警惕风险突出的100个高危漏洞
高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。公安机关网安部门从危害程度、广泛性、漏洞利用形式、利用难度、检测难度等维度,梳理出了100个突出的高危漏洞,并在文末提出了重点防护建议。广大网络运营者应对照排查自己的网络系统是否存在相关漏洞,及时修补,降低被利用的风险。
序号 | 漏洞名称 | 漏洞编号 | 漏洞危害 |
1 | Apache Log4j2远程代码执行漏洞 | CVE-2021-44228 | 可直接远程控制相关服务器 |
2 | Alibaba Nacos User-Agent 鉴权绕过漏洞 | CVE-2021-29441 | 可直接绕过认证机制获取敏感数据 |
3 | Oracle WebLogic Server远程代码执行漏洞 | CVE-2020-2884 | 可直接远程控制相关服务器 |
4 | Apache Shiro 默认密钥致命令执行漏洞 | CVE-2016-4437 | 可直接远程控制相关服务器 |
5 | Spring Cloud Gateway spel 远程代码执行漏洞 | CVE-2022-22947 | 可直接远程控制相关服务器 |
6 | Atlassian Confluence远程代码执行漏洞 | CVE-2022-26134 | 可直接远程控制相关服务器 |
7 | GitLab /uploads/user 远程命令执行漏洞 | CVE-2021-22205 | 可直接远程控制相关服务器 |
8 | Gitlabissuemarkdown目录遍历漏洞 | CVE-2020-10977 | 可以通过读取任意文件获取敏感信息 |
9 | Apache Struts 代码执行漏洞 | CVE-2023-50164 | 可直接远程控制相关服务器 |
10 | redis未授权访问漏洞 | CNVD-2015-07557 | 可直接绕过认证机制获取敏感数据 |
11 | Elasticsearch Kibana 命令注入漏洞 | CVE-2019-7609 | 可直接远程控制相关服务器 |
12 | Adobe ColdFusion 反序列化漏洞 | CVE-2017-3066 | 可直接远程控制相关服务器 |
13 | IIS6 WebDav 远程命令执行漏洞 | CVE-2017-7269 | 可直接远程控制相关服务器 |
14 | Apache ActiveMQ 远程代码执行漏洞 | CVE-2023-46604 | 可直接远程控制相关服务器 |
15 | Windows打印后台处理程序远程执行代码漏洞 | CVE-2021-34527 | 可直接远程控制相关服务器 |
16 | F5 BIG-IP /tmui/login.jsp 远程代码执行漏洞 | CVE-2020-5902 | 可直接远程控制相关服务器 |
17 | Fortigate SSL VPN路径遍历漏洞 | CVE-2018-13379 | 可访问任意的文件获取敏感数据 |
18 | Citrix ADC远程代码执行漏洞 | CVE-2019-19781 | 可直接远程控制相关服务器 |
19 | Microsoft Exchange Server认证绕过漏洞 | CVE-2021-26857 | 可直接绕过认证机制获取敏感数据 |
20 | Drupal geddon2 远程代码执行漏洞 | CVE-2018-7600 | 可直接远程控制相关服务器 |
21 | 泛微E-Office9 文件上传漏洞 | CVE-2023-2523 | 可直接远程控制相关服务器 |
22 | 海康威视IP Camera身份认证绕过漏洞 | CVE-2017-7921 | 可直接绕过认证机制获取敏感数据 |
23 | 畅捷通T+ Upload.aspx 任意文件上传漏洞 | CNVD-2022-60632 | 可直接远程控制相关服务器 |
24 | 禅道项目管理系统 misc-captcha-user.html 权限绕过&远程命令执行漏洞 | CNVD-2023-02709 | 可直接远程控制相关服务器 |
25 | 宏景人力资源信息管理系统 /servlet/codesettree SQL注入漏洞 | CNVD-2023-08743 | 可执行任意SQL命令获取敏感数据 |
26 | 泛微e-cology9 SQL注入漏洞 | CNVD-2023-12632 | 可执行任意SQL命令获取敏感数据 |
27 | MinIO未授权信息泄露漏洞 | CVE-2023-28432 | 可直接访问未授权接口获取敏感信息 |
28 | Elasticsearch Groovy Scripting Engine Sandbox 安全绕过漏洞 | CVE-2015-1427 | 可直接远程控制相关服务器 |
