补 天 9 1 6 情 报 分 享

  • A+
所属分类:安全新闻
1

厂商漏洞跟进





2020年09月16日,奇安信继续跟进各厂商漏洞,汇总各类漏洞如下:


9月16日更新漏洞:


1. 拓尔思TRSWAS5.0文件读取漏洞通告(CNVD-2020-27769)

    拓尔思信息技术股份有限公司是一家人工智能和大数据技术及数据服务提供商。

    近日,补天漏洞响应平台监测到拓尔思信息技术股份有限公司TRS WAS5.0存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。漏洞成因在于某接口参数未做限制,可构造路径读取数据库配置文件、账户密码等信息,漏洞危害较大,建议受影响的客户尽快升级至安全版本。


    复现截图:

 补 天 9 1 6 情 报 分 享


    厂商已发布了漏洞修复程序,请及时关注更新:

    http://www.trs.com.cn/


2. WordPress File-manager任意文件上传

    近日,补天漏洞响应平台监测到Wordpress 软件的File-manager插件存在任意文件上传漏洞,漏洞成因在于函数处理不严谨,可构造恶意请求包上传任意文件,建议受影响客户及时更新相关补丁。


    影响版本:file manager 6.0至6.8


    厂商已发布了漏洞修复程序,请及时关注更新:

    https://wordpress.org/plugins/wp-file-manager/



3. Apache DolphinScheduler权限提升漏洞(CVE-2020-13922)

    近日,补天漏洞响应平台监测到Apache软件基金会发布安全公告,Apache DolphinScheduler存在权限提升漏洞,普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码,实现权限提升。建议受影响客户及时更新相关补丁。


    影响版本:DolphinScheduler 1.2.0 1.2.1 1.3.1


    目前官方已在最新版本中修复了此次的漏洞,请受影响的用户尽快升级版本至1.3.2进行防护,官方下载链接:

    https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html


4. 致远OA任意文件写入漏洞

    近日,补天漏洞响应平台监测到致远OA存在任意文件写入漏洞,攻击者可通过构造HTTP请求进行任意文件写入,通过利用漏洞攻击者可实现未授权的任意文件上传,最终可造成远程代码执行。经奇安信CERT分析研判,已成功复现漏洞。鉴于该漏洞影响较大,建议客户尽快升级到最新版本。


    漏洞复现截图:

 补 天 9 1 6 情 报 分 享


    建议受影响客户及时联系致远官方,更新相关补丁。

    致远官网:https://www.seeyon.com/


5. Thinkadmin v6 任意文件读取漏洞(CVE-2020-25540)

    ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统。近日,补天漏洞响应平台监测到ThinkAdmin v6版本存在路径遍历漏洞。攻击者可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。


    影响版本:Thinkadmin ≤ 2020.08.03.01


    目前官方已在最新版本中修复了此次的漏洞,请受影响的用户尽快升级版本至2020.08.03.01进行防护,官方下载链接:

    https://github.com/zoujingli/ThinkAdmin/tree/v6


    9月11日-9月15日漏洞:


1.深信服EDR某处命令执行漏洞,危害级别:危急

2.深信服SSL VPN 远程代码执行漏洞,危害级别:危急

3.绿盟UTS综合威胁探针信息泄露漏洞,危害级别:危急,官方已发布补丁

4.Apache DolphinScheduler远程代码执行漏洞(CVE-2020-11974),危害级别:危急,官方已发布补丁

5.Apache Cocoon security vulnerability (CVE-2020-11991),危害级别:危急,官方已发布补丁

6.天融信TopApp-LB 负载均衡系统SQL注入漏洞,危害级别:高危

7.用友GRP-u8 命令执行漏洞,危害级别:危急

8.泛微云桥任意文件读取漏洞,危害级别:高危

9.齐治堡垒机前台远程命令执行漏洞,危害级别:危急

10.联软准入系统任意文件上传漏洞EXP公开,危害级别:危急

11.PAN-OS远程代码执行漏洞,危害级别:危急

12.天融信NGFW下一代防火墙漏洞辟谣

13.山石网科下一代防火墙SG-6000漏洞辟谣

14.Nagios 命令执行漏洞

15.Weblogic远程命令执行漏洞

16.IE浏览器远程代码执行漏洞

17.网御星云VPN老版本存在漏洞

18.微软NetLogon 权限提升漏洞

19.致远A8文件上传漏洞

20.致远A8反序列化漏洞

21.深信服VPN 任意用户添加漏洞



2

红队攻击分析


    攻防第六天,结合各方消息来看,攻击队明显感觉到今年的防守力度大、攻击难度大,防守方动作较快,拿下的点很容易被发现并封堵,攻防对战进入胶着状态。攻防双方精神上和身体上压力都较大,各位注意休息、保重身体。


1.0day攻击

    0day漏洞的爆出速度有所减缓,但攻击队0day的使用仍在继续,从昨天到今天,已经网传有多起vpn和邮件系统的0day攻击案例。

2.钓鱼攻击

    到了第六天,攻击队基本进入第一个瓶颈期,前面能拿下的目标基本应该已经攻陷,剩下的都是比较难啃的硬骨头,这个期间很可能有攻击队会开始新的一轮针对性钓鱼,隐蔽性和针对性会更强。

3.社工攻击

    社工类攻击因为实施的难度和风险较大,至今使用的应该不多,但从网传消息来看,这两天还是有攻击队再次使用,同时也再次印证了攻击方的攻击阻力确实很大,开始兵行险招。

    演习期间蓝队针对红队投放的木马、钓鱼文件进行分析,发现红队会使用迷惑性域名与隧道进行伪装,如伪装成其他厂商,对蓝队的溯源分析进行较大的干扰。


3

蓝队防守分析


1.情报利用

    今年各防守单位更加重视情报的共享和使用,攻击IP、攻击队信息等等消息传播迅速,当然也造成了很多假情报的传播,甚至有攻击队利用假情报、假截图干扰对手、吸引火力,为自己创造更多机会。

2.蜜罐和反制

    蜜罐也是这次演习大量使用的防守和溯源工具,演习第一天开始就不断有攻击队踩中蜜罐,甚至被防守方成功溯源反制。不过,蜜罐的部署和使用需要格外谨慎,比如蜜罐部署时没有和内网做好隔离,就可能被攻击队利用直接进入内网。有消息称红队故意留下痕迹进行钓鱼,蓝队注意追溯时安全,防止jsonp攻击。

3.全流量监测

    全流量监测设备(如奇安信天眼)是近几年安全监测和防守的主要工具,随着各厂商产品的不断优化和监测规则的不断完善,对于攻击的发现能力和溯源分析能力越来越强,公认的防守方必备工具。

4.主机防护

    主机防护是阻断攻击的有效手段,个人主机可以安装企业版的杀毒软件(如奇安信天擎),支持统一管理,服务器可安装服务器安全防护软件(如奇安信椒图),另外可以使用其他诸如防毒墙、邮件网关、IPS等实现对攻击的拦截,增强主机防护效果。

5.0day防护

    做好基线安全在一定程度上能实现0day防护,如在限制网络访问关系、系统策略最小化。常规主机防护类软件,也具备一定的0day防护能力,如椒图可以对特定的危险行为进行拦截,与具体漏洞无关,诸如上传、执行命令等。


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: