2021年活跃高危安全漏洞盘点

admin 2022年1月25日17:46:36评论177 views字数 6147阅读20分29秒阅读模式
2021年活跃高危安全漏洞盘点

2021年活跃

高危安全漏洞

盘点


安恒信息应急响应中心





2021年活跃高危安全漏洞盘点




NOTICE

盘点·漏洞公告

▶▶▶

2021年活跃高危安全漏洞盘点


1.漏洞跟踪

2021年1月到12月份,安恒信息应急响应中心公众号发布了超过70篇高危安全漏洞和超过10篇高级攻击事件风险提示,包含40个以上软件产品和厂商的安全公告解读。预警的安全漏洞主要为远程代码执行漏洞或远程命令执行漏洞、此类漏洞的成功利用能直接远程获取目标系统管理权限或服务运行权限,2021年应急响应中心在对公众号发布的70多篇风险提示中约30%的漏洞提供了可利用性验证,并同步更新了检测类产品(漏洞扫描器)和防御类产品的检测规则,同时对超过40%的漏洞提供了全球受影响资产范围的数据。


在攻击事件方面,主要为APT攻击事件、此类攻击隐蔽性极高,成功实施能长时间建立隐蔽通道获取目标系统敏感数据,安恒信息应急响应中心第一时间对获取的漏洞情报进行跟踪,分析研判影响范围,验证其具体可利用性,并快速输出风险提示报告(预警),及时提醒使用该产品的用户关注该厂商发布的安全更新补丁,和采取临时可用的缓解措施避免遭受恶意攻击者的第一波攻击。


2021年活跃漏洞产品或所属厂商简约统计如下图:

2021年活跃高危安全漏洞盘点


2021年活跃高危安全漏洞盘点


2.漏洞关注

安恒信息应急响应中心主要针对高危以上级别的漏洞或安全事件进行风险提示,具体定级参考包括CVSS3.0版本风险矩阵基本分数(Base Score)为10或接近于10(9.8/9.9)的漏洞或9.5以上漏洞,以及综合漏洞严重程度、漏洞利用效果、利用代码公开程度、漏洞利用难度、黑客攻击行为、威胁情报样本、APT秘密泄露、威胁场景推演等,安恒信息应急响应中心研判标准示例:

2021年活跃高危安全漏洞盘点

同时,安恒信息应急响应中心固定关注超过40个全球主流安全或软件厂商的安全公告发布通道、包括商业软件厂商、开源软件代码更新发布等,超过80组动态情报来源、0day、APT样本等,覆盖攻击生命周期、供应链攻击生命周期等用于边界突破的高危安全漏洞和内网攻击行为的事件分析和快速响应,2021年更聚焦实际危害较高的漏洞关注。




THREATEN

盘点·威胁态势

▶▶▶

2021年活跃高危安全漏洞盘点

1. 边界突破

2021年全年,安恒信息应急响应中心监测发现偏Web类的云管理平台、Web应用服务、中间件组件的远程代码执行漏洞等依然是出现较多的高危风险点,这些应用服务和中间件组件漏洞通常直接用于网络边界突破。同时,在攻防演练的场景中,发现大量用于边界防御的安全设备也被曝安全漏洞而受到直接攻击,应急响应中心报告的漏洞和验证的漏洞主要为此类用于边界突破的漏洞,其中Web类漏洞又以反序列化漏洞为主。重点漏洞分布如下:

2021年活跃高危安全漏洞盘点


2021年活跃高危安全漏洞盘点

2.软件供应链威胁

2021全年,安恒信息应急响应中心监测到多起软件供应链安全事件,随着软件产业的快速发展,软件供应链也越发复杂化、多元化,这也引入了一系列软件供应链风险。本年软件供应链安全事件主要包括,源代码污染、基础组件高危漏洞等问题。