29 | WordPress WPLiveChat SupportPro插件代码问题漏洞 | CVE-2019-11185 | 可直接远程控制相关服务器 |
30 | Apache ActiveMQ Jolokia 代码执行漏洞 | CVE-2022-41678 | 可直接远程控制相关服务器 |
31 | Atlassian Confluence Data Center&Server 权限提升漏洞 | CVE-2023-22515 | 可导致低权限用户提升权限并执行管理操作 |
32 | Memcached SASL身份验证安全绕过漏洞 | CVE-2013-7239 | 可直接绕过认证机制获取敏感数据 |
33 | WordPress SnapCreek Duplicator和Duplicator Pro路径遍历漏洞 | CVE-2020-11738 | 可访问任意的文件获取敏感数据 |
34 | QNAP Systems QTS 和 QuTS hero SQL注入漏洞 | CVE-2022-27596 | 可执行任意SQL命令获取敏感数据 |
35 | GitLab CE and EE不正确访问控制漏洞 | CVE-2019-20148 | 可直接访问未授权接口获取敏感信息 |
36 | Citrix ADC & Citrix Gateway远程代码执行漏洞 | CVE-2023-3519 | 可直接远程控制相关服务器 |
37 | Apache RocketMQ NameServer 远程命令执行漏洞 | CVE-2023-37582 | 可直接远程控制相关服务器 |
38 | GitLab信息泄露漏洞 | CVE-2020-26413 | 可直接访问未授权接口获取敏感信息 |
39 | Atlassian Confluence远程代码执行漏洞 | CVE-2023-22522 | 可直接远程控制相关服务器 |
40 | ThinkPHP信息泄露漏洞 | CVE-2022-25481 | 可直接访问未授权接口获取敏感信息 |
41 | 泛微E-Office /uploadify/uploadify.php 任意文件上传漏洞 | CVE-2023-2648 | 可直接远程控制相关服务器 |
42 | 通达OA delete_log.php 后台SQL注入漏洞 | CVE-2023-4166 | 可执行任意SQL命令获取敏感数据 |
43 | TeamCity 远程代码执行漏洞 | CVE-2023-42793 | 可直接远程控制相关服务器 |
44 | Zoho ManageEngine SAML 任意代码执行漏洞 | CVE-2022-47966 | 可直接远程控制相关服务器 |
45 | 海康威视-综合安防管理平台 /center/api/files 任意文件上传漏洞 | CNVD-2022-88855 | 可直接远程控制相关服务器 |
46 | 泛微E-Office group_xml.php SQL注入漏洞 | CNVD-2022-43843 | 可执行任意SQL命令获取敏感数据 |
47 | 泛微E-Office /iweboffice/officeserver.php 任意文件上传漏洞 | CNVD-2022-43247 | 可直接远程控制相关服务器 |
48 | Oracle Weblogic LockVersionExtractor T3 反序列化漏洞 | CVE-2020-14825 | 可直接远程控制相关服务器 |
49 | Apache Struts2 2.0.0~2.3.15 远程命令执行漏洞 | CVE-2013-2251 | 可直接远程控制相关服务器 |
50 | Oracle Weblogic RemoteConstructor IIOP T3反序列化漏洞 | CVE-2020-14644 | 可直接远程控制相关服务器 |
51 | Apache Axis AdminService 远程代码执行漏洞 | CVE-2019-0227 | 可直接远程控制相关服务器 |
52 | Oracle WebLogic 反序列化漏洞 | CVE-2020-2551 | 可直接远程控制相关服务器 |
53 | 多款Red Hat产品远程代码执行漏洞 | CVE-2015-7501 | 可直接远程控制相关服务器 |
54 | Oracle WebLogic Server WLS 组件远程代码执行漏洞 | CVE-2018-3191 | 可直接远程控制相关服务器 |
55 | Fastjson <1.2.83 远程代码执行漏洞 | CVE-2022-25845 | 可直接远程控制相关服务器 |
56 | Apache Solr远程代码执行漏洞 | CNVD-2023-27598 | 可直接远程控制相关服务器 |
57 | Gitlab OmniAuth 账号劫持漏洞 | CVE-2022-1162 | 可直接绕过认证机制获取敏感数据 |
58 | WebLogic WLS 核心组件反序列化漏洞 | CVE-2018-2628 | 可直接远程控制相关服务器 |
59 | Oracle WebLogic Server WLS Core 组件安全漏洞 | CVE-2018-2893 | 可直接远程控制相关服务器 |
60 | JBoss Application Server JBossMQ JMS 反序列化漏洞 | CVE-2017-7504 | 可直接远程控制相关服务器 |
61 | Oracle WebLogic Console HTTP 协议远程代码执行漏洞 | CVE-2020-14882 | 可直接远程控制相关服务器 |
62 | Oracle Weblogic UniversalExtractor T3 反序列化漏洞 | CVE-2020-14645 | 可直接远程控制相关服务器 |
63 | Oracle WebLogic Server 安全漏洞 | CVE-2020-14687 | 可直接远程控制相关服务器 |
64 | Adobe ColdFusion 远程代码执行漏洞 | CVE-2023-29300 | 可直接远程控制相关服务器 |
65 | ThinkPHP lang参数 远程命令执行漏洞 | CVE-2022-47945 | 可直接远程控制相关服务器 |
66 | Atlassian Confluence 远程代码执行漏洞 | CVE-2021-26084 | 可直接远程控制相关服务器 |
67 | 大华智慧园区综合管理平台任意文件上传漏洞 | CVE-2023-3836 | 可直接远程控制相关服务器 |
68 | 帆软报表 design_save_svg 任意文件覆盖漏洞 | CNVD-2021-34467 | 可直接远程控制相关服务器 |
69 | 禅道项目管理系统 account 参数存在SQL注入漏洞 | CNVD-2022-42853 | 可直接远程控制相关服务器 |
70 | Oracle WebLogic Server wls9-async 组件反序列化漏洞 | CVE-2019-2729 | 可直接远程控制相关服务器 |
71 | Jenkins MetaClass 存在远程代码执行漏洞 | CVE-2018-1000861 | 可直接远程控制相关服务器 |
72 | 华天动力OA /ntkoupload.jsp 任意文件上传漏洞 | CNVD-2022-54886 | 可直接远程控制相关服务器 |
73 | F5 BIG-IP iControl REST device-stats 远程命令执行漏洞 | CVE-2022-1388 | 可直接远程控制相关服务器 |
74 | 泛微 e-office UploadFile.php文件上传漏洞 | CNVD-2021-49104 | 可直接远程控制相关服务器 |
75 | Atlassian Jira 授权问题漏洞 | CVE-2022-0540 | 可直接绕过认证机制获取敏感数据 |
76 | 致远OA /seeyon/htmlofficeservlet 路径任意文件写入漏洞 | CNVD-2019-19299 | 可直接远程控制相关服务器 |
77 | Spring Framework JDK >= 9 远程代码执行漏洞 | CVE-2022-22965 | 可直接远程控制相关服务器 |
78 | Laravel Framework Debug 远程代码执行漏洞 | CVE-2021-3129 | 可直接远程控制相关服务器 |
79 | GitLab 任意用户密码重置漏洞 | CVE-2023-7028 | 可以通过重置用户密码接管代码管理平台,获取敏感信息 |
80 | 用友NC BeanShell存在命令执行漏洞 | CNVD-2021-30167 | 可直接远程控制相关服务器 |
81 | JeecgBoot JimuReport 模板注入导致命令执行漏洞 | CVE-2023-4450 | 可直接远程控制相关服务器 |
82 | Nacos Jraft Hessian反序列漏洞 | CNVD-2023-45001 | 可直接远程控制相关服务器 |
83 | GeoServer远程代码执行漏洞 | CVE-2024-36401 | 可直接远程控制相关服务器 |
84 | polkit(pkexec)权限提升漏洞 | CVE-2021-4034 | 可导致低权限用户提升权限并执行管理操作 |
85 | Metabase H2 远程代码执行漏洞 | CVE-2023-38646 | 可直接远程控制相关服务器 |
86 | TeamCity认证绕过漏洞 | CVE-2024-23917 | 可直接远程控制相关服务器 |
87 | H2 Database控制台远程代码执行漏洞 | CVE-2021-42392 | 可直接远程控制相关服务器 |
88 | Windows TCP/IP 远程代码执行漏洞 | CVE-2024-38063 | 可直接远程控制相关服务器 |
89 | CrushFTP 服务器端模板注入漏洞 | CVE-2024-4040 | 可绕过身份验证获得管理访问权限,泄露敏感信息或执行代码 |
90 | FortiGate SSL VPN 远程执行命令漏洞 | CVE-2024-21762 | 可直接远程控制相关服务器 |
91 | PHP CGI 参数注入远程执行命令漏洞 | CVE-2024-4577 | 可直接远程控制相关服务器 |
92 | Apache OFBiz路径遍历代码执行漏洞 | CVE-2024-36104 | 可直接远程控制相关服务器 |
93 | Apache OfBiz 反序列化命令执行漏洞 | CVE-2023-49070 | 可直接远程控制相关服务器 |
94 | Rejetto HTTP File Server 远程代码执行漏洞 | CVE-2024-23692 | 可直接远程控制相关服务器 |
95 | Nexus Repository 3 目录遍历与文件读取漏洞 | CVE-2024-4956 | 可访问任意的文件获取敏感数据 |
96 | Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞 | CVE-2024-3400 | 可直接远程控制相关服务器 |
97 | 泛微E-Cology WorkflowServiceXml SQL注入漏洞 | QVD-2024-26136 | 可执行任意SQL命令获取敏感数据 |
98 | Apache Solr Schema Designer 代码执行漏洞 | CVE-2023-50292 | 可直接远程控制相关服务器 |
99 | Apache Zeppelin shell 代码注入漏洞 | CVE-2024-31861 | 可直接远程控制相关服务器 |
100 | Zabbix Server Audit Log SQL 注入漏洞 | CVE-2024-22120 | 可执行任意SQL命令获取敏感数据 |
安全防护提示
1、跟踪软件安全更新:持续跟踪并评估软件供应商发布的安全更新信息。
2、持续扫描探测:利用自动化工具定期对系统进行扫描,识别缺失的安全补丁和更新。
3、更新管理流程规范化:建立规范的更新管理流程,确保所有安全更新和补丁的安装配置均经过测试和审批。
4、定期安全审计:加强对开源软件组件、通用软硬件风险排查,定期对系统数据库、中间件、网络设备等进行全面的安全审计,发现防护缺陷和逻辑漏洞。
1、持续漏洞扫描与评估:部署漏洞扫描工具,定期扫描内网关键系统,识别并优先修复高危漏洞。
2、网络流量监控与分析:实时监控外联访问行为,检测异常行为,防止被植入木马后门。
3、用户行为监控:监控用户在内网的操作行为,识别异常活动和潜在的风险行为,定时分析用户行为模式,及时发现并处理不符合安全策略的行为。
4、内网资产管理:维护内网资产清单,确保设备和应用受控,减少安全风险。
5、系统加固与配置优化:调整系统配置,实施访问控制和最小权限原则。定期进行系统基线检查,确保配置符合安全标准。
1、终端安全管理:在终端设备上安装安全检测工具,实时监控和处理潜在威胁。确保漏洞库及时更新,并严格执行保护策略,防止设备受到攻击。
2、数据加密与防泄漏:对敏感数据进行全面加密,防止在设备丢失或被盗时数据泄露。限制数据存放位置,避免在网站目录下直接存储备份文件或包含敏感信息的文档。
3、用户行为控制:限制风险操作,防止安装未授权的软件和访问可疑网站。实施防范社会工程攻击的措施,如识别虚假信息和防止信息泄露。
自查风险突出的30个服务高危端口
在计算机网络中,端口是一种用于区分不同网络服务或应用程序的逻辑地址。每个网络服务或应用程序都需要至少一个端口(号)来实现网络通信。当某个端口开放时,便能接收来自于其它计算机或网络设备的连接请求和数据。但同时,开放的端口也暴露了计算机、网络设备的服务或应用程序,使得攻击者可以通过扫描端口发现潜在的漏洞,进而实施网络攻击。高危端口便是被不法分子经常利用的端口。国家网络与信息安全信息通报中心排查梳理了近期安全风险突出的30个网络服务或应用程序对应的端口号,这些端口常被不法分子利用实施远程代码执行、拒绝服务等攻击。提醒广大网络运营者对自身网络、应用服务进行技术排查,对照此次提示内容关闭端口或进行技术加固。
序号 | 端口服务 | 端口号 | 所属类别 |
1 | LDAP | 389 | 不应暴露在互联网上的端口 |
2 | SMB | 445 | 不应暴露在互联网上的端口、经常被黑客攻击利用易存在漏洞的端口 |
3 | MySQL | 3306 | 不应暴露在互联网上的端口 |
