腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单

长按二维码关注

腾讯安全威胁情报中心

腾讯安全攻防团队A&D Team

腾讯安全 企业安全运营团队

腾讯安全威胁情报中心推出2022年9月份必修安全漏洞清单，所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，不修复就意味着黑客攻击入侵后会造成十分严重的后果。

 

腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列为必修安全漏洞候选清单。

 

腾讯安全威胁情报中心定期发布安全漏洞必修清单，以此指引政企客户安全运维人员修复漏洞，从而避免重大损失。

 

以下是2022年9月份必修安全漏洞清单详情：

一、Windows CLFS本地提权漏洞

概述：

2022年9月，微软发布了2022年9月的例行安全更新公告，共涉及漏洞数64个，严重级别漏洞5个。本次发布涉及 Microsoft Windows、Windows Components、Azure、 .NET 及 Visual Studio 等多个软件的安全更新。其中存在一个CLFS在野利用的本地提权漏洞，漏洞编号：CVE-2022- 37969，攻击者通过该漏洞，可在目标Windows系统中获取系统权限。

腾讯安全专家建议受影响用户尽快升级，漏洞威胁等级：高危。

通用日志文件系统 (CLFS) 是一种通用日志服务，可供在用户模式或内核模式下运行的软件客户端使用。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	已发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	8.5

影响版本：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修复建议：

官方已发布漏洞补丁及修复版本，请通过系统自带的更新功能升级至安全版本

二、Linux内核route4_change本地权限提升漏洞 

概述：

2022年9月，腾讯安全监测发现Linux 内核被披露出存在本地提权漏洞，漏洞编号CVE-2022-2588。可导致攻击者权获得root权限等危害。

据描述，漏洞由于在Linux kernel 的 net/sched/cls_route.c 实现的 route4_change 中存在 use-after-free 缺陷导致。攻击者可利用该漏洞提升至root权限。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	高
漏洞评分	8.0

影响版本：

Linux kernel >= v2.6.12-rc2

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

https://access.redhat.com/security/cve/cve-2022-2588

https://ubuntu.com/security/CVE-2022-2588

https://security-tracker.debian.org/tracker/CVE-2022-2588

三、Linux内核openvswitch模块本地权限提升漏洞 

概述：

2022年9月，腾讯安全监测发现Linux 内核被披露出存在本地提权漏洞，漏洞编号CVE-2022-2639。可导致攻击者权获得root权限等危害。

据描述，漏洞由于在Linux kernel 的 openvswitch 模块中存在缺陷导致。当复制和保留内存时，reserve_sfa_size() 函数不会按预期返回 -EMSGSIZE，从而导致可越界写入。最终可利用该漏洞提升权限。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	高
漏洞评分	8.0

影响版本：

Linux Kernel >= v3.13, < v5.18

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

https://nvd.nist.gov/vuln/detail/CVE-2022-2639

https://bugzilla.redhat.com/show_bug.cgi?id=2084479

四、Atlassian Bitbucket 命令注入漏洞

概述：

腾讯安全近期监测到Atlassian官方发布安全通告，披露了其Bitbucket产品存在命令注入漏洞，漏洞编号CVE-2022-36804。可导致远程执行任意命令等危害。

据描述，在Bitbucket Server和Bitbucket Data Center的多个API中存在命令注入漏洞，当攻击者拥有公共仓库的访问权限，或私有仓库的读取权限时，可通过发送恶意请求执行任意代码。

Bitbucket是Atlassian公司提供的一个基于web的版本库托管服务，支持Mercurial和Git版本控制系统。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	已发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	中
攻击者价值	高
利用难度	低
漏洞评分	8.8

影响版本：

Bitbucket Server and Data Center 7.6 < 7.6.17 (LTS)
Bitbucket Server and Data Center 7.17 < 7.17.10 (LTS)
Bitbucket Server and Data Center 7.21 < 7.21.4 (LTS)
Bitbucket Server and Data Center 8.0 < 8.0.3
Bitbucket Server and Data Center 8.1 < 8.1.3
Bitbucket Server and Data Center 8.2 < 8.2.2
Bitbucket Server and Data Center 8.3 < 8.3.1

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

https://jira.atlassian.com/browse/BSERV-13438

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html

五、Sophos Firewall 未授权RCE漏洞 

概述：

腾讯安全近期监测到Sophos发布了Sophos Firewall的风险通告，漏洞编号为CVE-2022-3236，该漏洞存在于Sophos Firewall 的用户门户和 Webadmin 中，是一个代码注入漏洞，成功利用此漏洞的攻击者可以远程执行代码。

Sophos Firewall是英国的网络安全公司Sophos的防火墙产品。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	已发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	中
攻击者价值	高
利用难度	低
漏洞评分	9.0

影响版本：

Sophos Firewall <= v19.0 MR1 (19.0.1)

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

- Sophos Firewall v19.5 GA

- Sophos Firewall v19.0 MR2 (19.0.2)

- Sophos Firewall v19.0 GA、MR1 和 MR1-1

- Sophos Firewall v18.5 MR5 (18.5.5)

- Sophos Firewall v18.5 GA、MR1、MR1-1、MR2、MR3 和 MR4

- Sophos Firewall v18.0 MR3、MR4、MR5 和 MR6

- Sophos Firewall v17.5 MR12、MR13、MR14、MR15、MR16 和 MR17

- Sophos Firewall v17.0 MR10

https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce

https://nvd.nist.gov/vuln/detail/CVE-2022-3236

六、OWASP ModSecurity Core Rule Set 规则绕过漏洞 

概述：

腾讯安全近期监测到OWASP ModSecurity Core Rule Set (CRS)官方发布了规则集绕过的风险通告，漏洞编号为CVE-2022-39955/CVE-2022-39956/CVE-2022-39957/CVE-2022-39958，该漏洞允许攻击者提交有效负载并绕过WAF的检测。

OWASP ModSecurity 核心规则集 (CRS) 是一组通用攻击检测规则，用于 ModSecurity 或兼容的 Web 应用程序防火墙。CRS 旨在保护 Web 应用程序免受各种攻击，包括 OWASP 前 10 名，并尽量减少错误警报。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	中
攻击者价值	中
利用难度	低
漏洞评分	7.5

影响版本：

<=3.2.2 和 3.3.3

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/

通用的漏洞修复、防御方案建议

腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞，推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。

具体操作步骤可参考以下文章指引：https://s.tencent.com/research/report/157

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按识别二维码获取第一手威胁情报

往期企业必修漏洞清单

• 2022年8月必修安全漏洞清单
  

• 2022年7月必修安全漏洞清单
  
• 2022年6月必修安全漏洞清单
  
• 2022年5月必修安全漏洞清单
  
• 2022年4月必修安全漏洞清单
  
• 2022年3月必修安全漏洞清单
  
• 2022年2月必修安全漏洞清单
  
• 2022年1月必修安全漏洞清单
  
• 2021年12月必修安全漏洞清单
  
• 2021年11月必修安全漏洞清单

原文始发于微信公众号（安全攻防团队）：腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单