天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示 安全漏洞

天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示

0x00背景介绍5月26日,天融信阿尔法实验室监测到VMware官方发布漏洞通告,公布了VMware vCenter Server远程代码执行漏洞,编号为CVE-2021-21985。0x01漏洞描述由于Virtual SAN Health Check运行状况检查插件中缺少输入验证,导致vSphere Client(HTML5)存在远程执行代码漏洞,该插件在vCenter Server中已默认启用,能通过443端口访问到vSphere Client(HTML5)的攻击者,可以构造特殊的请求包在目标机器上执行任意代码。0x02漏洞编号CVE-2021-219850x03漏洞等级严重0x04受影响版本VMware:vCenter Server:非7.0 U2b版本的7.0版本非6.7 U3n版本的6.7版本非6.5 U3p版本的6.5版本VMware:Cloud Foundation:低于4.2.1版本的4.x版本低于3.10.2.1版本的3.x版本0x05修复建议VMware官方已发布安全版本建议用户更新至安全版本,链接如下VMware:vCenter Server:7.0 U2b版本:https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u2b-release-notes.html6.7 U3n版本:https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3n-release-notes.html6.5 U3p版本:https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3p-release-notes.htmlVMware:Cloud Foundation:4.2.1版本:https://docs.vmware.com/en/VMware-Cloud-Foundation/4.2.1/rn/VMware-Cloud-Foundation-421-Release-Notes.html3.10.2.1版本:https://docs.vmware.com/en/VMware-Cloud-Foundation/3.10.2/rn/VMware-Cloud-Foundation-3102-Release-Notes.html#3.10.2.10x06临时修复建议禁用vCenter Server插件,具体操作步骤详见如下链接:https://kb.vmware.com/s/article/838290x07支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x08声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示
阅读全文
天融信关于Apache Druid 远程代码执行漏洞风险提示 安全漏洞

天融信关于Apache Druid 远程代码执行漏洞风险提示

0x00背景介绍3月30日,天融信阿尔法实验室监测到Apache Druid官方发布安全更新,修复了编号为CVE-2021-26919的远程代码执行漏洞。该漏洞危害较大,Apache Druid官方建议用户尽快更新至安全版本。0x01漏洞描述Apache Druid 默认配置下缺乏授权认证,攻击者可以通过构造恶意请求,从而在服务器上执行任意代码,进而控制服务器。0x02漏洞编号CVE-2021-269190x03漏洞等级高危0x04受影响版本Apache Druid < 0.20.20x05修复建议Apache Druid官方已更新安全版本,建议用户更新至安全版本,下载链接如下https://github.com/apache/druid/releases/tag/druid-0.20.20x06支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x07声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):天融信关于Apache Druid 远程代码执行漏洞风险提示
阅读全文
【风险提示】天融信关于SaltStack多个高危漏洞风险提示 安全漏洞

【风险提示】天融信关于SaltStack多个高危漏洞风险提示

0x00背景介绍2月26日,天融信阿尔法实验室监测到SaltStack官方发布安全更新,修复了共计9个漏洞。其中CVE-2021-25281,和CVE-2021-25283评分高于8分。0x01漏洞描述CVE-2021-25281SaltAPI未校验wheel_async客户端的eauth凭据。因此,攻击者可以远程运行主机上的任何wheel模块。 CVE-2021-25283内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。0x02漏洞编号CVE-2021-25281CVE-2021-252830x03漏洞等级高危0x04受影响版本SaltStack < 3002.5SaltStack < 3001.6SaltStack < 3000.80x05修复建议官方已经发布安全版本,建议用户更新至安全版本升级到- SaltStack:3002.5/3001.6/3000.8官方下载地址 https://repo.saltstack.com0x06支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x07声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于SaltStack多个高危漏洞风险提示
阅读全文
【风险提示】天融信关于GitLab远程代码执行漏洞风险提示 安全漏洞

【风险提示】天融信关于GitLab远程代码执行漏洞风险提示

0x00背景介绍3月18日,天融信阿尔法实验室监测到GitLab官方发布了安全公告,修复了一处远程代码执行漏洞,攻击者可构造恶意请求在Gitlab服务器上执行任意代码,控制服务器。0x01漏洞描述GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。该漏洞影响了从13.2开始的所有版本,允许经过身份验证但未经授权的用户在服务器上执行任意代码,漏洞危害较大,天融信官方建议用户尽快更新至安全版本。0x02漏洞编号无0x03漏洞等级高危0x04受影响版本GitLab:< 13.9.4GitLab:< 13.8.6GitLab:< 13.7.90x05漏洞影响范围天融信安全云服务运营中心通过风险探知系统对我国境内部署GitLab系统的主机进行统计,结果显示我国境内部署GitLab系统的主机约有12426台。按区域统计来看,排名前三的省份是浙江省4156台、北京市2623台、广东省2201台。下图为中国范围内使用GitLab系统的主机分布情况:图1、国内分布图下图为使用GitLab系统的主机的国内运营商排名:图2、国内运营商排名前十0x06修复建议GitLab官方已发布最新版本建议用户进行更新,更新地址如下。https://about.gitlab.com/update/0x07支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x08声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于GitLab远程代码执行漏洞风险提示
阅读全文
【风险提示】天融信关于微软3月补丁日多个产品高危漏洞风险提示 安全漏洞

【风险提示】天融信关于微软3月补丁日多个产品高危漏洞风险提示

0x00背景介绍3月10日,天融信阿尔法实验室监测到微软发布3月份安全更新通告,此次更新中修复的漏洞共计89个,其中严重漏洞14个,高危漏洞75个,影响众多组件,如Windows操作系统、Azure、IE和Edge、Exchange Server、Office、SharePoint Server,Visual Studio,和Hyper-V,微软官方建议用户进行更新修复。0x01漏洞描述编号描述影响组件CVE-2021-26411该类漏洞可在用户使用浏览器访问互联网页面时触发,远程攻击者能取得计算机控制权限。IECVE-2021-26897Server因开放的特性易于受到攻击,可以通过蠕虫的形式在网络空间中进行传播,攻击者可以通过该漏洞获取目标主机控制权限。Windows DNS ServerCVE-2021-26867攻击者可以通过该漏洞获取目标主机控制权限,但漏洞仅影响Plan-9平台的 Hyper-V虚拟化服务。Windows Hyper-VCVE-2021-27076该漏洞可用于攻击通过SharePoint创建的站点,但是需要通过SharePoint Server的身份校验。SharePointCVE-2021-26855CVE-2021-26857CVE-2021-27065CVE-2021-26858以上影响Exchange Server此前均以进行披露,POC已公开且存在再野利用,危害极大,建议用户尽快进行更新。Exchange Server0x02漏洞编号CVE-2021-1640CVE-2021-24089CVE-2021-24104CVE-2021-24107CVE-2021-24108CVE-2021-24110CVE-2021-26411CVE-2021-26855CVE-2021-26857CVE-2021-26858CVE-2021-26859CVE-2021-26867CVE-2021-26869CVE-2021-26877CVE-2021-26884CVE-2021-26887CVE-2021-26893CVE-2021-26894CVE-2021-26895CVE-2021-26896CVE-2021-26897CVE-2021-26902CVE-2021-27047CVE-2021-27048CVE-2021-27049CVE-2021-27050CVE-2021-27051CVE-2021-27052CVE-2021-27054CVE-2021-27055CVE-2021-27056CVE-2021-27057CVE-2021-27058CVE-2021-27059CVE-2021-27061CVE-2021-27062CVE-2021-27063CVE-2021-27065CVE-2021-27067CVE-2021-27074CVE-2021-27075CVE-2021-27076CVE-2021-27080CVE-2021-270820x03修复建议Windows自动更新Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:1、点击“开始菜单”或按Windows快捷键,点击进入“设置”2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)3、选择“检查更新”,等待系统将自动检查并下载可用更新4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。手动安装补丁另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的3月补丁并安装:https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar0x03支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x04声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于微软3月补丁日多个产品高危漏洞风险提示
阅读全文
天融信关于Incaseformat 蠕虫技术分析报告及防御方案 安全漏洞