4 | Redis | 6379 | 不应暴露在互联网上的端口 |
5 | FTP | 21 | 经常被黑客攻击利用、易存在漏洞的端口 |
6 | Elasticsearch | 9200 | 不应暴露在互联网上的端口、经常被黑客攻击利用、易存在漏洞的端口 |
7 | Weblogic | 7001 | 经常被黑客攻击利用、易存在漏洞的端口 |
8 | RDP | 3389 | 不应暴露在互联网上的端口 |
9 | PostgreSQL | 5432 | 不应暴露在互联网上的端口 |
10 | Oracle | 1521 | 不应暴露在互联网上的端口 |
11 | Flink | 8081 | 不应暴露在互联网上的端口、经常被黑客攻击利用、易存在漏洞的端口 |
12 | Memcached | 11211 | 经常被黑客攻击利用、易存在漏洞的端口 |
13 | Kafka | 9092 | 经常被黑客攻击利用、易存在漏洞的端口 |
14 | MongoDB | 27017/27018 | 不应暴露在互联网上的端口、没有实际价值但默认开放的端口 |
15 | Hadoop | 8019/8042/9000/8088 | 不应暴露在互联网上的端口、没有实际价值但默认开放的端口、经常被黑客攻击利用、易存在漏洞的端口 |
16 | Zookeeper | 3888 | 不应暴露在互联网上的端口、没有实际价值但默认开放的端口 |
17 | Docker | 2375 | 不应暴露在互联网上的端口 |
18 | Nacos JRAFT | 7848 | 不应暴露在互联网上的端口、经常被黑客攻击利用、易存在漏洞的端口 |
19 | NFS | 2049 | 经常被黑客攻击利用、易存在漏洞的端口 |
20 | DB2/Sybase | 5000 | 不应暴露在互联网上的端口 |
21 | etcd | 2379 | 不应暴露在互联网上的端口、经常被黑客攻击利用、易存在漏洞的端口 |
22 | GlassFish | 4848 | 经常被黑客攻击利用、易存在漏洞的端口 |
23 | CouchDB | 5984 | 不应暴露在互联网上的端口 |
24 | InfluxDB | 8083/8086 | 不应暴露在互联网上的端口 |
25 | Rundeck | 4440 | 经常被黑客攻击利用、易存在漏洞的端口 |
26 | SSH | 22 | 不应暴露在互联网上的端口、经常被黑客攻击利用、易存在漏洞的端口 |
27 | Zookeeper | 2181 | 经常被黑客攻击利用、易存在漏洞的端口 |
28 | Symantec pcAnywhere | 5631/5632 | 不应暴露在互联网上的端口 |
29 | Supervisor | 9001 | 经常被黑客攻击利用、易存在漏洞的端口 |
30 | spark | 7077 | 经常被黑客攻击利用、易存在漏洞的端口 |
谨慎使用风险突出的5类弱口令类型
弱口令是对易被猜测或破解的计算机信息系统口令(密码)的统称,这样的口令往往由简单字符组合而成,自身复杂度、长度不足。弱口令的长期使用,存在被别有用心之人非法或违规利用的突出风险,被用于窥探甚至窃取计算机信息系统内的重要、敏感数据或获取系统管理权限,对计算机信息系统的正常运行实施破坏。弱口令问题的长期存在,成为大量境内外网络安全案事件的重要导火索之一,对此类问题的排查整改工作刻不容缓。国家网络与信息安全信息通报中心梳理总结了5类工作中发现的常见、风险突出的弱口令类型,提示广大网络运营单位、个人用户尽快全面清除弱口令,构建并使用强口令,提升系统和数据的安全防护水平。
安全防护提示
弱口令问题既是管理问题,也是技术问题。一方面,网络运营者内部教育培训不到位,系统管理员、普通用户安全意识不足,为图便利而使用弱口令。另一方面,通过系统功能的设计,可强制用户使用强口令、定期更换口令,避免口令被轻易猜测破解。广大网络运营者可通过以下方式防范弱口令问题风险:
2、由系统强制提醒用户定期更换密码,并限制密码更换的间隔时间、限制设置与过去使用的密码相似密码的情况。
3、避免用户将密码设置为常见词汇、用户名、生日等易于猜测的内容。
4、鼓励用户为不同的系统和应用设置不同的密码,避免使用相同密码。
5、设置多因素认证措施,启用验证码、限制IP登录频次等防御暴力破解机制。
6、设置尝试登录失败的次数限制,超过限制后暂时锁定账户或延长下次尝试的时间。
7、定期审计账户的密码使用情况,及时发现并强制纠正可能涉及弱口令的行为。监控异常登录活动,如异地登录、非常规时间登录等,发出可疑行为、异常行为告警并及时响应等。
原文始发于微信公众号(祺印说信安):警惕“两高一弱”风险及安全防护提示(全集)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论