2020年09月18日,奇安信继续跟进各厂商漏洞,汇总各类漏洞如下:
9月18日更新漏洞:
1. 微软 SQL Server 报表服务远程代码执行漏洞(CVE-2020-0618)
近日,补天漏洞响应平台监测到微软 SQL Server 报表服务远程代码执行漏洞(CVE-2020-0618)相关利用脚本已公开。经过身份验证的远程攻击者通过向受影响的服务器发送特制请求包,可以造成远程代码执行影响。建议受影响客户及时更新相关补丁。
影响版本:
|
更新编号 |
标题 |
产品版本 |
|
4532097 |
SQL Server 2016 Service Pack 2 (GDR) 安全更新:2020 年 2 月 11 日 |
13.0.5026.0 - 13.0.5101.9 |
|
4535706 |
SQL Server 2016 Service Pack 2 CU11 安全更新:2020 年 2 月 11 日 |
13.0.5149.0 - 13.0.5598.27 |
|
4532095 |
SQL Server 2014 Service Pack 3 (GDR) 安全更新:2020 年 2 月 11 日 |
12.0.6024.0 - 12.0.6108.1 |
|
4535288 |
SQL Server 2014 Service Pack 2 CU4 安全更新:2020 年 2 月 11 日 |
12.0.6205.1 - 12.0.6329.1 |
|
4532098 |
SQL Server 2012 Service Pack 4 (QFE) 安全更新:2020 年 2 月 11 日 |
111.0.7001.0 - 11.0.7462.6 |
复现截图:
修复建议:
厂商已发布了漏洞修复程序,请及时关注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618
2. Spring框架RFD(反射型文件下载)漏洞
近日,补天漏洞响应平台监测到spring官方发布了spring framework的更新,此次更新修复了一个RFD安全漏洞,漏洞编号为CVE-2020-5421。该漏洞可以通过一个jsessionId路径参数绕过 RFD 保护。
影响版本:
Spring Framework 5.2.0 - 5.2.8
Spring Framework 5.1.0 - 5.1.17
Spring Framework 5.0.0 - 5.0.18
Spring Framework 4.3.0 - 4.3.28
Spring Framework不再支持的老版本
修复建议:
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/spring-projects/spring-framework
3. VMware Fusion 权限提升漏洞(CVE-2020-3980)
VMware Fusion是美国威睿(VMware)公司的一套专用于在苹果机(Mac)上运行Windows应用程序的的虚拟机软件。近日,补天漏洞响应平台监测到VMware Fusion 存在权限提升漏洞,VMware Fusion 11.x版本中存在一个权限提升漏洞,该漏洞允许攻击者配置系统路径。建议受影响客户及时更新相关补丁。
修复建议:
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.vmware.com/security/advisories/VMSA-2020-0020.html
9月11日-9月17日漏洞:
1.深信服EDR某处命令执行漏洞,危害级别:危急
2.深信服SSL VPN 远程代码执行漏洞,危害级别:危急
3.绿盟UTS综合威胁探针信息泄露漏洞,危害级别:危急,官方已发布补丁
4.Apache DolphinScheduler远程代码执行漏洞(CVE-2020-11974),危害级别:危急,官方已发布补丁
5.Apache Cocoon security vulnerability (CVE-2020-11991),危害级别:危急,官方已发布补丁
6.天融信TopApp-LB 负载均衡系统SQL注入漏洞,危害级别:高危
7.用友GRP-u8 命令执行漏洞,危害级别:危急
8.泛微云桥任意文件读取漏洞,危害级别:高危
9.齐治堡垒机前台远程命令执行漏洞,危害级别:危急
10.联软准入系统任意文件上传漏洞EXP公开,危害级别:危急
11.PAN-OS远程代码执行漏洞,危害级别:危急
12.天融信NGFW下一代防火墙漏洞辟谣
13.山石网科下一代防火墙SG-6000漏洞辟谣
14.Nagios 命令执行漏洞 危害级别:危急
15.Weblogic远程命令执行漏洞 危害级别:危急
16.IE浏览器远程代码执行漏洞 危害级别:危急
17.网御星云VPN老版本存在漏洞 危害级别:严重
18.微软NetLogon 权限提升漏洞 危害级别:严重
19.致远A8文件上传漏洞 危害级别:危急
20.致远A8反序列化漏洞 危害级别:危急
21.深信服VPN 任意用户添加漏洞 危害级别:危急
22.拓尔思TRSWAS5.0文件读取漏洞(官方已于2018年进行修复)
23.Wordpress File-manager任意文件上传 危害级别:严重
24.Apache DolphinScheduler权限提升漏洞(CVE-2020-13922)
25.致远OA任意文件写入漏洞 危害级别:危急
26.Microsoft Exchange远程代码执行漏洞通告 危害级别:危急
27.Spectrum Protect Plus任意代码执行漏洞 危害级别:危急
28.深信服 SSL VPN Nday - Pre Auth 任意密码重置漏洞(官方已于去年进行修复)
29.深信服 SSL VPN 修改绑定手机号码漏洞(官方已于去年进行修复)
30.McAfee Web Gateway多个高危漏洞 危害级别:严重
31.Yii2框架反序列化远程命令执行漏洞 危害级别:危急
攻防第八天,结合各单位消息来看,部分单位已退场。攻防双方开始昼夜不间断的工作,白班人员和夜班人员两班倒,各位注意休息、保重身体。攻防期间0day攻击仍在不断利用,诸多安全厂商已及时更新漏洞补丁并下发。
1.0day攻击
0day漏洞的爆出速度有所减缓,但攻击队0day的使用仍在继续,从昨天到今天,已经网传有多起vpn和邮件系统的0day攻击案例。
2.钓鱼攻击
到了第八天,攻击队基本进入第一个瓶颈期,前面能拿下的目标基本应该已经攻陷,剩下的都是比较难啃的硬骨头,这个期间很可能有攻击队会开始新的一轮针对性钓鱼,隐蔽性和针对性会更强。
3.社工攻击
社工类攻击因为实施的难度和风险较大,至今使用的应该不多,但从网传消息来看,这两天还是有攻击队再次使用,同时也再次印证了攻击方的攻击阻力确实很大,开始兵行险招。
演习期间蓝队针对红队投放的木马、钓鱼文件进行分析,发现红队会使用迷惑性域名与隧道进行伪装,如伪装成其他厂商,对蓝队的溯源分析进行较大的干扰。
1.情报利用
今年各防守单位更加重视情报的共享和使用,攻击IP、攻击队信息等等消息传播迅速,当然也造成了很多假情报的传播,甚至有攻击队利用假情报、假截图干扰对手、吸引火力,为自己创造更多机会。
2.蜜罐和反制
蜜罐也是这次演习大量使用的防守和溯源工具,演习第一天开始就不断有攻击队踩中蜜罐,甚至被防守方成功溯源反制。不过,蜜罐的部署和使用需要格外谨慎,比如蜜罐部署时没有和内网做好隔离,就可能被攻击队利用直接进入内网。有消息称红队故意留下痕迹进行钓鱼,蓝队注意追溯时安全,防止jsonp攻击。
3.全流量监测
全流量监测设备(如奇安信天眼)是近几年安全监测和防守的主要工具,随着各厂商产品的不断优化和监测规则的不断完善,对于攻击的发现能力和溯源分析能力越来越强,公认的防守方必备工具。
4.主机防护
主机防护是阻断攻击的有效手段,个人主机可以安装企业版的杀毒软件(如奇安信天擎),支持统一管理,服务器可安装服务器安全防护软件(如奇安信椒图),另外可以使用其他诸如防毒墙、邮件网关、IPS等实现对攻击的拦截,增强主机防护效果。
5.0day防护
做好基线安全在一定程度上能实现0day防护,如在限制网络访问关系、系统策略最小化。常规主机防护类软件,也具备一定的0day防护能力,如椒图可以对特定的危险行为进行拦截,与具体漏洞无关,诸如上传、执行命令等。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论