天融信关于Incaseformat 蠕虫技术分析报告及防御方案

0x00背景介绍1月13日,天融信阿尔法实验室及威胁情报运营中心监测到:国内众多Windows系统用户遭遇文件被病毒删除现象,通过天融信威胁情报平台综合分析后,鉴定该事件为感染蠕虫病毒Incaseformat所致,该蠕虫病毒在感染主机后会删除所有非系统分区文件,危害性极大。Incaseformat蠕虫病毒由于配置错误导致爆发的时间为“2021年01月13日”,该蠕虫病毒主要通过U盘感染传播,一旦执行会对系统磁盘外的其他磁盘数据文件进行删除,且预计后续会多次爆发,建议用户提前防御,避免数据丢失。0x01样本分析1.样本说明2.技术分析1)该病毒为delphi的窗口程序,并在窗口回调中有几个Timer回调函数来执行程序的主逻辑,以下为4个定时器:2)主窗口回调中,首先将自身拷贝为C:windowstsay.exe,并设置注册表自启动,然后将自身拷贝为C:windowsttry.exe并直接启动: 3)Timer1定时器回调函数,判断当前磁盘类型并遍历文件4)Timer2定时器回调函数,主要功能为解码当前时间,与代码中配置的时间进行对比,如果条件符合,则执行文件删除操作:因为代码配置错误,导致“2021年01月13日”被解码为 “2010年4月1日”,符合配置的首次爆发时间,因此导致蠕虫爆发,才有了所谓的“潜伏10年”。以下为解码时间中的配置错误:需要注意的是,蠕虫后续的爆发时间,因为时间解码配置错误的原因,并不遵从“4月份及以后且每月1/10/21/29日”的规律。以下为遍历文件、目录并删除的代码:5)Timer3定时器回调函数,主要功能为注册表操作,设置文件隐藏属性:6)Timer4定时器回调函数,主要功能为创建incaseformat.log文件3.爆发日期计算方法以上函数中:a2为从1900年1月1日到当前日期的天数,如果0x450180位置的全局变量配置正确,以上红框部分执行结束后,变量date与a2理应相同。红框之后,a2+693594即为当前日期。0x450180位置变量的正确值为0x5265C00,实际值为0x5A75CC4,偏差系数为:0x5A75CC4/0x5265C00=1.0978511574074075。因此,已知配置的首次爆发时间为2010年4月1日,则实际的爆发日期计算过程如下:1.2010年4月1日距离1900年1月1日的总天数为:40267天2.40267天* 系数1.0978511574074075 = 44207天3.1900年1月1日 + 44207天 = 2021年1月13日同理可计算后续爆发日期:0x02安全排查办法天融信阿尔法实验室和威胁情报运营中心建议相关用户提高警惕,及时进行安全排查,手工排查和数据恢复方法如下:1、手动排查方法排查主机Windows目录下是否含tsay.exe,若存在删除该文件;排查注册表是否存在HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa,键值为C:windowstsay.exe,若存在删除msfsa注册表项。且在删除该文件和注册表项前切勿重启计算机。2、数据恢复方法勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。0x03天融信解决方案1、天融信威胁情报平台检测方案目前,天融信威胁情报平台中沙箱已支持自动识别和鉴定该样本。天融信威胁情报平台结合多年漏洞挖掘和威胁情报数据的采集、处理、分析等经验,以分析报告及情报知识的方式向客户提供威胁预警和威胁分析报告。天融信威胁情报运营中心将7×24小时为相关客户提供病毒预警和修复建议服务。2、天融信EDR防护方案天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。0x04支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x05声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):天融信关于Incaseformat 蠕虫技术分析报告及防御方案
阅读全文
【风险提示】天融信关于致远OA文件上传漏洞风险提示 安全漏洞

