安恒安全运营中心威胁情报总结 DAY2

  • A+
所属分类:安全新闻


前言


安恒信息安全运营中心在第二天接收到了大量的情报。我们筛选出了一些有价值的情报并做了一些整理,仅供业内大咖进行参考。如有纰漏,欢迎指正。


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。


雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


01

钓鱼文件

a

事件描述

安恒安全运营中心威胁情报总结 DAY2

文件Hash:

b54f8d4dadf10d9da1dc867df00dbd8613a685ed52a2f4a42d7cfb58dd7763b2

b

缓解措施

1、加强安全意识教育,不明邮件附件不要随意点击

2、增加邮件网关,优化规则

3、增加桌面查杀工具,更新策略

4、网络出口增加APT设备,对非法回连进行监控



02

CNVD-2019-32204

泛微OA E-cology远程命令执行漏洞

a

漏洞描述

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。


泛微e-cology OA系统存在远程代码执行漏洞。该漏洞存在于泛微协同管理应用平台OA系统的BeanShell组件中,该组件为系统自带且允许未授权访问。攻击者通过调用BeanShell组件的问题接口可直接在目标服务器上执行任意命令。

b

影响范围

泛微e-cology<=10.0

c

缓解措施

官方已发布针对此漏洞的修复补丁,受影响用户也可采取下列防护措施对此漏洞进行临时防护:


1、 禁止该系统在公网开放。

2、配置 URL 访问控制策略:部署于公网的泛微OA系统,可通过 ACL 禁止外网对*/*BshServlet/路径的访问。


官方链接:

https://www.weaver.com.cn/cs/monitorDownload.html

d

参考链接

https://www.cnvd.org.cn/flaw/show/CNVD-2019-32204

https://xz.aliyun.com/t/6418



03

Apache Cocoon XML外部实体注入漏洞

a

漏洞描述

9月11日Apache软件基金会发布安全公告,修复了Apache Cocoon XML外部实体注入漏洞(CVE-2020-11991)。


CVE-2020-11991与StreamGenerator有关,在使用StreamGenerator时,代码将解析用户提供的XML。攻击者可以使用包括外部系统实体在内的特制XML来访问服务器系统上的任何文件。

b

影响范围

受影响版本:Apache Cocoon <= 2.1.12

c

缓解措施

目前厂商已在新版本修复该漏洞,用户应升级到:Apache Cocoon 2.1.13最新版本

下载链接:

https://cocoon.apache.org/



04

WPS 高危漏洞说明

a

漏洞描述

WPS厂家修复的是国际版本

国际版官网:

https://www.wps.com/

b

影响范围

WPS版本<11.2.0.9403

c

缓解措施

推荐使用国际版


国际版官网下载的最新版本为:

11.2.0.9665,WPSOffice_11.2.0.9665.exe


下载链接:

http://wdl1.pcfg.cache.wpscdn.com/wpsdl/wpsoffice/download/11.2.0.9665/WPSOffice_11.2.0.9665.exe



05

PAN-OS远程代码执行漏洞

a

漏洞描述

近日,绿盟科技监测到Palo Alto Networks(PAN)发布安全公告,披露了一个编号为CVE-2020-2040的严重漏洞,CVSS评分为9.8。该漏洞是PAN-OS上的一个缓冲区溢出漏洞,当启用了强制门户或配置了多重身份验证(MFA)时,未经身份验证的攻击者可通过向Captive Portal或Multi-Factor Authentication接口发送恶意请求进行利用,可能导致系统进程中断,并允许使用root特权在PAN-OS设备上执行任意代码。此漏洞利用难度低,且无需用户交互,请相关用户尽快采取措施进行防护。


PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。

b

缓解措施

1、官方升级

目前官方已针对此漏洞发布了更新版本,请受影响的用户尽快升级至安全版本进行防护,官方更新指南:

https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/software-and-content-updates/pan-os-software-updates.html


2、临时防护措施

若相关用户暂时无法进行升级操作,可在内容更新版本8317中启用签名来阻止针对此漏洞的攻击。

c

参考链接

https://security.paloaltonetworks.com/CVE-2020-2040



06

某融信数据防泄漏系统越权修改管理员密码

a

漏洞描述

无需登录权限,由于修改密码处未校验原密码,且接口未授权访问,造成直接修改任意用户密码。

b

影响范围

某融信数据防泄漏系统

c

修复建议

暂未找到公开的厂商补丁或更新版本,建议联系厂商核实漏洞的真实,并获取技术支持,客服联系电话:

4006-600-588



07

某治堡垒机前台远程命令执行漏洞

未授权无需登录

a

漏洞描述

在访问特定的目录地址后,看到返回包中的“OK”。然后使用payload的进行攻击,就可以成功的获取到目标服务器的权限。

b

修复建议

暂未找到公开的厂商补丁或更新版本,建议联系厂商核实漏洞的真实,并获取技术支持,客服联系电话:

4006-600-58



08

某微云桥存在任意文件读取漏洞

a

影响范围

该漏洞几乎影响2018-2019全版本,可造成服务器任意文件读取

b

修复建议

最新版本已经修复该问题,请尽快升级至最新版本。或联系官方客服获取技术支持:

400-861-8118



09

疑似weblogic Nday

a

漏洞描述

该漏洞缺乏weblogic版本和具体的利用过程和细节,只有检测到的RCE的结果,初步判断是一个weblogic的N day漏洞利用,例如CVE-2020-2555和CVE-2019-2725


官方链接:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202001-679

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-961



10

疑似某信服VPN 漏洞

a

漏洞描述

关于SSL VPN口令爆破问题,某信服 SSL VPN 默认有10分钟防爆破锁定功能,但存在被慢速爆破行为入侵风险。所以强烈建议您对设备进行全面排查

b

影响范围

影响版本为:M7.6.7及以下版本, 已于2019年7月出补丁,并通过线上线下方式完成全部修复工作

c

修复建议

红队采用分布式的方式对vpn进行暴力破解,VPN封锁时间太短,无法抗住这种攻击,需尽快联系官方客服打补丁。联系电话:

400-630-6430




安恒安全运营中心威胁情报总结 DAY2

雷神众测

专注渗透测试技术

全球最新网络攻击技术

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: