截止11月31日,奇安信CERT共监测漏洞80934个,较上月新增漏洞3526个。其中有876条敏感信息触发了人工研判标准 。经人工研判:本月值得重点关注的漏洞共75个,其中高风险漏洞共12个。
月度总热度Top10漏洞概览
根据奇安信 CERT的监测数据,在2020年11月份监测到的所有漏洞中,月度总舆论热度榜 TOP10漏洞如下:
|
|
|
漏洞编号 |
影响产品 |
漏洞类型 |
CVSS |
|---|---|---|---|---|---|
|
1 |
75 |
CVE-2020-17087 |
Microsoft cng.sys |
权限提升 |
7.8 |
|
2 |
64 |
CVE-2020-14882 |
Oracle WebLogic Server |
远程代码执行 |
暂无 |
|
3 |
55 |
CVE-2020-14871 |
Oracle Solaris |
远程代码执行 |
暂无 |
|
4 |
52 |
CVE-2020-14750 |
Oracle WebLogic Server |
远程代码执行 |
暂无 |
|
5 |
44 |
CVE-2020-4006 |
VMware Workspace |
命令注入 |
9.1 |
|
6 |
43 |
CVE-2020-15999 |
Chrome Freetype |
缓冲区溢出 |
6.5 |
|
7 |
39 |
CVE-2020-27955 |
Git LFS |
远程代码执行 |
9.8 |
|
8 |
37 |
CVE-2020-16009 |
Juniper Networks |
拒绝服务 |
7.8 |
|
9 |
29 |
CVE-2020-1472 |
Windows |
权限提升 |
10 |
|
10 |
28 |
CVE-2020-27930 |
Apple Watch Series |
代码执行 |
暂无 |
在11月月度总热度舆论榜前十的漏洞中,热度最高的漏洞为Microsoft cng.sys 权限提升漏洞(CVE-2020-17087),该漏洞是由于Windows cng.sys 驱动中存在一处整数溢出,并且该驱动导出了名为DeviceCNG 的设备链接,导致攻击者可以在用户态通过 IOCTL 0x390400 发送对应的畸形数据,造成整数溢出。目前漏洞POC已公开,且已确认存在相关的在野攻击案例。已知的攻击场景是配合Chrome 0day漏洞进行提权,但不排除其他投递恶意代码进行利用的方式。
漏洞危害等级占比:
-
高危漏洞共32个,占比约为43%
-
中危漏洞共24个,占比为为32%
-
低危漏洞共19个,占比约为25%
漏洞类型占比:
-
代码执行漏洞共22个,其占比约为29%
-
拒绝服务漏洞共10个,其占比约为13%
-
信息泄露漏洞共5个,其占比约为7%
-
权限提升漏洞共2个,其占比约为3%
|
漏洞编号 |
影响产品 |
危险等级 |
漏洞类型 |
触发方式 |
|||
|
CVE-2020-17510 |
apache shiro |
|
身份认证绕过 |
远程触发 |
|||
|
CVE-2020-3459 |
Cisco FXOS |
低危 |
权限提升 |
本地触发 |
|||
|
CVE-2020-28037 |
WordPress |
高危 |
远程代码执行 |
远程触发 |
|||
|
CVE-2020-14750 |
Oracle WebLogic Server |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-5933 |
BIG-IP |
中危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-17087 |
Microsoft cng.sys |
高危 |
权限提升 |
本地触发 |
|||
| 暂无 |
Apache Flink |
高危 |
文件上传 |
远程触发 |
|||
|
CVE-2019-10255 |
Jupyter Notebook 浏览器 |
低危 |
错误的访问控制 |
本地触发 |
|||
|
CVE-2020-28032 |
WordPress |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-16846 |
SaltStack |
高危 |
命令执行 |
远程触发 |
|||
|
CVE-2020-25592 |
SaltStack Salt API |
高危 |
身份认证绕过 |
远程触发 |
|||
|
CVE-2020-14871 |
Pluggable authentication module |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-5939 |
BIGIP TMUI |
中危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-17023 |
Visual Studio Code |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-13935 |
Apache Tomcat WebSocket |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-27955 |
Git LFS |
中危 |
远程代码执行 |
远程触发 |
|||
|
CVE-2020-25649 |
FasterXML |
中危 |
XML外部实体注入(XXE) |
远程触发 |
|||
|
CVE-2020-26596 |
WordPress Dynamic OOO Widget 插件 |
高危 |
权限提升 |
远程触发 |
|||
|
CVE-2020-0451 |
Android |
高危 |
代码执行 |
本地触发 |
|||
|
CVE-2020-17042 |
Windows Print Spooler |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-17056 |
Windows Network File System |
高危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-17061 |
Microsoft SharePoint |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-17084 |
Microsoft Exchange Server |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-17040 |
Windows Hyper-V |
中危 |
安全特性绕过 |
远程触发 |
|||
|
CVE-2020-9979 |
Apple ios |
高危 |
代码执行 |
本地触发 |
|||
|
CVE-2020-15012 |
Nexus Repository Manager 2 |
中危 |
目录遍历 |
远程触发 |
|||
|
CVE-2020-17022 |
MICROSOFT WINDOWS 编解码器库 |
中危 |
内存损坏 |
远程触发 |
|||
|
CVE-2020-14060 |
FasterXML |
低危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-17051 |
Windows Network File System |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-17047 |
Windows Network File System |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-26070 |
Cisco IOS XR |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-3988 |
VMware Workstation |
低危 |
内存损坏 |
本地触发 |
|||
|
CVE-2020-3989 |
VMware Workstation |
低危 |
拒绝服务 |
本地触发 |
|||
|
CVE-2020-13287 |
GitLab |
中危 |
信息泄露 |
远程触发 |
|||
| 暂无 |
RuoYi |
高危 |
文件读取 |
远程触发 |
|||
|
CVE-2020-0449 |
Android |
高危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-25695 |
PostgreSQL |
中危 |
安全特性绕过 |
远程触发 |
|||
|
CVE-2020-16013 |
Google V8 引擎 |
中危 |
远程代码执行 |
远程触发 |
|||
|
CVE-2020-17083 |
Microsoft Exchange Server |
低危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-28367 |
cgo |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-28366 |
cgo |
低危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-26217 |
XSteam |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-5796 |
Nagios XI |
低危 |
权限提升 |
本地触发 |
|||
|
CVE-2020-8911 |
AWS S3 Crypto SDK |
高危 |
安全特性绕过 |
远程触发 |
|||
|
CVE-2020-15810 |
Squid |
高危 |
安全特性绕过 |
远程触发 |
|||
|
CVE-2020-5791 |
Nagios XI |
低危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-14386 |
Linux |
中危 |
权限提升 |
本地触发 |
|||
|
CVE-2020-13358 |
GitLab CE / EE |
中危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-13354 |
GitLab CE / EE |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-13352 |
GitLab CE / EE |
高危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-26406 |
GitLab EE |
高危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-26405 |
GitLab |
低危 |
目录遍历 |
远程触发 |
|||
|
CVE-2020-28005 |
TL-WPA4220 httpd |
低危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-24297 |
TP-Link TL-WPA4220 |
低危 |
命令执行 |
远程触发 |
|||
|
CVE-2020-13355 |
GitLab CE / EE |
低危 |
目录遍历 |
远程触发 |
|||
|
CVE-2020-13356 |
GitLab CE / EE |
中危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-13359 |
Gitlab |
低危 |
信息泄露 |
远程触发 |
|||
|
CVE-2020-4739 |
IBM Db2 |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-5795 |
TP-LINK ARCHER A7 |
低危 |
权限提升 |
本地触发 |
|||
|
CVE-2020-3284 |
Cisco IOS XR |
低危 |
任意代码执行 |
远程触发 |
|||
| 暂无 |
Yii2 |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-13360 |
GitLab CE / EE |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-4005 |
VMware ESXi |
中危 |
权限提升 |
本地触发 |
|||
|
CVE-2020-7926 |
MongoDB |
中危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2019-2392 |
MongoDB Server |
中危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2019-2393 |
MongoDB Server |
中危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-7925 |
Mongodb Server |
高危 |
拒绝服务 |
远程触发 |
|||
|
CVE-2020-28948 |
Drupal |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-28949 |
Drupal |
中危 |
代码执行 |
远程触发 |
|||
|
CVE-2020-28974 |
Linux kernel |
低危 |
信息泄露 |
本地触发 |
|||
|
CVE-2020-12356 |
Inter AMT |
低危 |
安全特性绕过 |
本地触发 |
|||
|
CVE-2020-8757 |
Intel CSME |
低危 |
内存损坏 |
本地触发 |
|||
|
漏洞编号 |
影响产品 |
漏洞类型 |
危险等级 |
触发方式 |
公开状态 |
详情链接 |
|
CVE-2020-14750 |
Oracle WebLogic Server |
代码执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-25592 |
SaltStack Salt API |
身份认证绕过 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-16846 |
SaltStack |
命令执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-13935 |
Apache Tomcat WebSocket |
拒绝服务 |
高危 |
远程触发 |
漏洞细节PoC、EXP已公开 |
|
|
CVE-2020-17051 |
Windows Network File System |
代码执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-17042 |
Windows Print Spooler |
代码执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-17087 |
Microsoft cng.sys |
权限提升 |
高危 |
本地触发 |
漏洞细节已公开 |
|
|
CVE-2020-17056 |
Windows Network File System |
信息泄露 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-17061 |
Microsoft SharePoint |
代码执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-17083 |
Microsoft Exchange Server |
代码执行 |
高危 |
远程触发 |
未公开 |
|
|
CVE-2020-17084 |
||||||
|
CVE-2020-17040 |
Windows Hyper-V |
安全特性绕过 |
中危 |
远程触发 |
未公开 |
Web漏洞被攻击者利用情况:
根据奇安信CERT白泽平台的攻击者画像数据,2020年11月1日到11月31日,奇安信 CERT共识别出1672912个威胁者,通过1927297个IP地址发起攻击,其中共有1733351个IP为境内IP,36528个IP为来自境外。其中受威胁的网站数量为55759,隐蔽链路为68528个。
11月威胁类型TOP5分别为:Webshell利用、异常检测、扫描器识别、Web通用漏洞利用、其他威胁类型。
11月威胁来源区域TOP5分别为浙江省、江苏省、湖南省、广东省、安徽省。
11月受威胁地区TOP10为:北京市、云南省、浙江省、河南省、广东省、加利福尼亚州、湖北省、江苏省、香港特别行政区、上海市。
威胁者常用的威胁工具及手法如下:
本文始发于微信公众号(奇安信 CERT):【安全监测报告】奇安信 CERT 2020年11月安全监测报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论