【风险提示】天融信关于致远OA文件上传漏洞风险提示

0x00背景介绍1月8日,天融信阿尔法实验室监测到致远OA官方发布了相关安全补丁,修复了程序中某些接口存在未授权访问,攻击者能够通过这些接口上传恶意脚本文件的漏洞。0x01漏洞描述由于致远OA旧版本某些接口能被未授权访问,程序中部分函数存在过滤不严,导致攻击者可以通过构造恶意请求,通过这些接口上传恶意文件,从而实现对服务器进行接管。天融信官方建议受影响的用户,尽快进行升级。0x02漏洞编号无0x03漏洞等级高危0x04受影响版本致远OA:V8.0V7.1,V7.1SP1V7.0,V7.0SP1,V7.0SP2,V7.0SP3V6.0,V6.1SP1,V6.1SP2V5.x0x05修复建议致远OA官方已经发布相关安全补丁,建议用户下载并更新,补丁下载地址如下http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=10x06支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x07声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于致远OA文件上传漏洞风险提示
阅读全文
【风险提示】天融信关于TCP/IP协议库漏洞AMNESIA:33风险提示 安全漏洞

【风险提示】天融信关于TCP/IP协议库漏洞AMNESIA:33风险提示

0x00背景介绍12月10日,天融信阿尔法实验室监测到Forescout研究实验室披露了picoTCP、uIP、FNET与Nut/Net四个开源TCP/IP协议栈共计33个漏洞,这33个协议栈漏洞被命名为AMNESIA:33。据估计,有数百万个消费级和工业级设备受到本次漏洞的影响,其中包括:智能手机、传感器、打印机、路由器、交换机等设备。0x01漏洞描述Forescout表示:成功的利用这批漏洞将导致远程代码执行、拒绝服务、信息泄漏、DNS缓存中毒攻击等危害。在这33个漏洞中,影响严重且可以造成远程代码执行漏洞分别是:CVE-2020-25111:程序在处理DNS响应资源记录的名称字段期间发生堆缓冲区溢出,攻击者可以将任意数量的字节写入分配的缓冲区来破坏相邻内存。CVE-2020-24338:解析域名的功能缺少边界检查,攻击者可以通过构造的DNS数据包破坏内存。CVE-2020-24336:用于处理通过NAT64发送的DNS响应数据包中DNS记录的功能代码没有正确验证响应记录的长度字段,从而使得攻击者可以对内存进行破坏。CVE-2020-25112:程序对IPv4/IPv6头长度检查不足,从而使得攻击者可以对内存进行破坏。0x02漏洞等级高危0x03受影响版本uIP 1.0picoTCP 1.7.0、picoTCP-NG2.0.0FNET 4.6.3Nut/Net 5.10x04修复建议目前PicoTCP-NG、FNET与Nut/Net项目已经针对漏洞发布了补丁,但uIP与PicoTCP项目尚未发布补丁。建议受以上漏洞影响的客户前往官网下载相关补丁进行修复https://github.com/tass-belgium/picotcphttps://sourceforge.net/projects/fnet/https://sourceforge.net/projects/ethernut/如果无法及时升级补丁,或使用的协议栈暂无补丁,建议采取如下缓解措施以保护网络免受AMNESIA:33漏洞的影响:在不需要时,请禁用或阻止IPv6流量。将设备配置为尽可能依赖内部DNS服务器,并密切监视外部DNS流量。监视所有网络流量以获取格式错误的数据包(例如,字段长度不一致或校验和失败)并阻止异常和格式错误的IP流量。0x05支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x06声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于TCP/IP协议库漏洞AMNESIA:33风险提示
阅读全文
【风险提示】天融信关于微软12月安全更新多个高危漏洞风险提示 安全新闻

