【安全监测报告】奇安信 CERT 2021年2月安全监测报告

admin 2021年3月5日16:53:26评论116 views字数 4536阅读15分7秒阅读模式
【安全监测报告】奇安信 CERT 2021年2月安全监测报告

截止2月28日,奇安信CERT共监测漏洞90554个,较上月新增漏洞6505个。其中有1067条敏感信息 触发了人工研判标准 。经人工研判:本月值得重点关注的漏洞共67个,其中高风险漏洞共18个。



注:

1.本月重要漏洞户口详情请点击“阅读原文”

2.敏感漏洞触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合判断

3.人工研判流程包括对漏洞利用条件、影响范围、实际危害等多个方面的信息的综合研判

4.针对高风险漏洞,奇安信 CERT已于第一时间发布安全风险通告

5.月度总舆论热度榜为奇安信CERT抓取到互联网上对该漏洞讨论次数汇总的榜单

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


奇安信 CERT 2月安全监测报告

月度总热度Top10漏洞概览


根据奇安信 CERT的监测数据,在2021年2月份监测到的所有漏洞中,月度总舆论热度榜 TOP10漏洞如下:

序号

漏洞热度

漏洞编号

影响产品

漏洞类型

CVSS分数

1

156

CVE-2021-3156

Linux

内存损坏

7.8

2

57

CVE-2021-21972

VMware   vCenter Server

代码执行

暂无

3

53

CVE-2020-1472

NetLogon

权限提升

10

4

50

CVE-2021-1732

Windows

权限提升

暂无

5

43

CVE-2021-24074

Windows

代码执行

暂无

6

38

CVE-2021-21148

Google   V8 引擎

内存泄漏

8.8

7

33

CVE-2021-24094

Windows

代码执行

暂无

8

32

CVE-2021-25275

solarwinds   orion platform

信息泄露

7.8

9

30

CVE-2020-0796

Microsoft SMBv3

代码执行

10

10

30

CVE-2021-24086

Windows   TCP/IP

拒绝服务

暂无

【安全监测报告】奇安信 CERT 2021年2月安全监测报告

在2月月度总热度舆论榜前十的漏洞中,热度最高的漏洞依旧为sudo堆缓冲区溢出漏洞(CVE-2021-3156),此漏洞允许远程攻击者仅在低权限账号进行用户认证的情况下,尝试利用此漏洞。该漏洞基于堆缓冲区溢出,当攻击者使用sudo命令时,如果命令行参数以结尾则sudo会循环读取越界字符并复制到user_args缓冲区,但是在Linux中任意命令行参数都不能以结尾,所以该漏洞利用sudoedit命令来执行sudo命令,以绕过限制。当利用成功时,将可以将当前用户权限提升为root权限。

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


重点关注漏洞概览


漏洞危害等级占比:

  • 高危漏洞共39个,占比约为61%

  • 中危漏洞共23个,占比为为36%

  • 低危漏洞共5个,占比约为3%

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


漏洞类型占比:

  • 代码执行漏洞共15个,其占比约为22%

  • 权限提升漏洞共10个,其占比约为15%

  • 身份认证绕过漏洞共8个,其占比约为12%

【安全监测报告】奇安信 CERT 2021年2月安全监测报告

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


重点关注漏洞


漏洞编号

影响产品

危险等级

漏洞类型

触发方式

CVE-2021-25646

Apache Druid

高危

代码执行

远程触发

CVE-2020-17523

apache Shiro

中危

身份认证绕过

远程触发

暂无

Windows Installer

中危

权限提升

本地触发

CVE-2020-35576

TP-Link TL-WR841N

中危

命令执行

远程触发

CVE-2020-9492

Apache Hadoop

低危

权限提升

远程触发

暂无

JumpServer

高危

代码执行

远程触发

暂无

VRVEDP

高危

代码执行

远程触发

CVE-2021-25275

solarwinds orion platform

中危

信息泄露

本地触发

CVE-2021-25274

solarwinds orion platform

高危

代码执行

远程触发

CVE-2021-3011

CryptoLib

中危

信息泄露

未知

CVE-2021-21142

Chrome

高危

代码执行

本地触发

CVE-2021-20016

SonicWall SSL-VPN

高危

身份认证绕过

远程触发

CVE-2020-25686

DNSmasq

高危

内存泄漏

远程触发

CVE-2021-25276

SolarWinds ServU-FTP

中危

错误的访问控制

本地触发

CVE-2021-3177

python

低危

内存泄漏

本地触发

CVE-2021-2018

Oracle Database Server

高危

身份认证绕过

远程触发

CVE-2021-26117

Apache ActiveMQ

高危

身份认证绕过

远程触发

CVE-2021-26118

Apache ActiveMQ

高危

身份认证绕过

远程触发

CVE-2021-21148

Google V8 引擎

高危

内存泄漏

远程触发

暂无

Skywalking

中危

代码执行

远程触发

暂无

Windows Server

中危

身份认证绕过

远程触发

暂无

MessageSolution

高危

XML外部实体注入(XXE)

远程触发

暂无

MessageSolution

高危

文件读取

远程触发

暂无

MessageSolution

高危

文件上传

远程触发

暂无

MessageSolution

高危

错误的访问控制

远程触发

CVE-2021-3281

Django

中危

目录遍历

远程触发

暂无

MessageSolution

高危

文件上传

远程触发

CVE-2020-25685

DNSmasq

高危

中间人攻击

远程触发

CVE-2020-25684

DNSmasq

高危

中间人攻击

远程触发

CVE-2020-17516

Apache Cassandra

高危

信息泄露

远程触发

CVE-2021-24078

Windows DNS Server

高危

代码执行

远程触发

CVE-2021-24086

Windows TCP/IP

高危

拒绝服务

远程触发

CVE-2016-2183

SSL/TLS协议

低危

信息泄露

远程触发

CVE-2021-24074

Windows

高危

代码执行

远程触发

CVE-2021-24094

Windows

高危

代码执行

远程触发

CVE-2021-1732

Windows

高危

权限提升

远程触发

CVE-2021-1727

Windows

高危

权限提升

远程触发

CVE-2021-1698

Windows

高危

权限提升

远程触发

CVE-2021-24072

Microsoft SharePoint Server

高危

代码执行

远程触发

CVE-2020-36231

Atlassian Jira

中危

错误的访问控制

远程触发

CVE-2020-27862

D-Link

中危

代码执行

远程触发

CVE-2021-21285

docker

中危

拒绝服务

本地触发

CVE-2021-21284

docker

低危

权限提升

本地触发

CVE-2021-21053

Adobe Illustrator

高危

代码执行

本地触发

CVE-2021-21054

Adobe Illustrator

高危

内存泄漏

本地触发

CVE-2020-29662

Harbor

中危

身份认证绕过

远程触发

CVE-2021-1389

Cisco IOS XR 和 Cisco NX-OS

高危

安全特性绕过

远程触发

CVE-2021-1370

Cisco IOS XR

高危

权限提升

本地触发

CVE-2021-21702

PHP

中危

拒绝服务

远程触发

CVE-2020-8625

BIND

高危

拒绝服务

远程触发

CVE-2021-21133

Chrome

中危

命令执行

远程触发

CVE-2020-7460

FreeBSD

低危

权限提升

本地触发

CVE-2020-7468

FreeBSD

中危

权限提升

本地触发

CVE-2020-9955

macOS

中危

信息泄露

本地触发

CVE-2021-1759

macOS

中危

代码执行

本地触发

CVE-2021-21303

Helm客户端

中危

错误的访问控制

本地触发

CVE-2019-1311

Windows

中危

内存损坏

本地触发

CVE-2021-3347

Linux 内核

中危

权限提升

本地触发

CVE-2020-14312

dnsmasq

中危

错误的访问控制

远程触发

CVE-2021-21973

VMware vCenter Server

中危

服务端请求伪造(SSRF)

