日 |
ZYXEL官方 |
|
58 |
CVE-2022-27507 |
Citrix |
Citrix ADC & Gateway拒绝服务漏洞(中危) |
Citrix ADC 和 Gateway某些版本中,如果启用了DTLS并配置了 "HDX Insight for EDT traffic"或 "SmartControl",则容易导致拒绝服务。 |
5月27日 |
Citrix官方 |
|
59 |
CVE-2022-27508 |
Citrix |
Citrix ADC & Gateway拒绝服务漏洞(高危) |
Citrix ADC 和 Citrix Gateway 12.1-64.16中,当设备配置为 VPN(Gateway)或 AAA 虚拟服务器时,容易导致拒绝服务。 |
5月27日 |
Citrix官方 CNNVD |
|
60 |
CVE-2022-29405 |
Apache |
Apache Archiva用户密码重置漏洞(高危) |
Apache Archiva存在安全漏洞,允许远程利用漏洞提交特殊的请求,可重置其他用户密码。 |
5月30日 |
Apache官方 |
|
61 |
CVE-2022-30190 |
Microsoft |
Microsoft MSDT任意代码执行漏洞(高危) |
从 Word 等调用应用程序使用 URL 协议调用 MSDT (微软支持诊断工具)时存在代码执行漏洞,成功利用该漏洞可以使用调用应用程序的权限运行任意代码,目前该漏洞已经公开披露,且已检测到在野利用。 |
5月31日 |
微软官方 |
其中,部分漏洞已发布相关安全公告,可在公众号【启明星辰安全应急响应中心】或【维他命安全】查看详情。
0x02 附件
附件1-2021年最常被利用的漏洞Top15
|
CVE |
漏洞名称 |
供应商及产品 |
漏洞类型 |
|
CVE-2021-44228 |
Log4Shell |
Apache Log4j |
RCE |
|
CVE-2021-40539 |
Null |
Zoho ManageEngine AD SelfService Plus |
RCE |
|
CVE-2021-34523 |
ProxyShell |
Microsoft Exchange Server |
权限提升 |
|
CVE-2021-34473 |
ProxyShell |
Microsoft Exchange Server |
RCE |
|
CVE-2021-31207 |
ProxyShell |
Microsoft Exchange Server |
安全功能绕过 |
|
CVE-2021-27065 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26858 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26857 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26855 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26084 |
Null |
Atlassian Confluence Server 和 Data Center |
任意代码执行 |
|
CVE-2021-21972 |
Null |
VMware vSphere Client |
RCE |
|
CVE-2020-1472 |
ZeroLogon |
Microsoft Netlogon Remote Protocol (MS-NRPC) |
权限提升 |
|
CVE-2020-0688 |
Null |
Microsoft Exchange Server |
RCE |
|
CVE-2019-11510 |
Null |
Pulse Secure Pulse Connect Secure |
任意文件读取 |
|
CVE-2018-13379 |
Null |
Fortinet FortiOS 和FortiProxy |
目录遍历 |
附件2-2021年最常被利用的其它漏洞
|
CVE |
供应商及产品 |
类型 |
|
CVE-2021-42237 |
Sitecore XP |
RCE |
|
CVE-2021-35464 |
ForgeRock OpenAM server |
RCE |
|
CVE-2021-27104 |
Accellion FTA |
OS命令执行 |
|
CVE-2021-27103 |
Accellion FTA |
SSRF |
|
CVE-2021-27102 |
Accellion FTA |
OS命令执行 |
|
CVE-2021-27101 |
Accellion FTA |
SQL注入 |
|
CVE-2021-21985 |