【风险提示】天融信关于微软12月安全更新多个高危漏洞风险提示

0x00背景介绍12月9日,天融信阿尔法实验室监测到微软官方发布了12月份安全更新通告,此次安全更新修复了58个漏洞, 主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、Office办公套件、Exchange Server、Azure、Visual Studio 。其中包括 9 个严重漏洞, 46 个高危漏洞。0x01漏洞描述CVE-2020-17096:Windows NTFS远程执行代码漏洞组件介绍:NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。       漏洞描述:该漏洞是NTFS的内存错误漏洞,当NTFS对目录句柄执行无效的请求时,NTFS在处理完成时将会发生内存错误,从而造成内存泄露。本地攻击者可以运行特制的应用程序,从而提高攻击者的特权;经过身份验证的远程攻击者可以以SMBv2为媒介通过网络发送特殊设计的请求,利用此漏洞在目标系统上执行代码。完整的漏洞列表CVE编号漏洞名称新版可利用性历史版本可利用性公开状态导致结果CVE-2020-17142Microsoft  Exchange 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17118Microsoft  SharePoint 远程代码执行漏洞易利用易利用未公开远程代码执行CVE-2020-17131Chakra脚本引擎内存损坏漏洞可利用可利用未公开内存破坏CVE-2020-17121Microsoft  SharePoint 远程代码执行漏洞易利用易利用未公开远程代码执行CVE-2020-17095Hyper-V 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17132Microsoft  Exchange 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17152Microsoft  Dynamics 365 for Finance and Operations(本地)远程代码执行漏洞易利用易利用未公开远程代码执行CVE-2020-17158Microsoft  Dynamics 365 for Finance and Operations(本地)远程代码执行漏洞易利用易利用未公开远程代码执行CVE-2020-17117Microsoft  Exchange 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-16996Kerberos 安全功能绕过漏洞可利用可利用未公开权限提升CVE-2020-17134Windows  Cloud Files Mini Filter Driver 特权提升漏洞可利用可利用未公开权限提升CVE-2020-17002Azure SDK  for C 安全功能绕过漏洞可利用可利用未公开功能绕过CVE-2020-17122Microsoft  Excel 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17097Windows  Digital Media Receiver 特权提升漏洞可利用可利用未公开权限提升CVE-2020-16971Azure SDK  for Java 安全功能绕过漏洞可利用可利用未公开功能绕过CVE-2020-17148Visual  Studio Code Remote Development 扩展程序远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-16962Windows 备份引擎特权提升漏洞可利用可利用未公开远程代码执行CVE-2020-17129Microsoft  Excel 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17144Microsoft  Excel 远程代码执行漏洞易利用易利用未公开远程代码执行CVE-2020-17159Visual  Studio Code Java 扩展程序包远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17145Azure DevOps  Server 和 Team Foundation Services 欺骗漏洞可利用可利用未公开欺骗攻击CVE-2020-17139Windows 覆盖筛选器安全功能绕过漏洞可利用可利用未公开功能绕过CVE-2020-17134Windows  Cloud Files Mini Filter Driver 特权提升漏洞可利用可利用未公开权限提升CVE-2020-17002Azure SDK  for C 安全功能绕过漏洞可利用可利用未公开功能绕过CVE-2020-17122Microsoft  Excel 远程代码执行漏洞可利用可利用未公开远程代码执行CVE-2020-17097Windows  Digital Media Receiver 特权提升漏洞可利用可利用未公开远程代码执行CVE-2020-16971Azure...
阅读全文
【风险提示】天融信关于微软多个高危漏洞风险提示 安全漏洞

【风险提示】天融信关于微软多个高危漏洞风险提示

0x00背景介绍11月11日,天融信阿尔法实验室监测到微软官方发布了11月份安全更新通告,此次安全更新修复了112个漏洞,其中包含一个在野利用的漏洞和10个被微软标记为Exploitation More Likely的漏洞,涵盖了Azure Sphere、Microsoft Dynamics、Microsoft Exchange Server、Microsoft Office、Microsoft Office SharePoint等众多组件和软件。0x01漏洞描述在野利用漏洞CVE-2020-17087:Windows内核本地特权提升漏洞攻击者成功利用此漏洞可能造成本地提权(沙箱逃逸),影响Win7以上系统版本。该漏洞被发现和另一个Chrome漏洞CVE-2020-15999一起使用,目前POC已公开。Exploitation More Likely漏洞CVE-2020-17088: Windows通用日志文件系统驱动程序特权提升漏洞CVE-2020-17052: 脚本引擎内存损坏漏洞CVE-2020-17053: Internet Explorer内存损坏漏洞CVE-2020-17038: Win32k特权提升漏洞CVE-2020-17057: Windows Win32k特权提升漏洞CVE-2020-17010: Win32k特权提升漏洞CVE-2020-16998: DirectX特权提升漏洞CVE-2020-17061: Microsoft SharePoint远程执行代码漏洞该漏洞为Microsoft SharePoint的远程代码执行漏洞。由于Microsoft SharePoint对用户输入的验证不足,存在反序列化漏洞,导致用户可以输入一些精心构造的数据,造成内存破坏,从而造成远程代码执行。CVE-2020-17056: Windows网络文件系统信息泄露漏洞CVE-2020-17051: Windows网络文件系统远程执行代码漏洞攻击者可以通过漏洞利用链先泄露出用户的敏感信息,然后获取远程Microsoft Windows的权限,进而可以执行任意代码。NFS是一种文件共享解决方案,用户可以使用NFS协议在运行Windows Server和UNIX操作系统的计算机之间传输文件。完整的漏洞列表CVE编号漏洞名称影响类型严重程度CVE-2020-1325Azure DevOps Server and Team Foundation Services 欺骗漏洞欺骗高危CVE-2020-1599Windows 欺骗漏洞欺骗高危CVE-2020-16970Azure Sphere Unsigned 代码执行漏洞远程代码执行高危CVE-2020-16979Microsoft SharePoint 信息泄露漏洞篡改高危CVE-2020-16981Azure Sphere特权提升漏洞特权提升高危CVE-2020-16982Azure Sphere Unsigned 代码执行漏洞远程代码执行严重CVE-2020-16983Azure Sphere 篡改漏洞篡改高危CVE-2020-16984Azure Sphere Unsigned 代码执行漏洞远程代码执行高危CVE-2020-16985Azure Sphere 信息泄露漏洞信息泄露高危CVE-2020-16986Azure Sphere 拒绝服务漏洞拒绝服务高危CVE-2020-16987Azure Sphere Unsigned 代码执行漏洞远程代码执行高危CVE-2020-16988Azure Sphere特权提升漏洞特权提升严重CVE-2020-16989Azure Sphere特权提升漏洞特权提升高危CVE-2020-16990Azure Sphere 信息泄露漏洞信息泄露高危CVE-2020-16991Azure Sphere Unsigned 代码执行漏洞远程代码执行高危CVE-2020-16992Azure Sphere特权提升漏洞远程代码执行高危CVE-2020-16993Azure Sphere特权提升漏洞特权提升高危CVE-2020-16994Azure Sphere Unsigned 代码执行漏洞远程代码执行高危CVE-2020-16996Kerberos 安全功能绕过漏洞安全功能绕过高危CVE-2020-16997远程Desktop Protocol Server 信息泄露漏洞信息泄露高危CVE-2020-16998DirectX特权提升漏洞特权提升高危CVE-2020-16999Windows WalletService 信息泄露漏洞信息泄露高危CVE-2020-17000远程Desktop Protocol Client 信息泄露漏洞信息泄露高危CVE-2020-17001Windows Print Spooler特权提升漏洞特权提升高危CVE-2020-17004Windows Graphics Component 信息泄露漏洞信息泄露高危CVE-2020-17005Microsoft Dynamics 365 (on-premises) 跨站点脚本漏洞欺骗高危CVE-2020-17006Microsoft Dynamics 365 (on-premises) 跨站点脚本漏洞欺骗高危CVE-2020-17007Windows Error Reporting特权提升漏洞特权提升高危CVE-2020-17010Win32k特权提升漏洞特权提升高危CVE-2020-17011Windows Port Class Library特权提升漏洞特权提升高危CVE-2020-17012Windows Bind Filter Driver特权提升漏洞特权提升高危CVE-2020-17013Win32k...
阅读全文
【风险提示】天融信关于VMware ESXi高危漏洞风险提示 安全新闻

