高危漏洞隐患排查整改加固专项
命令执行类
Apache Log4j 2 远程代码执行漏洞
漏洞描述
Apache Log4j 2 是一个基于Java的日志记录组件。该组件 是 Log4j 的升级版本,它重写了 Log4j 框架,并且引入了大量丰富的特性。开发人员可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被广泛应用于业务系统开发,用来记录程序输入输出日志信息。
由于 Log4j2 组件在处理程序日志记录时存在 JNDI 注入缺陷,未经授权的攻击者利用 Log4j2 提供的 lookup 功能通过一些协议去读取相应环境中的配置。但在实现的过程中,组件并未对输入进行严格的判断。攻击者可向目标服务器发送精心构造的恶意数据,触发 Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
Apache Log4j 2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。
同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。
修复方案
-
• 排查应用是否引入了 Apache Log4j 2 Jar包,若存在依赖引入,则可能存在漏洞影响。
-
• 尽快升级 Apache Log4j 2 所有相关应用到最新的 Apache Log4j 2.17.2(适用于 Java 8)、Apache Log4j 2.12.4(适用于 Java 7)、Apache Log4j 2.3.2(适用于 Java 6):
Apache Log4j 2[1]
注:防止升级过程出现意外,建议相关用户在备份数据后再进行操作。
Apache Shiro 反序列化命令执行漏洞
漏洞描述
Apache Shiro 是一款开源Java安全框架,提供身份验证、授权、密码学和会话管理。Shiro 框架直观、易用,同时也能提供健壮的安全性。
Apache Shiro 1.2.4 及以前版本中,加密的用户信息序列化后存储在名为 remember-me 的 Cookie 中。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。攻击者可以使用 Shiro 的默认密钥伪造用户 Cookie,触发 Java 反序列化漏洞,进而在目标机器上执行任意命令。
修复方案
-
• Apache Shiro 升级到最新版本。
Apache Shiro[2]
-
• 现在使用的rememberMe的AES加密密钥泄露,请自己base64一个AES的密钥,或者利用官方提供的方法生成密钥。
org.apache.shiro.crypto.AbstractSymmetricCipherService #generateNewKey()
Apache Struts 2 反序列化命令执行漏洞
漏洞描述
Apache Struts 是一个免费的开源 MVC 框架,用于创建优雅的现代 Java Web 应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持 REST、AJAX 和 JSON 的插件。
Apache Struts 2 由 Struts 1 升级得名,而其中却是采用 Webwork 2 作为其代码基础,完全摒弃 Struts 1 的设计思想及代码,并以 xwork 作为底层实现的核心,以 OGNL 作为浏览器与 Java 对象数据流转沟通的语言,实现不同形式数据之间的转换与通信。
Apache Struts 2 在处理Content-Type时如果获得未期预的值的话,将会爆出一个异常,在此异常的处理中可能会造成RCE。同时,Apache Struts 2 在使用基于Jakarta Multipart解析器来处理文件上传时,可能会造成RCE。
如果开发人员使用 %{...}语法应用强制OGNL解析,某些特殊的TAG属性仍然可以执行双重解析。对不受信任的用户输入使用强制OGNL解析可能会导致远程代码执行。
修复方案
-
• Apache Struts 2 升级到最新版本。
Apache Struts 2[3]
-
• 避免使用 %{...}语法应用强制OGNL解析。
WebLogic 反序列化命令执行漏洞
漏洞描述
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。攻击者通过漏洞绕过Weblogic的反序列化黑名单,可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
修复方案
-
• Weblogic 升级到最新版本。
Critical Patch Updates, Security Alerts and Bulletins[4]
-
• 临时方案:如果不依赖T3协议进行JVM通信,禁用T3协议。
此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3 服务会默认开启。具体操作:
(1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
(2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。
(3)保存后需重新启动,规则方可生效。
Fastjson 反序列化命令执行漏洞
漏洞描述
Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。
在Fastjson 1.2.80及以下版本中存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。
fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
修复方案
-
• Fastjson 升级到最新版本。
FASTJSON 1.2.83版本发布(安全修复)[5]
fastjson 2.0.5发布[6]
-
• safeMode加固。
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
-
• noneautotype版本。
为了方便使用老版本用户兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一样,完全禁止autotype功能。使用noneautotype版本的用户也不受此次漏洞影响。
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/
Spring Framework 代码执行漏洞
漏洞描述
Spring Framework是一个支持快速开发 Java EE 应用程序的开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。
在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。
修复方案
-
• Spring Framework 升级到最新版本。
spring-framework[7]
spring-boot[8]
-
• 临时方案:WAF 防护。
在网络防护设备上,根据实际部署业务的流量情况,对 "class.module.**
" 字符串添加过滤规则,在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。
注意:其中流量特征 "class.module.*
" 对大小写不敏感。
JBOSS Application Server 反序列化命令执行漏洞
漏洞描述
JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
JBOSSApplication Server反序列化命令执行漏洞,远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
修复方案
-
• JBOSS 升级到最新版本。
-
• 临时方案
-
1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。
-
2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中:
<url-pattern>/*</url-pattern>
用于对 http invoker 组件进行访问控制。
亿邮电子邮件系统命令执行漏洞
漏洞描述
亿邮电子邮件系统是由北京亿中邮信息技术有限公司开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。亿邮电子邮件系统采用了自主研发MTA引擎、分布式文件系统存储方式、多对列机制、ECS存储子系统、Cache系统等多项核心技术,提供了丰富的邮件功能。
未经身份验证的攻击者可通过精心构造恶意请求,使用POST方法在目标服务器执行命令,获取目标服务器权限,控制目标服务器。
修复方案
-
• 亿邮电子邮件系统升级到最新版本。
亿邮电子邮件系统[9]
亿邮电子邮件系统信创版本及V8.13以后版本不受影响。
-
• 漏洞排查
在邮件系统服务器上执行如下命令:
ls /usr/local/eyou/mail/lib/php/monitor
(8.10.x及以后版本)
ls /usr/local/eyou/mail/app/lib/php/monitor
(8.10.x及以前版本)
如不了解具体版本号,上述两条命令可不分版本都执行一下。
如所有的验证命令都返回“No such file or directory
”或“没有那个文件或目录
”则证明不存在漏洞,反之则漏洞存在。
F5 BIG-IP 命令执行漏洞
漏洞描述
F5 BIG-IP 是美国 F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台
F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞中,未经身份验证的攻击者可通过iControl REST接口,构造恶意请求,执行任意系统命令。
修复方案
-
• F5 BIG-IP / BIG-IQ 升级到最新版本。
参考文章[10]
-
• 临时方案
-
1. 通过自身 IP 地址阻止 iControl REST 访问
-
2. 通过管理界面阻止 iControl REST 访问
-
3. 修改 BIG-IP httpd 配置
用友 NC 命令执行漏洞
漏洞描述
用友NC采用J2EE架构,面向大型企业集团和成长中的集团企业的信息化需求,为集团企业提供建模、开发、集成、运行、管理一体化的信息化解决方案。
NC产品是面向集团企业的世界级高端管理软件,市场占有率在同类产品中已经达到亚太第一,已在8000家集团企业中应用,国内用户涵盖大多数关键基础设施运营单位。用友NC综合利用最新的互联网技术、云计算技术、移动应用技术等,通过构建大企业私有云来全面满足集团企业管理、全产业链管控和电子商务运营,成为大型集团企业生产运营中必备的一环,其安全性至关重要,一旦攻击者成功攻破该系统,不仅可以获取企业集团财务人员相关信息和运行数据,极易造成公司重要信息泄露,给公司带来极其不良的社会影响和经济损失;而且还可以作为突破口,进一步向基础设施运营企业的生产运营网络渗透,严重危害基础设施网络的生产安全。
由于用友NC对外开放了BeanShell的测试接口,未经身份验证的攻击者利用该测试接口,通过向目标服务器发送恶意构造的Http请求,在目标系统上直接执行任意代码,从而获得目标服务器权限。
通过构造特殊的poc(验证性测试)URL访问测试接口,通过向目标服务器发送恶意构造的Http请求,在目标系统上直接执行任意代码,从而获得目标服务器权限。执行exec("ipconfig")
进行测试,测试成功漏洞存在。
漏洞poc:/servlet/~ic/bsh.servlet.BshServlet
修复方案
-
• 用友 NC 升级到最新版本。
泛微 OA 命令执行漏洞
漏洞描述
泛微OA办公系统存在远程命令执行漏洞,由于泛微办公系统的Java Beanshell接口可被未授权,攻击者通过调用该Beanshell接口,构造特定的HTTP请求绕过泛微本身一些安全限制造成远程命令执行,获取服务器完全控制权限。
访问路径:/weaver/bsh.servlet.BshServlet
修复方案
-
• 泛微 OA 升级到最新版本。
泛微ECOLOGY安全补丁包[11]
Apache Solr 反序列化命令执行漏洞
漏洞描述
Apache Solr 是一个采用Java语言开发的,高性能的,基于超文本传输协议(HTTP)和全文检索引擎工具包(Lucene)实现的企业级搜索应用服务器。
在Apache Solr 7.0.0 之前的版本中,由于ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器,并修改jmx.serviceUrl的属性,攻击者就可以通过ConfigAPI将其配置指向预先设置的恶意RMI/LDAP服务器,利用Solr的不安全反序列化来触发Solr端上的远程代码执行。
修复方案
-
• Apache Solr 升级到最新版本。
-
• 通过修改配置
disable.configEdit=true
,禁用Config API接口。 -
• 在网络层确保仅放行受信任的流量访问Solr服务器。
拓尔思-MAS 远程命令执行漏洞
漏洞描述
STRS MAS是基于移动互联网时代音视频的使用特点,推出的一套通用型媒资管理系统。
拓尔思-MAS V5 V6 存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞。
修复方案
-
• 拓尔思-MAS 升级到最新版本 MAS V6.1 rev 133841。
-
• 删除测试文件夹
/mas/sysinfo/
。 -
• 内置Apache Axis 升级到最新版本 MAS V6.1 rev 133841。
致远 OA 命令执行漏洞
漏洞描述
致远OA存在任意文件写入漏洞,攻击者可通过构造HTTP请求进行任意文件写入,通过利用漏洞攻击者可实现未授权的任意文件上传,最终可造成远程代码执行。
远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet
POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器。
另外:致远OA 登录框处存在Log4j2漏洞。
修复方案
-
• 致远 OA 升级到最新版本。
致远OA 官网[12]
-
• 临时方案
-
1. 配置URL访问控制策略;
-
2. 在公网部署的致远A8+服务器,通过ACL禁止外网对“
/seeyon/htmlofficeservlet
”路径的访问; -
3. 对OA服务器上的网站后门文件进行及时查杀。
内网加固类
口令类
弱口令类型
1.连续或重复的数字,如123123、123456、987654、111111、222333等;2.连续或重复的字母,如aaa、abc、abcdef、zyx等;3.键盘上常见的连续按键,如:1qaz@wsx、qwert、asdfghjkl;、!@#、147258369(数字键盘)等;4.日期或年份,如800128(生日)、2012、19251120等;5.与用户相关的名称信息,如newdoone(公司名称)、shaoyuanming(姓名全拼)、sym(姓名缩写)、oa(产品名称)、admin(用户名)、手机号等;6.具有特殊含义的字符串,如520、1314、woaini;7.其他常用的字符串:root、abc123!、administrator、test等。以上元素被许多人用来构成好记的口令,而攻击者也会使用上述素材相互组合来生成弱口令字典。如newdoone123(公司名称+连续数字)、abc!@#(连续字母+键盘按键)、asdf520(键盘按键+特殊含义字符)、shaoyuanming2012(用户名+年份)等,符合上述规律的都可以认为是弱口令。
弱口令防护
使用相对安全的口令,防止口令被穷举或字典法猜出,还应加强口令安全。主要措施如下:
(1)口令长度不小于8位,并应包含大写/小写字母,数字和特殊字符,并且不包含全部或部分的用户账号名;(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令;(3)不要在不同的系统上使用相同的口令;(4)定期或不定期地修改口令;(5)使用口令设置工具生成健壮的口令;(6)对用户设置的口令进行检测,及时发现弱口令;(7)限制某些网络服务的登录次数,防止远程猜测、字典法、穷举法等攻击。
另外还需加强员工安全意识培训,登录口令,如系统/管理后台等最好升级为双因子认证方式。
同口令防护
避免同口令往往是具有挑战性的,因为许多需要口令保护的网站和账户,要求口令具有复杂性,比如,要求用户每过一段时间更新口令。用户则为了方便记忆,只好在多个账户中使用重复的口令。有两种方法既可以避免同口令,又能确保用户的口令满足口令复杂性的要求:
第一种方法是使用口令管理器来记住每一个口令。口令管理器是可以使用于计算机,智能电话,或在云端的应用程序。它可以安全地跟踪口令,以及口令被使用的地方。大多数口令管理器还可以按用户的需求为每个账户生成复杂的随机口令。只要访问口令管理器本身的口令足够安全,复杂,这种技术是很有效的。但是,如果口令管理器应用程序受到攻击(这是确实可能发生的!),所有被管理的口令都可能被泄露。如果用户选择使用一个常驻在本地计算机或智能手机上的口令管理器,一旦计算机被恶意软件攻击,或用户丢失了智能手机,所有由口令管理器管理的口令都可能被暴露。所以,选择口令管理器时,要确保它来自一个知名的,值得信赖的公司,以避免受到损害。
第二种方法是为口令选择一个可重复的模式。比如,选择一个关于网站或账户一些特性的句子,然后使用每个单词的第一个字母作为口令。例如,根据句子:“This is my March password for D1Net.”,口令就成了“TimMp4D.”。一个强大的口令应该是复杂的,需要包括大写和小写字母,数字和符号。上面例子中的这个口令就包含了句子中的首字母大写,把“for”翻译为数字“4”,并包括了句尾的标点“.”来添加一个符号到口令中。这项技术也有其弱点:如果来自同一个用户的多个口令被暴露,这个可重复的模式则可能被人猜出并被利用。
永恒之蓝漏洞
漏洞描述
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
EternalBlue 适用于 Windows 8 之前的所有 Windows 版本。这些版本包含允许空会话的进程间通信共享 (IPC$)。这意味着连接是通过匿名登录建立的,默认情况下默认情况下允许空会话。另外,空会话允许客户端向服务器发送不同的命令。
修复方案
①在线更新;开启Windows Update更新。
②打补丁;此漏洞对应的微软补丁地址:
(Microsoft 安全公告 MS17-010 - 严重)(https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010)
引用链接
[1]
Apache Log4j 2: https://logging.apache.org/log4j/2.x/download.html[2]
Apache Shiro: https://shiro.apache.org/download.html[3]
Apache Struts 2: https://struts.apache.org/download.cgi#struts2530[4]
Critical Patch Updates, Security Alerts and Bulletins: https://www.oracle.com/security-alerts/[5]
FASTJSON 1.2.83版本发布(安全修复): https://github.com/alibaba/fastjson/releases/tag/1.2.83[6]
fastjson 2.0.5发布: https://github.com/alibaba/fastjson2/releases/tag/2.0.5[7]
spring-framework: https://github.com/spring-projects/spring-framework/releases[8]
spring-boot: https://github.com/spring-projects/spring-boot/releases[9]
亿邮电子邮件系统: http://www.eyoumail.net/[10]
参考文章: https://support.f5.com/csp/article/K02566623[11]
泛微ECOLOGY安全补丁包: https://www.weaver.com.cn/cs/securityDownload.html#[12]
致远OA 官网: https://www.seeyon.com/home/Tiyan/index.html
原文始发于微信公众号(利刃信安):HVV 准备阶段-高危漏洞隐患排查整改加固专项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论