截止2月28日,奇安信CERT共监测漏洞90554个,较上月新增漏洞6505个。其中有1067条敏感信息 触发了人工研判标准 。经人工研判:本月值得重点关注的漏洞共67个,其中高风险漏洞共18个。
注:
1.本月重要漏洞户口详情请点击“阅读原文”
2.敏感漏洞触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合判断
3.人工研判流程包括对漏洞利用条件、影响范围、实际危害等多个方面的信息的综合研判
4.针对高风险漏洞,奇安信 CERT已于第一时间发布安全风险通告
5.月度总舆论热度榜为奇安信CERT抓取到互联网上对该漏洞讨论次数汇总的榜单
月度总热度Top10漏洞概览
根据奇安信 CERT的监测数据,在2021年2月份监测到的所有漏洞中,月度总舆论热度榜 TOP10漏洞如下:
|
序号 |
漏洞热度 |
漏洞编号 |
影响产品 |
漏洞类型 |
CVSS分数 |
|---|---|---|---|---|---|
|
1 |
156 |
CVE-2021-3156 |
Linux |
内存损坏 |
7.8 |
|
2 |
57 |
CVE-2021-21972 |
VMware vCenter Server |
代码执行 |
暂无 |
|
3 |
53 |
CVE-2020-1472 |
NetLogon |
权限提升 |
10 |
|
4 |
50 |
CVE-2021-1732 |
Windows |
权限提升 |
暂无 |
|
5 |
43 |
CVE-2021-24074 |
Windows |
代码执行 |
暂无 |
|
6 |
38 |
CVE-2021-21148 |
Google V8 引擎 |
内存泄漏 |
8.8 |
|
7 |
33 |
CVE-2021-24094 |
Windows |
代码执行 |
暂无 |
|
8 |
32 |
CVE-2021-25275 |
solarwinds orion platform |
信息泄露 |
7.8 |
|
9 |
30 |
CVE-2020-0796 |
Microsoft SMBv3 |
代码执行 |
10 |
|
10 |
30 |
CVE-2021-24086 |
Windows TCP/IP |
拒绝服务 |
暂无 |
在2月月度总热度舆论榜前十的漏洞中,热度最高的漏洞依旧为sudo堆缓冲区溢出漏洞(CVE-2021-3156),此漏洞允许远程攻击者仅在低权限账号进行用户认证的情况下,尝试利用此漏洞。该漏洞基于堆缓冲区溢出,当攻击者使用sudo命令时,如果命令行参数以结尾则sudo会循环读取越界字符并复制到user_args缓冲区,但是在Linux中任意命令行参数都不能以结尾,所以该漏洞利用sudoedit命令来执行sudo命令,以绕过限制。当利用成功时,将可以将当前用户权限提升为root权限。
漏洞危害等级占比:
-
高危漏洞共39个,占比约为61%
-
中危漏洞共23个,占比为为36%
-
低危漏洞共5个,占比约为3%
漏洞类型占比:
-
代码执行漏洞共15个,其占比约为22%
-
权限提升漏洞共10个,其占比约为15%
-
身份认证绕过漏洞共8个,其占比约为12%
|
漏洞编号 |
影响产品 |
危险等级 |
漏洞类型 |
触发方式 |
|---|---|---|---|---|
|
CVE-2021-25646 |
Apache Druid |
高危 |
代码执行 |
远程触发 |
|
CVE-2020-17523 |
apache Shiro |
中危 |
身份认证绕过 |
远程触发 |
|
暂无 |
Windows Installer |
中危 |
权限提升 |
本地触发 |
|
CVE-2020-35576 |
TP-Link TL-WR841N |
中危 |
命令执行 |
远程触发 |
|
CVE-2020-9492 |
Apache Hadoop |
低危 |
权限提升 |
远程触发 |
|
暂无 |
JumpServer |
高危 |
代码执行 |
远程触发 |
|
暂无 |
VRVEDP |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-25275 |
solarwinds orion platform |
中危 |
信息泄露 |
本地触发 |
|
CVE-2021-25274 |
solarwinds orion platform |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-3011 |
CryptoLib |
中危 |
信息泄露 |
未知 |
|
CVE-2021-21142 |
Chrome |
高危 |
代码执行 |
本地触发 |
|
CVE-2021-20016 |
SonicWall SSL-VPN |
高危 |
身份认证绕过 |
远程触发 |
|
CVE-2020-25686 |
DNSmasq |
高危 |
内存泄漏 |
远程触发 |
|
CVE-2021-25276 |
SolarWinds ServU-FTP |
中危 |
错误的访问控制 |
本地触发 |
|
CVE-2021-3177 |
python |
低危 |
内存泄漏 |
本地触发 |
|
CVE-2021-2018 |
Oracle Database Server |
高危 |
身份认证绕过 |
远程触发 |
|
CVE-2021-26117 |
Apache ActiveMQ |
高危 |
身份认证绕过 |
远程触发 |
|
CVE-2021-26118 |
Apache ActiveMQ |
高危 |
身份认证绕过 |
远程触发 |
|
CVE-2021-21148 |
Google V8 引擎 |
高危 |
内存泄漏 |
远程触发 |
|
暂无 |
Skywalking |
中危 |
代码执行 |
远程触发 |
|
暂无 |
Windows Server |
中危 |
身份认证绕过 |
远程触发 |
|
暂无 |
MessageSolution |
高危 |
XML外部实体注入(XXE) |
远程触发 |
|
暂无 |
MessageSolution |
高危 |
文件读取 |
远程触发 |
|
暂无 |
MessageSolution |
高危 |
文件上传 |
远程触发 |
|
暂无 |
MessageSolution |
高危 |
错误的访问控制 |
远程触发 |
|
CVE-2021-3281 |
Django |
中危 |
目录遍历 |
远程触发 |
|
暂无 |
MessageSolution |
高危 |
文件上传 |
远程触发 |
|
CVE-2020-25685 |
DNSmasq |
高危 |
中间人攻击 |
远程触发 |
|
CVE-2020-25684 |
DNSmasq |
高危 |
中间人攻击 |
远程触发 |
|
CVE-2020-17516 |
Apache Cassandra |
高危 |
信息泄露 |
远程触发 |
|
CVE-2021-24078 |
Windows DNS Server |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-24086 |
Windows TCP/IP |
高危 |
拒绝服务 |
远程触发 |
|
CVE-2016-2183 |
SSL/TLS协议 |
低危 |
信息泄露 |
远程触发 |
|
CVE-2021-24074 |
Windows |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-24094 |
Windows |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-1732 |
Windows |
高危 |
权限提升 |
远程触发 |
|
CVE-2021-1727 |
Windows |
高危 |
权限提升 |
远程触发 |
|
CVE-2021-1698 |
Windows |
高危 |
权限提升 |
远程触发 |
|
CVE-2021-24072 |
Microsoft SharePoint Server |
高危 |
代码执行 |
远程触发 |
|
CVE-2020-36231 |
Atlassian Jira |
中危 |
错误的访问控制 |
远程触发 |
|
CVE-2020-27862 |
D-Link |
中危 |
代码执行 |
远程触发 |
|
CVE-2021-21285 |
docker |
中危 |
拒绝服务 |
本地触发 |
|
CVE-2021-21284 |
docker |
低危 |
权限提升 |
本地触发 |
|
CVE-2021-21053 |
Adobe Illustrator |
高危 |
代码执行 |
本地触发 |
|
CVE-2021-21054 |
Adobe Illustrator |
高危 |
内存泄漏 |
本地触发 |
|
CVE-2020-29662 |
Harbor |
中危 |
身份认证绕过 |
远程触发 |
|
CVE-2021-1389 |
Cisco IOS XR 和 Cisco NX-OS |
高危 |
安全特性绕过 |
远程触发 |
|
CVE-2021-1370 |
Cisco IOS XR |
高危 |
权限提升 |
本地触发 |
|
CVE-2021-21702 |
PHP |
中危 |
拒绝服务 |
远程触发 |
|
CVE-2020-8625 |
BIND |
高危 |
拒绝服务 |
远程触发 |
|
CVE-2021-21133 |
Chrome |
中危 |
命令执行 |
远程触发 |
|
CVE-2020-7460 |
FreeBSD |
低危 |
权限提升 |
本地触发 |
|
CVE-2020-7468 |
FreeBSD |
中危 |
权限提升 |
本地触发 |
|
CVE-2020-9955 |
macOS |
中危 |
信息泄露 |
本地触发 |
|
CVE-2021-1759 |
macOS |
中危 |
代码执行 |
本地触发 |
|
CVE-2021-21303 |
Helm客户端 |
中危 |
错误的访问控制 |
本地触发 |
|
CVE-2019-1311 |
Windows |
中危 |
内存损坏 |
本地触发 |
|
CVE-2021-3347 |
Linux 内核 |
中危 |
权限提升 |
本地触发 |
|
CVE-2020-14312 |
dnsmasq |
中危 |
错误的访问控制 |
远程触发 |
|
CVE-2021-21973 |
VMware vCenter Server |
中危 |
服务端请求伪造(SSRF) |
远程触发 |
|
CVE-2021-21974 |
VMware ESXi |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-21972 |
VMware vCenter Server |
高危 |
代码执行 |
远程触发 |
|
CVE-2021-20354 |
IBM WebSphere Application Server |
高危 |
目录遍历 |
远程触发 |
|
CVE-2021-20353 |
IBM WebSphere Application Server |
高危 |
XML外部实体注入(XXE) |
远程触发 |
|
CVE-2021-25281 |
SaltStack |
高危 |
身份认证绕过 |
远程触发 |
|
CVE-2021-25282 |
SaltStack |
高危 |
文件上传 |
远程触发 |
|
CVE-2021-25283 |
SaltStack |
高危 |
模板注入 |
远程触发 |
|
漏洞编号 |
影响产品 |
漏洞类型 |
危险等级 |
公开状态 |
详情链接 |
|---|---|---|---|---|---|
|
CVE-2021-25646 |
Apache Druid |
代码执行 |
高危 |
PoC、EXP已公开 |
|
|
CVE-2020-17523 |
apache Shiro |
身份认证绕过 |
中危 |
未公开 |
|
|
暂无 |
Windows Installer |
权限提升 |
中危 |
技术细节、PoC、EXP已公开 |
|
|
CVE-2021-21148 |
Google V8 引擎 |
内存泄漏 |
高危 |
已发现在野利用 |
|
|
CVE-2021-24078 |
Windows DNS Server |
代码执行 |
高危 |
未公开 |
|
|
CVE-2021-24086 |
Windows TCP/IP |
拒绝服务 |
高危 |
未公开 |
|
|
CVE-2021-24074 |
Windows |
代码执行 |
高危 |
未公开 |
|
|
CVE-2021-24094 |
Windows |
代码执行 |
高危 |
未公开 |
|
|
CVE-2021-1732 |
Windows |
权限提升 |
高危 |
未公开 |
|
|
CVE-2021-1727 |
Windows |
权限提升 |
高危 |
未公开 |
|
|
CVE-2021-1698 |
Windows |
权限提升 |
高危 |
未公开 |
|
|
CVE-2021-24072 |
Microsoft SharePoint Server |
代码执行 |
高危 |
未公开 |
|
|
CVE-2021-21973 |
VMware vCenter Server |
服务端请求伪造(SSRF) |
中危 |
细节已公开、PoC已公开 |
|
|
CVE-2021-21974 |
VMware ESXi |
代码执行 |
高危 |
未公开 |
|
|
CVE-2021-21972 |
VMware vCenter Server |
代码执行 |
高危 |
技术细节、PoC、EXP已公开 |
|
|
CVE-2021-25281 |
SaltStack |
身份认证绕过 |
高危 |
技术细节已公开 |
|
|
CVE-2021-25282 |
SaltStack |
文件上传 |
高危 |
技术细节已公开 |
|
|
CVE-2021-25283 |
SaltStack |
模板注入 |
高危 |
技术细节已公开 |
Web漏洞被攻击者利用情况:
根据奇安信A-TEAM白泽平台的攻击者画像数据,2021年2月1日到2月28奇安信A-TEAM共识别出1526330过1643754起攻击,其中共有473664个境内IP,26238个境外IP。其中受威胁的网站数量为24388,隐蔽链路为27894个。
2月威胁类型TOP5分别为:Webshell利用、异常检测、文件包含、扫描器识别、Web通用漏洞利用。
2月威胁来源区域TOP5分别为湖南省、浙江省、江苏省、广东省、安徽省。
2月受威胁地区TOP10为:北京市、浙江省、河南省、广东省、加利福尼亚州、湖北省、山东省、江苏省、上海市、辽宁省。
威胁者常用的威胁工具及手法如下:
本文始发于微信公众号(奇安信 CERT):【安全监测报告】奇安信 CERT 2021年2月安全监测报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论