远程触发

CVE-2021-21974

VMware ESXi

高危

代码执行

远程触发

CVE-2021-21972

VMware vCenter Server

高危

代码执行

远程触发

CVE-2021-20354

IBM WebSphere Application Server

高危

目录遍历

远程触发

CVE-2021-20353

IBM WebSphere Application Server

高危

XML外部实体注入(XXE)

远程触发

CVE-2021-25281

SaltStack

高危

身份认证绕过

远程触发

CVE-2021-25282

SaltStack

高危

文件上传

远程触发

CVE-2021-25283

SaltStack

高危

模板注入

远程触发

【安全监测报告】奇安信 CERT 2021年2月安全监测报告

高风险漏洞


漏洞编号

影响产品

漏洞类型

危险等级

公开状态

详情链接

CVE-2021-25646

Apache Druid

代码执行

高危

PoC、EXP已公开

点击查看

CVE-2020-17523

apache Shiro

身份认证绕过

中危

未公开

点击查看


暂无

Windows Installer

权限提升

中危

技术细节、PoC、EXP已公开

点击查看

CVE-2021-21148

Google V8 引擎

内存泄漏

高危

已发现在野利用

点击查看

CVE-2021-24078

Windows DNS Server

代码执行

高危

未公开

点击查看


CVE-2021-24086

Windows TCP/IP

拒绝服务

高危

未公开

CVE-2021-24074

Windows

代码执行

高危

未公开

CVE-2021-24094

Windows

代码执行

高危

未公开

CVE-2021-1732

Windows

权限提升

高危

未公开

CVE-2021-1727

Windows

权限提升

高危

未公开

CVE-2021-1698

Windows

权限提升

高危

未公开

CVE-2021-24072

Microsoft SharePoint   Server

代码执行

高危

未公开

CVE-2021-21973

VMware vCenter Server

服务端请求伪造(SSRF)

中危

细节已公开、PoC已公开

点击查看

CVE-2021-21974

VMware ESXi

代码执行

高危

未公开

CVE-2021-21972

VMware vCenter Server

代码执行

高危

技术细节、PoC、EXP已公开

CVE-2021-25281

SaltStack

身份认证绕过

高危

技术细节已公开

点击查看

CVE-2021-25282

SaltStack

文件上传

高危

技术细节已公开

CVE-2021-25283

SaltStack

模板注入

高危

技术细节已公开

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


威胁者信息


Web漏洞被攻击者利用情况:

根据奇安信A-TEAM白泽平台的攻击者画像数据,2021年2月1日到2月28奇安信A-TEAM共识别出1526330过1643754起攻击,其中共有473664个境内IP,26238个境外IP。其中受威胁的网站数量为24388,隐蔽链路为27894个。

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


2月威胁类型TOP5分别为:Webshell利用、异常检测、文件包含、扫描器识别、Web通用漏洞利用。

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


2月威胁来源区域TOP5分别为湖南省、浙江省、江苏省、广东省、安徽省。

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


2月受威胁地区TOP10为:北京市、浙江省、河南省、广东省、加利福尼亚州、湖北省、山东省、江苏省、上海市、辽宁省。

【安全监测报告】奇安信 CERT 2021年2月安全监测报告


威胁者常用的威胁工具及手法如下:

【安全监测报告】奇安信 CERT 2021年2月安全监测报告

【安全监测报告】奇安信 CERT 2021年2月安全监测报告




点击阅读原文查看本月重要漏洞户口详情

本文始发于微信公众号(奇安信 CERT):【安全监测报告】奇安信 CERT 2021年2月安全监测报告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月5日16:53:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全监测报告】奇安信 CERT 2021年2月安全监测报告http://cn-sec.com/archives/282001.html

发表评论

匿名网友 填写信息