VMware vCenter Server |
RCE |
|
CVE-2021-20038 |
SonicWall Secure Mobile Access (SMA) |
RCE |
|
CVE-2021-40444 |
Microsoft MSHTML |
RCE |
|
CVE-2021-34527 |
Microsoft Windows Print Spooler |
RCE |
|
CVE-2021-3156 |
Sudo |
权限提升 |
|
CVE-2021-27852 |
Checkbox Survey |
远程任意代码执行 |
|
CVE-2021-22893 |
Pulse Secure Pulse Connect Secure |
远程任意代码执行 |
|
CVE-2021-20016 |
SonicWall SSLVPN SMA100 |
SQL注入 |
|
CVE-2021-1675 |
Windows Print Spooler |
RCE |
|
CVE-2020-2509 |
QNAP QTS and QuTS hero |
远程任意代码执行 |
|
CVE-2019-19781 |
Citrix Application Delivery Controller (ADC) and Gateway |
任意代码执行 |
|
CVE-2019-18935 |
Progress Telerik UI for ASP.NET AJAX |
代码执行 |
|
CVE-2018-0171 |
Cisco IOS Software 和IOS XE Software |
远程任意代码执行 |
|
CVE-2017-11882 |
Microsoft Office |
RCE |
|
CVE-2017-0199 |
Microsoft Office |
RCE |
数据来源:CISA
附件3-通用安全建议
A.漏洞和配置管理
-
1.及时更新 IT 网络资产上的软件、操作系统、应用程序和固件,优先修复已知被利用或正在被利用的漏洞、以及影响较为严重的漏洞。若漏洞暂无可用补丁,请根据实际情况应用供应商提供的临时缓解措施或相关防护措施。
-
2.建议使用集中的补丁管理系统。
-
3.更换寿命终止的软件,即供应商不再提供支持的软件。
-
4.无法对面向 Internet 的系统执行快速扫描和修补的组织应考虑将这些服务转移到成熟的、有信誉的云服务提供商 (CSP) 或其他托管服务提供商 (MSP)。但由于MSP和CSP扩大了客户组织的攻击面,并可能引入意料之外的风险,组织应积极主动地与MSP和CSP合作,共同降低这种风险。
B.身份和访问管理
-
1.对所有用户强制执行多因素身份验证 (MFA),无一例外。
-
2.在所有 VPN 连接上强制执行MFA。如果 MFA 不可用,则要求从事远程工作的员工使用强密码。
-
3.定期审查、验证或删除特权帐户(至少每年一次)。
-
4.在最小权限原则的概念下配置访问控制。
C.保护控制和架构
-
1.正确配置和保护面向互联网的网络设备,禁用未使用或不必要的网络端口和协议,加密网络流量,并禁用未使用的网络服务和设备。
(1)加强防护通常被利用的企业网络服务,包括链接本地多播名称解析(LLMN)协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、Active Directory和OpenLDAP。
(2)管理 Windows 密钥分发中心(KDC) 帐户(例如,KRBTGT)以最大限度地减少Golden Ticket attacks(黄金票据)和 Kerberoasting。
(3)严格控制本地脚本应用程序的使用,例如命令行、PowerShell、WinRM、Windows Management Instrumentation (WMI) 和分布式组件对象模型 (DCOM)。
-
2.通过控制对应用程序、设备和数据库的访问,对网络进行分段以限制或阻止横向移动。使用私有虚拟局域网。
-
3.持续监控攻击面并调查可能表明攻击者或恶意软件横向移动的异常活动。
(1)使用安全工具,如端点检测和响应(EDR)以及安全信息和事件管理(SIEM)工具。考虑使用信息技术资产管理(ITAM)解决方案,以确保EDR、SIEM、漏洞扫描器等报告相同数量的资产。
(2)监视环境中是否存在可能不需要或有害的程序。
-
4.减少第三方应用程序和独特的系统/应用程序的构建;只有在需要支持业务关键功能时才提供例外。
-
5.实施应用程序许可名单。
附件4-相关链接
【风险通告】2022年4月重点关注的漏洞
2016-2019 年最常被利用的10个漏洞
Apache Log4j 漏洞指南
原文始发于微信公众号(维他命安全):【风险通告】2022年5月重点关注的漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论