补 天 9 1 7 情 报 分 享

  • A+
所属分类:安全新闻
1

厂商漏洞跟进




2020年09月17日,奇安信继续跟进各厂商漏洞,汇总各类漏洞如下:

9月17日更新漏洞:

1. Microsoft Exchange远程代码执行漏洞通告

    近日,补天漏洞响应平台监测到有安全人员公开了Exchange Server远程代码执行漏洞(CVE-2020-16875)的利用程序,此漏洞为微软在9月8日例行月度安全更新中披露;Microsoft Exchange在Internet Explorer处理内存中的对象时存在该漏洞。利用此漏洞需至少需要一个基础的Exchange用户账户。 

    攻击者可通过向受影响的Exchange服务器发送包含特殊的cmdlet参数的邮件来触发此漏洞,成功利用此漏洞的攻击者可在受影响的系统上以system权限执行任意代码。补天漏洞响应平台建议企业Exchange服务器管理员尽快修补该漏洞。

    目前微软官方已针对受支持的产品版本发布了此漏洞的安全补丁,建议受影响用户尽快使用Windows 安全更新安装补丁,也可手动下载补丁程序安装: 

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875


2. Spectrum Protect Plus任意代码执行漏洞

    IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复。 

近日,补天漏洞响应平台监测到IBM Spectrum Protect Plus 存在路径遍历漏洞,漏洞编号为:CVE-2020-4711。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

    目前厂商暂无解决方案,请关注厂商获取漏洞最新状态与补丁更新:https://www.ibm.com/


3. 深信服 SSL VPN Nday - Pre Auth 任意密码重置漏洞

    近日,补天漏洞响应平台监测到有安全人员公开了深信服SSL VPN Nday - Pre Auth 任意密码重置漏洞的分析及漏洞PoC。成功利用此漏洞的远程攻击者可重置任意账户密码,建议相关企业尽快进行安全评估并与厂商联系获取最新漏洞状态。

    建议联系厂商获取漏洞细节及修复建议:

    https://www.sangfor.com.cn/


4. 深信服 SSL VPN 修改绑定手机号码漏洞

    近日,补天漏洞响应平台监测到有安全人员公开了深信服SSL VPN 修改绑定手机号码漏洞的漏洞分析及漏洞PoC。成功利用此漏洞的远程攻击者可修改任意账户的绑定手机号,建议相关企业尽快进行安全评估并与厂商联系获取最新漏洞状态。

    建议联系厂商获取漏洞细节及修复建议:

    https://www.sangfor.com.cn/


5. McAfee Web Gateway多个高危漏洞 

    近日,补天漏洞响应平台监测到 McAfee Web Gateway多个高危漏洞,包括权限提升,允许未授权攻击者通过用户界面错误的访问修改系统的根密码等。目前厂商已发布新版本修复此漏洞。补天漏洞响应平台建议受影响的用户及时更新McAfee Web Gateway至安全版本。

    影响产品:McAfee Web Gateway < 9.2.3

McAfee Web Gateway是美国迈克菲( McAfee)公司的一款高性能安全web网关产品。该产品提供威胁防护、应用程序控制和数据丢失防护等功能。McAfee Web gateway 9.2.3之前版本存在权限提升漏洞。该漏洞源于用户界面访问控制不当。

    CVE-2020-7293,低权限认证用户可利用该漏洞更改系统的root密码。

    CVE-2020-7294、CVE-2020-7295,该漏洞允许攻击者通过用户界面错误的访问来删除或下载受保护的日志数据。

    CVE-2020-7296、CVE-2020-7297,该漏洞允许攻击者通过用户界面访问受保护的配置文件。

    修复建议:

    升级 McAfee Web Gateway版本到9.2.3或更高


6. Yii2框架反序列化远程命令执行漏洞

    Yii2是Yii团队开发的一套基于组件、用于开发大型web应用的高性能PHP框架。

    近日,补天漏洞响应平台监测到Yii2框架存在反序列化远程命令执行漏洞,漏洞编号为:CVE-2020-15148。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题,可导致反序列化远程命令执行。囯前厂商已发布新版本修复此漏洞,补天漏洞响应平台建议受影响的客户将框架更新至安全版本。

    通用修复建议:

    升级Yii2版本到2.038或更高:

    https://github.com/yiisoft/yii2/releases/tag/2.0.38



    9月11日-9月16日漏洞:


1.深信服EDR某处命令执行漏洞,危害级别:危急

2.深信服SSL VPN 远程代码执行漏洞,危害级别:危急

3.绿盟UTS综合威胁探针信息泄露漏洞,危害级别:危急,官方已发布补丁

4.Apache DolphinScheduler远程代码执行漏洞(CVE-2020-11974),危害级别:危急,官方已发布补丁

5.Apache Cocoon security vulnerability (CVE-2020-11991),危害级别:危急,官方已发布补丁

6.天融信TopApp-LB 负载均衡系统SQL注入漏洞,危害级别:高危

7.用友GRP-u8 命令执行漏洞,危害级别:危急

8.泛微云桥任意文件读取漏洞,危害级别:高危

9.齐治堡垒机前台远程命令执行漏洞,危害级别:危急

10.联软准入系统任意文件上传漏洞EXP公开,危害级别:危急

11.PAN-OS远程代码执行漏洞,危害级别:危急

12.天融信NGFW下一代防火墙漏洞辟谣

13.山石网科下一代防火墙SG-6000漏洞辟谣

14.Nagios 命令执行漏洞

15.Weblogic远程命令执行漏洞

16.IE浏览器远程代码执行漏洞

17.网御星云VPN老版本存在漏洞

18.微软NetLogon 权限提升漏洞

19.致远A8文件上传漏洞

20.致远A8反序列化漏洞

21.深信服VPN 任意用户添加漏洞

22.拓尔思TRSWAS5.0文件读取漏洞

23.Wordpress File-manager任意文件上传

24.Apache DolphinScheduler权限提升漏洞(CVE-2020-13922)

25.致远OA任意文件写入漏洞

26.Thinkadmin v6 任意文件读取漏洞(CVE-2020-25540)




2

红队攻击分析


    攻防第七天,结合各单位消息来看,防守方反应很快,对于告警的点能很快的进行封堵和排查,及时的增派人员现场分析数据,但攻击方对于0day的利用显然已经有了部分成果,部分单位已被入侵。攻防双方开始昼夜不间断的工作,白班人员和夜班人员两班倒,各位注意休息、保重身体。攻防期间0day攻击仍在不断利用,诸多安全厂商已及时更新漏洞补丁并下发。



1.0day攻击

    0day漏洞的爆出速度有所减缓,但攻击队0day的使用仍在继续,从昨天到今天,已经网传有多起vpn和邮件系统的0day攻击案例。


2.钓鱼攻击

到了第七天,攻击队基本进入第一个瓶颈期,前面能拿下的目标基本应该已经攻陷,剩下的都是比较难啃的硬骨头,这个期间很可能有攻击队会开始新的一轮针对性钓鱼,隐蔽性和针对性会更强。


3.社工攻击

    社工类攻击因为实施的难度和风险较大,至今使用的应该不多,但从网传消息来看,这两天还是有攻击队再次使用,同时也再次印证了攻击方的攻击阻力确实很大,开始兵行险招。

    演习期间蓝队针对红队投放的木马、钓鱼文件进行分析,发现红队会使用迷惑性域名与隧道进行伪装,如伪装成其他厂商,对蓝队的溯源分析进行较大的干扰。


3

蓝队防守分析


1.情报利用

    今年各防守单位更加重视情报的共享和使用,攻击IP、攻击队信息等等消息传播迅速,当然也造成了很多假情报的传播,甚至有攻击队利用假情报、假截图干扰对手、吸引火力,为自己创造更多机会。

2.蜜罐和反制

    蜜罐也是这次演习大量使用的防守和溯源工具,演习第一天开始就不断有攻击队踩中蜜罐,甚至被防守方成功溯源反制。不过,蜜罐的部署和使用需要格外谨慎,比如蜜罐部署时没有和内网做好隔离,就可能被攻击队利用直接进入内网。有消息称红队故意留下痕迹进行钓鱼,蓝队注意追溯时安全,防止jsonp攻击。

3.全流量监测

    全流量监测设备(如奇安信天眼)是近几年安全监测和防守的主要工具,随着各厂商产品的不断优化和监测规则的不断完善,对于攻击的发现能力和溯源分析能力越来越强,公认的防守方必备工具。

4.主机防护

    主机防护是阻断攻击的有效手段,个人主机可以安装企业版的杀毒软件(如奇安信天擎),支持统一管理,服务器可安装服务器安全防护软件(如奇安信椒图),另外可以使用其他诸如防毒墙、邮件网关、IPS等实现对攻击的拦截,增强主机防护效果。

5.0day防护

    做好基线安全在一定程度上能实现0day防护,如在限制网络访问关系、系统策略最小化。常规主机防护类软件,也具备一定的0day防护能力,如椒图可以对特定的危险行为进行拦截,与具体漏洞无关,诸如上传、执行命令等。





发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: