一、情报简述:该漏洞影响最新版WPSOffice,官方尚未发布补丁,配合钓鱼等场景危害极大。用户只需正产打开wps文档,无需其他任何操作,即可执行恶意代码,进而终端被控
二、紧急措施:1、紧急封禁漏洞利用的以下IOC及云函数域名(集团数据中心已默认封禁腾讯云、阿里云云函数);2、集团已从终端EDR上监测并拦截有关IOC,请仍未覆盖终端EDR的单位,抓紧安装。
三、手动封禁IOC如下:
39.105.138.249
123.57.150.145
182.92.111.169
39.105.128.11
123.57.129.70
123.56.0.10
182.92.111.169
182.92.165.230
safetyitsm.s3-us-east-1.ossfiles.com
hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com
76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com
6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com
a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com
Apache Solr 远程代码执行漏洞
ApacheSolr远程代码执行漏洞
当以集群模式且可以出网时,攻击者可利用该漏洞执行任意代码,获取主机权限,建议受影响的客户做妤自查及防护。
影响版本:Linux环境:8.10-9.2.1 Windows环境:8.10-9.3.0
漏洞类型:RCE0day
临时修复方案
1.使用防护类设备对相关资产进行防护,重点关注:
-/api/schema-designer/*相关路径是否被频繁访问
-服务器是否存在陌生IP外连
-检查SchemaDesigner中是否有预期外的Schema被创建
2.非必要,避免将Solr暴露在互联网:由于Solr在默认条件下无需鉴权即可访问,即使solr部署在内网,也强烈建议开启身份验证。
COMFAST CF-XR11 远程代码执行
漏洞描述:COMFASTCF-XR11V2.7.2在函数sub_4143F0处检测到命令注入漏洞。攻击者可以向/usr/bin/webmgnt发送POST请求消息,并将命令注入到参数timestr中
漏洞类型:1day
影响版本:COMFASTCF-XR11≤v.2.7.2
Imo 云办公室 corpfile.php 远程命令执行漏洞
JeecgBoot 企业级低代码平台 qurestSql SQL 注入漏洞
COMFAST CF-XR11 远程代码执行
Ivanti Sentry API 认证绕过0day漏洞
CVE-2023-38035
漏洞描述:
该漏洞可使未认证攻击者访问某些用于在管理员门户(端口8443)上配置IvantiSentry的敏感API。成功利用该漏洞的攻击者可更改网关配置、执行系统命令并在系统上写任意文件。要缓解风险,组织机构应当限制对管理员端口的访问仅限于内部管理网络而非互联网。
影响版本:
该漏洞影响所有受支持Sentry版本(9.18、9.17和9.16)。更老旧的Sentry不受支持版本和发布也易遭利用风险。
某联达Linkworks msgbroadcastuploadfile.aspx 后台文件上传漏洞
/gtp/im/services/gro
漏洞描述
1、漏洞详情
广联达linkworksmsgbroadcastuploadfile.aspx后台文件上传漏洞,攻击者可以利用此漏洞在后台上传任意文件。
2、影响范围
广联达linkworks
3、缓解方案
阻断/gtp/im/services/group/msgbroadcastuploadfile.aspx路径的上传请求
致远OA M1Server userTokenService 反序列化漏洞
XWiki Platform 跨站脚本漏洞
XWiki Platform 权限提升漏洞
NETGEAR XR300缓冲区溢出漏洞
漏洞描述:
NETGEARXR300v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于通过genie_ap_wifi_change.cgi的wla_ssid和wlg_ssid参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。
Ffmpeg代码执行漏洞
漏洞描述:
FFmpeg0.7.0及之前版本存在代码执行漏洞,该漏洞源于组件net.bramp.ffmpeg.FFmpeg.<constructor>中未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。
BageCMS跨站脚本漏洞
PHPOK v.5.4版本存在SQL注入漏洞
漏洞描述:
PHPMyWind是一套基于PHP和MySQL并符合W3C标准的企业网站建设解决方案。PHPMyWindv.5.6版本存在SQL注入漏洞,远程攻击者可利用改漏洞通过modify函数中的id变量执行任意代码
某友NCCloudjsinvoke任意文件上传漏洞
天擎 越权访问/数据库信息泄露
某科网威 下一代防火墙控制系统 download.php 任意文件读取漏洞
ACTI 视频监控 images 任意文件读取漏洞
CMA 客诉管理系统 upFile.ashx 文件存在任意文件上传漏洞
向日葵 check 远程命令执行漏洞
SugarCRM 任意文件上传漏洞
KubeOperator kubeconfig 未授权访问漏洞
满客宝智慧食堂管理系统反序列化漏洞
CODing.net 信息泄露漏洞
某统信桌面操作系统V20存在本地提权漏洞
某NAS设备存在弱口令
恶意ip:
213.172.83.91
137.184.85.24
221.229.162.62
184.168.127.57
113.101.149.2
119.185.82.208
117.136.68.152
59.12.57.200
171.113.252.31
111.178.124.54
27.210.138.122
106.75.8.192
106.75.175.239
183.212.236.148
114.222.68.99
120.85.119.159
114.254.0.232
107.155.50.142
45.115.177.137
39.98.75.13
120.85.185.99
218.156.63.156
113.121.20.241
120.86.239.201
175.0.54.123
原文始发于微信公众号(飓风网络安全):8月22日HW漏洞情报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论