补 天 9 2 0 情 报 分 享

    2020年09月20日，奇安信继续跟进各厂商漏洞，汇总各类漏洞如下：

9月20日更新漏洞：

1. Yii2框架反序列化远程命令执行漏洞补丁绕过

    Yii2是Yii团队开发的一套基于组件、用于开发大型web应用的高性能PHP框架。

    近日，补天漏洞响应平台监测到互联网上有安全研究员公开CVE-2020-15148补丁绕过方式，该漏洞为Yii2框架反序列化远程命令执行漏洞，官方在新版本2.0.38修复该漏洞，但该补丁可被绕过，攻击者可仍旧对该系统反序列化执行命令。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题，可导致反序列化远程命令执行，厂商于之前发布相应的补丁，但仍然可以被绕过。鉴于漏洞危害较大，建议受影响的客户联系厂商获取最新漏洞详情。

    影响版本：Yii2 最新版本

    修复方法：

    联系厂商获取最新漏洞详情：

    https://github.com/yiisoft/yii2

2. Apache Superset远程代码执行漏洞（CVE-2020-13948）

    近日，补天漏洞响应平台监测到Apache软件基金会发布安全公告，修复了Apache Superset的远程代码执行漏洞，漏洞编号为：CVE-2020-13948。

    Apache Superset 中存在一处逻辑漏洞，在其模板引擎处理特殊的内容时，允许访问 python os 软件包，经过身份验证的远程攻击者通过发送特制的请求包，可导致任意代码执行。补天漏洞响应平台建议受影响的用户升级到Apache Superset最新版本。

    影响版本：Apache Superset < 0.37.1

    厂商已发布了漏洞修复程序，请及时关注更新：

    https://github.com/apache/incubator-superset

9月11日-9月19日漏洞：

1．深信服EDR某处命令执行漏洞，危害级别：危急

2．深信服SSL VPN 远程代码执行漏洞，危害级别：危急

3．绿盟UTS综合威胁探针信息泄露漏洞，危害级别：危急，官方已发布补丁

4．Apache DolphinScheduler远程代码执行漏洞(CVE-2020-11974)，危害级别：危急，官方已发布补丁

5．Apache Cocoon security vulnerability (CVE-2020-11991)，危害级别：危急，官方已发布补丁

6．天融信TopApp-LB 负载均衡系统SQL注入漏洞，危害级别：高危

7．用友GRP-u8 命令执行漏洞，危害级别：危急

8．泛微云桥任意文件读取漏洞，危害级别：高危

9．齐治堡垒机前台远程命令执行漏洞，危害级别：危急

10．联软准入系统任意文件上传漏洞EXP公开，危害级别：危急

11．PAN-OS远程代码执行漏洞，危害级别：危急

12．天融信NGFW下一代防火墙漏洞辟谣，危害级别：无

13．山石网科下一代防火墙SG-6000漏洞辟谣，危害级别：无

14．Nagios 命令执行漏洞，危害级别：危急

15．Weblogic远程命令执行漏洞，危害级别：危急

16．IE浏览器远程代码执行漏洞，危害级别：高危

17．网御星云VPN老版本存在漏洞，危害级别：高危

18．微软NetLogon 权限提升漏洞，危害级别：危急

19．致远A8文件上传漏洞，危害级别：危急

20．致远A8反序列化漏洞，危害级别：危急

21．深信服VPN 任意用户添加漏洞，危害级别：危急

22．拓尔思TRSWAS5.0文件读取漏洞，危害级别：中危

23．Wordpress File-manager任意文件上传，危害级别：高危

24．Apache DolphinScheduler权限提升漏洞(CVE-2020-13922) ，危害级别：高危

25．致远OA任意文件写入漏洞，危害级别：危急

26．Microsoft Exchange远程代码执行漏洞通告，危害级别：危急

27．Spectrum Protect Plus任意代码执行漏洞，危害级别：高危

28．深信服 SSL VPN Nday - Pre Auth 任意密码重置漏洞，危害级别：高危

29．深信服 SSL VPN 修改绑定手机号码漏洞，等级：高危

30．McAfee Web Gateway多个高危漏洞，危害级别：高危

31．Yii2框架反序列化远程命令执行漏洞，危害级别：高危

32．微软 SQL Server 报表服务远程代码执行漏洞（CVE-2020-0618），危害级别：高危

33．Spring框架RFD攻击漏洞通告，危害级别：中危

34．VMware Fusion 权限提升漏洞（CVE-2020-3980），危害级别：中危

35．Aruba Clearpass远程命令执行漏洞（CVE-2020-7115），危害级别：高危

    攻防第十天，部分单位提前退场，攻击和防守的形势更加严峻，双方都展开了最后的较量。各位参与人员更应该注意休息，保持充足的精力来面对接下来的挑战。

1．0day攻击

    0day漏洞的爆出速度有所减缓，但攻击队0day的使用仍在继续，从昨天到今天，已经网传有多起vpn和邮件系统的0day攻击案例。

2．钓鱼攻击

    到了第十天，攻击队基本进入第一个瓶颈期，前面能拿下的目标基本应该已经攻陷，剩下的都是比较难啃的硬骨头，这个期间很可能有攻击队会开始新的一轮针对性钓鱼，隐蔽性和针对性会更强。

3．社工攻击

    社工类攻击因为实施的难度和风险较大，至今使用的应该不多，但从网传消息来看，这两天还是有攻击队再次使用，同时也再次印证了攻击方的攻击阻力确实很大，开始兵行险招。

    演习期间蓝队针对红队投放的木马、钓鱼文件进行分析，发现红队会使用迷惑性域名与隧道进行伪装，如伪装成其他厂商，对蓝队的溯源分析进行较大的干扰。

1．情报利用

    今年各防守单位更加重视情报的共享和使用，攻击IP、攻击队信息等等消息传播迅速，当然也造成了很多假情报的传播，甚至有攻击队利用假情报、假截图干扰对手、吸引火力，为自己创造更多机会。

2．蜜罐和反制

    蜜罐也是这次演习大量使用的防守和溯源工具，演习第一天开始就不断有攻击队踩中蜜罐，甚至被防守方成功溯源反制。不过，蜜罐的部署和使用需要格外谨慎，比如蜜罐部署时没有和内网做好隔离，就可能被攻击队利用直接进入内网。有消息称红队故意留下痕迹进行钓鱼，蓝队注意追溯时安全，防止jsonp攻击。

3．全流量监测

    全流量监测设备（如奇安信天眼）是近几年安全监测和防守的主要工具，随着各厂商产品的不断优化和监测规则的不断完善，对于攻击的发现能力和溯源分析能力越来越强，公认的防守方必备工具。

4．主机防护

    主机防护是阻断攻击的有效手段，个人主机可以安装企业版的杀毒软件（如奇安信天擎），支持统一管理，服务器可安装服务器安全防护软件（如奇安信椒图），另外可以使用其他诸如防毒墙、邮件网关、IPS等实现对攻击的拦截，增强主机防护效果。

5．0day防护

    做好基线安全在一定程度上能实现0day防护，如在限制网络访问关系、系统策略最小化。常规主机防护类软件，也具备一定的0day防护能力，如椒图可以对特定的危险行为进行拦截，与具体漏洞无关，诸如上传、执行命令等。