【风险提示】天融信关于VMware ESXi高危漏洞风险提示

0x00背景介绍2020年10月27日,天融信阿尔法实验室监测到VMware官方于北美时间2020年10月20日公布旗下产品VMware ESXi的任意代码执行漏洞(CNNVD-202010-966、CVE-2020-3992),天融信提醒相关用户及时进行补丁升级。0x01漏洞描述VMware ESXi是美国威睿(VMware)公司的一套可直接安装在物理服务器上的服务器虚拟化平台,VMware ESXi存在一个远程代码执行的安全漏洞。该漏洞是由于ESXi宿主机上提供OpenSLP服务的427端口存在“use-after-free”漏洞,攻击者通过构造特殊的数据触发该漏洞后可以远程执行代码,获取服务器系统权限,最终控制目标服务器。本次漏洞对VMware ESXi 6.5、ESXi 6.7、ESXi 7.0、VMware Cloud Foundation (ESXi) 3.x、VMware Cloud Foundation (ESXi) 4.x造成影响。0x02修复建议VMware官方已发布升级补丁以修复漏洞,建议受影响用户尽快升级补丁,补丁获取链接:https://www.vmware.com/security/advisories/VMSA-2020-0023.html若相关用户暂时无法进行升级操作,也可通过在VMware ESXi上禁用CIM服务器进行临时缓解,操作步骤请参考官方文档:https://kb.vmware.com/s/article/763720x03支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x04声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于VMware ESXi高危漏洞风险提示
阅读全文
HW漏洞总结 安全文章

HW漏洞总结

2020年hw行动终于结束,朋友圈感觉是在过年,到处是倒计时和庆祝声。看来防守方们7*24小时的看监控还是比较无奈的。期间漏洞层出不穷,大家想知道都有哪些漏洞在hw期间出现过,接下来我们一起看看吧。 漏洞名称:1.齐治堡垒机前远程命令执行漏洞(CNVD-2019-20835)2.天融信TopApp-LB 负载均衡系统Sql注入漏洞3.用友GRP-u8 注入4.绿盟UTS综合威胁探针管理员任意登录5.天融信数据防泄漏系统越权修改管理员密码6.WPS Office 图片解析错误导致堆损坏,任意代码执行7.SANGFOR终端检测响应平台-任意用户登录8.某信服EDR漏洞-包含payload9.sangfor EDR RCE漏洞10.联软科技产品存在任意文件上传和命令执行漏洞11.泛微OA Bsh 远程代码执行漏洞12.泛微OA e-cology SQL注入漏洞13.深信服VPN远程代码执行14.深信服 VPN 口令爆破15.常见边界产品(防火墙, 网关, 路由器, VPN) 弱口令漏洞16.Thinkphp 相关漏洞17.Spring 系列漏洞Solr 系列漏洞18.Ghostscript 上传图片代码执行19.泛微云桥复现20.网瑞达webVPN RCE漏洞21.Apache DolphinScheduler高危漏洞(CVE-2020-11974、CVE-2020-13922)22.宝塔面板phpMyadmin未授权访问23.CVE-2020-16875: Exchange Server 远程代码执行漏洞24.PhpStudy nginx解析漏洞25.Apache Cocoon XML注入 26.Horde Groupware Webmail Edition 远程命令执行27.通达OA任意用户登录28.通达OA v11.7 后台SQL注入29.Wordpress File-manager插件任意文件上传30.Pligg CMS远程代码执行31.ZeroLogon接管域控权限漏洞32.ThinkAdminV6 任意文件操作33.CVE-2020-1181:SharePoint远程代码执行34.深信服SSL VPN任意密码重置35.深信服SSL VPN修改任意账户手机号36.通达OA v11.6版本RCE漏洞37.F5负载均衡:cve-2020-590238.fastadmin前台getshell+csrf+xss 以上漏洞参考各位大佬的博客、公众号整理所得。来源:网络关于我们:北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日,是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命,依据风险评估模型和等级保护标准,采用大数据等技术手段,开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构,系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京,走向全国,始终坚持“换位、细节、感恩”的核心价值观,以“共赢、共享、共成长”的经营理念为出发点,集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才,致力于成为您身边的网络安全专家。 关注路劲科技,关注网络安全!公司:北京路劲科技有限公司地址:北京市昌平区南邵镇双营西路78号院2号楼5层504PS:如果觉得本篇文章对您有所帮助,欢迎关注!帮忙点个赞,转发一下 分享出去吧! 本文始发于微信公众号(LSCteam):HW漏洞总结
阅读全文