年初安恒信息应急响应中心监测到PHP zilb官方源代码遭污染被攻击者植入后门,恶意攻击者使用了合法用户正常提交代码的方式植入了后门,再被发现删除后攻击者又尝试进行了二次植入,在这期间更新过源码的用户,可能受该后门影响。根据提交记录和源码分析,后门植入文件为:/ext/zlib/zlib.c,后门代码主要是判断请求包含特殊字符串条件后执行的机制实现,特殊字符串包括:"HTTP_USER_AGENTT"和"zerodium"等,记录截图如下:

2021年活跃高危安全漏洞盘点


11月期间,境外黑客组织AgainstTheWest对暴露在互联网上的SonarQube平台进行大规模定向攻击,利用未授权及弱口令漏洞盗取多家单位信息系统的源代码,并将攻击获取的相关信息系统源代码在国外黑客论坛RaidForums上进行出售。SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。该事件中大量单位因软件外包商使用存在漏洞的SonarQube源代码管理,黑客通过供应链攻击成功获取到部分单位系统的源代码,这使得相关单位的系统处于暴露之中。


安恒信息应急响应中心对该黑客组织进行了持续监控,截止到 2021 年 11 月 20 日,该黑客组织已对我国涉及我国超过20家重要单位发起攻击,并将窃取的源码在黑客论坛进行发布出售,该黑客组织发帖情况如下:

2021年活跃高危安全漏洞盘点


12月期间,知名java组件Apache Log4j 2爆出远程代码执行漏洞,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。因Apache Log4j 2作为基础日志组件在大量软件中广泛应应用,包括apache solr,apache druid,apache fink,apache dubbo,apache kafka,elasticsearch,apache DolphinScheduler等,导致这些直接或间接引用该组件的应用暴露在风险之中。安恒信息应急响应中心第一时间发布了Apache Log4j 2漏洞本地检测工具,可帮助用户一键识别本地Apache Log4j 2漏洞风险,工具使用过程如下:

2021年活跃高危安全漏洞盘点

安恒信息应急响应中心持续追踪Apache Log4j 2漏洞发展,并将该工具0.01版本迭代至0.06,在此期间该工具已累计支撑超过70家外部企业用户。




ACTIVE

盘点·活跃漏洞

▶▶▶

2021年活跃高危安全漏洞盘点

1.第一季度

2021年一季度(1月-3月),安恒信息应急响应中心公众号共发了13篇高危漏洞风险提示,其中6篇提供了漏洞验证截图,10篇提供了全球网络空间受影响资产测绘数据。年初,网络上爆发了incaseformat蠕虫病毒事件,出现多起用户感染incaseformat蠕虫病毒导致磁盘文件被大量删除,应急响应中心监测到该事件后,第一时间对恶意样本进行了分析,经分析样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log文件。安恒信息应急响应中心及时对截获的恶意样本进行了分析并发布预警,同时提供了EDR针对该病毒进行精准拦截和查杀。


3月期间,PHP官方披露PHP源码遭遇恶意提交代码导致PHP zlib库源码被植入后门,在此次供应链攻击事件中,恶意攻击者使用了合法用户正常提交代码的方式植入了后门代码,在被发现删除后,攻击者又进行了二次植入,安恒信息应急响应中心在监测到该事件后第一时间发布预警和提供了可靠的排查方案。


漏洞方面,一季度验证可利用的漏洞主要包括:

JumpServer远程命令执行漏洞,因JumpServer某些API接口存在未授权访问漏洞,恶意攻击者可利用该API接口获取日志中敏感信息,并进一步实现远程命令执行效果,从而获得目标系统管理权限。

安恒信息应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,一季度发布的其他漏洞预警还包括:

2021年活跃高危安全漏洞盘点


2021年活跃高危安全漏洞盘点

2. 第二季度

2021年二季度(4月-6月),安恒信息应急响应中心公众号共发了15篇高危漏洞风险提示,其中3篇提供了漏洞验证截图,9篇提供了全球网络空间受影响资产测绘数据。4月,安恒信息应急响应中心监测到大量Glupteba恶意代理木马从s0ft4pc[.]com站点传出,经分析发现该网站所下载的安装包均为NSIS打包制作的恶意安装包,且存在伪造的数字签名证书,相关安装包中同时存在名为 winamp.7z 的Glupteba组织代理程序。安恒信息应急响应中心对安装包提取进行分析,执行流程图如下:

2021年活跃高危安全漏洞盘点

Glupteba擅长对软件下载站点进行投毒且受害者中招后会进行横向传播,当用户使用了非官方渠道下载精心打包的恶意程序,可能会中招此类攻击。


漏洞方面,二季度验证可利用的漏洞主要包括:

用友NC任意命令执行漏洞,该漏洞影响用友NC6.5版本,在无需登录系统的情况下,攻击者可通过BeanShell测试接口直接执行任意命令,恶意攻击者成功利用该漏洞可获得目标系统管理权限。

SonicWall NSM命令注入漏洞,NSM On-Prem 2.2.0-R10以及之前的版本,恶意攻击者可以通过构建特殊的请求包,利用测试连通性接口进行任意命令执行。


安恒信息应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,二季度发布的其他漏洞预警还包括:

2021年活跃高危安全漏洞盘点


2021年活跃高危安全漏洞盘点


3.第三季度

2021年三季度(7月-9月),安恒信息应急响应中心公众号共发了23篇高危漏洞风险提示,其中3篇提供了漏洞验证截图,11篇提供了全球网络空间受影响资产测绘数据。7月,安恒信息应急响应中心监测到Revil(Sodinokibi)勒索病毒出现linux平台新变种。该团队以大胆攻击和天文数字的赎金而闻名。Sodinokibi组织有时被称为“双重威胁”,因为他们能够使用勒索软件进行有针对性的攻击,同时泄露受害者的数据。经分析该样本以ESXi服务器为目标。该病毒本身不具备横向传播能力,威胁参与者使用远程端口爆破或钓鱼方式进行投毒。

生成勒索信内容如下:

2021年活跃高危安全漏洞盘点


7月,安恒信息应急响应中心监测到以新冠疫苗接种通知为诱饵的Cobalt Strike木马活动。


8月,安恒信息应急响应监测到BlackMatter勒索病毒活动行为,经安恒信息西安安全运营能力中心、分子实验室联合分析,该病毒具备横向传播能力,传播恶意软件到域控服务器,并采用HTTP+AES进行通信,RSA+salsa20进行文件加密。


BlackMatter勒索病毒样本执行流程图如下:

2021年活跃高危安全漏洞盘点

该勒索病毒会对被感染主机文件进行加密,并在每个被加密文件的末尾添加132字节的blob(前4字节用于判断文件是否已被加密,后128字节为RSA公钥加密后的salsa20密钥流):

2021年活跃高危安全漏洞盘点

当病毒运行时,密钥流只生成一次以加密所有文件,如果要恢复文件,必须在病毒感染第一时间进行内存取证,当病毒进程没有完全结束时,仍然可以从内存中扫描获得密钥信息。目前RSA私钥尚未公开,无法制作通用解密器。


漏洞方面,三季度验证可利用的漏洞主要包括:

Yapi远程代码执行漏洞,YApi是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台,因默认安装的YApi平台未限制注册功能,攻击者可注册平台帐号,通过后台创建自定义的MOCK脚本,实现在目标服务器上执行任意代码。安恒信息应急响应中心对其漏洞的验证效果如下图:

2021年活跃高危安全漏洞盘点

XStream多个反序列化漏洞,XStream官方修复了XStream <= 1.4.17版本下多处反序列化漏洞,攻击者可以构造特定XML,绕过XStream的黑名单限制,触发反序列化,可能导致远程代码执行。安恒信息应急响应中心对其中部分漏洞的验证效果如下图:

2021年活跃高危安全漏洞盘点

Atlassian Confluence远程代码执行漏洞,Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。Atlassian Confluence部分版本存在一个OGNL表达式注入漏洞,该漏洞允许未经身份验证的攻击者构造恶意请求注入OGNL表达式,从而在服务器上执行任意代码,可导致服务器被攻击者控制。安恒信息应急响应中心对其漏洞的验证效果如下图:

2021年活跃高危安全漏洞盘点

安恒信息应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,三季度发布的其他漏洞预警还包括:

2021年活跃高危安全漏洞盘点


2021年活跃高危安全漏洞盘点


4.第四季度

2021年四季度(10月-12月),安恒信息应急响应中心公众号共发了20篇高危漏洞风险提示,其中9篇提供了漏洞验证截图,8篇提供了全球网络空间受影响资产测绘数据。11月,黑客组织利用SonarQube软件的漏洞,对我国多个企业发起攻击,窃取了我金融、医疗等重要领域信息系统源代码数据,并在境外互联网进行非法售卖。该漏洞是由于SnoarQube系统配置不当,导致平台项目暴露在公网当中,攻击者利用该漏洞在未授权的情况下访问公网API接口,使用系统默认配置口令进入平台,下载源代码文件,获取系统敏感信息。


黑客组织发帖出售疑似我国某银行系统源代码:

2021年活跃高危安全漏洞盘点

该事件主要因SonarQube未授权访问漏洞或SonarQube默认口令/弱口令等问题导致。


12月,知名java组件Apache Log4j 2爆出远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。因Apache Log4j 2应用广泛,该漏洞实际危害极大。经SUMAP(全球资产测绘)受影响较大组件,包括 apache solr,apache druid,apache fink,apache dubbo,apache kafka,elasticsearch,apache DolphinScheduler组件等近半年全球测绘统计数据进行分析,累计全球可能受影响资产多达414,384个,国内203,381个。

全球分布如下:

2021年活跃高危安全漏洞盘点

国内受影响分布如下:

2021年活跃高危安全漏洞盘点

安恒信息应急响应中心对该组件安全态势进行了持续追踪,连续发布多次安全预警。同时安恒信息相关安全产品也第一时间支持了该漏洞的检测与防护。安恒信息应急响应中心在对该漏洞的持续监测中发现,Muhstik僵尸网络已武器化Apache Log4j 2 远程代码执行漏洞用于僵尸网络攻击。相关样本执行流程如下:

2021年活跃高危安全漏洞盘点

安恒信息应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,四季度发布的其他漏洞还包括:

2021年活跃高危安全漏洞盘点





PROPOSE

盘点·安全建议

▶▶▶

2021年活跃高危安全漏洞盘点


1.漏洞缓解

2021年安恒信息应急响应中心主要提供高危以上级别的安全漏洞和高级攻击事件风险预警,发布风险提示时,优先推荐涉及漏洞产品官方提供的安全更新补丁、漏洞已经修复的新版本,官方提供的临时缓解措施、具体影响的版本范围等,最后才是安恒信息应急响应中心和SUMAP(全球资产测绘)结果匹配影响区域范围和临时缓解措施,这些措施包括安全加固配置、推荐的安全产品部署等多种灵活的安全加固方案,最小程度减少用户在缓解安全漏洞的同时对系统正常运行的影响。


安恒信息应急响应中心建议用户根据漏洞实际可利用指数,以及对业务的具体影响实施安全加固的措施参考如下:

2021年活跃高危安全漏洞盘点

安恒应急响应中心还提供常态化的缓解建议,主要是安全开发生命周期建议、安全运营、反入侵威胁防御能力建设等,同时还提供必要的远程和现场应急响应支持,帮助用户第一时间解决紧迫的网络攻击事件和溯源反制、分析和应对APT级别的高级威胁。

2021年活跃高危安全漏洞盘点

关于我们

安恒信息应急响应中心是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞和安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。第一时间通过多渠道对客户进行安全预警通知,并向国家有关部门通报,同时在有关部门的指导下,对影响面极广的漏洞对外发布安全预警和应急措施建议,为安全中国,营造健康、安全的数字化经济环境助力。




原文始发于微信公众号(安恒信息应急响应中心):2021年活跃高危安全漏洞盘点

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月25日17:46:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2021年活跃高危安全漏洞盘点http://cn-sec.com/archives/752851.html

发表评论

匿名网友 填写信息