0x00 风险概述
2022年4月,启明星辰安全应急响应中心监控到重点关注漏洞共计40+,漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等,这些漏洞涉及GitLab、Apache、Microsoft、VMware、Cisco、Google、Atlassian、Oracle、Lenovo、WSO2和Kubernetes等厂商和开源项目。
0x01 风险详情
|
ID |
漏洞ID |
供应商/项目 |
漏洞名称 |
说明 |
记录日期 |
参考链接/来源 |
|
1 |
CVE-2022-1162 |
GitLab |
GitLab 硬编码漏洞 |
GitLab CE/EE 14.7(14.7.7之前)、14.8(14.8.5之前)和14.9(14.9.2之前)版本中存在硬编码漏洞,可能导致账户接管。 |
4月1日 |
Gitlab官方 |
|
2 |
CVE-2022-0342 |
Zyxel |
Zyxel 防火墙身份验证绕过漏洞 |
某些防火墙版本的CGI程序中存在因缺乏适当的访问控制机制而导致的身份验证绕过漏洞,可以在未经身份验证的情况下获得对设备的管理访问权限。 |
4月1日 |
Zyxel官方 |
|
3 |
CVE-2022-22965 |
VMware |
Spring Framework远程代码执行漏洞 |
在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。官方已在Spring Framework5.3.18+和5.2.20+中修复了此漏洞。此漏洞的PoC/EXP已公开。 |
4月1日 |
VMware官方 |
|
4 |
暂无 |
NGINX |
NGINX LDAP Reference Implementation 代码执行0 day漏洞 |
满足以下任何条件之一的LDAP 参考实现的部署会受此漏洞影响:命令行参数用于配置 Python 守护进程;有未使用的可选配置参数;LDAP 身份验证取决于特定的组成员身份。注:NGINX Open Source 和 NGINX Plus不受影响。 |
4月11日 |
Nginx官方 |
|
5 |
CVE-2022-24803 |
开源项目 |
Asciidoctor-include-ext命令注入漏洞 |
使用Asciidoctor (Ruby)和0.4.0版本之前的asciidoctor-include-ext的应用程序,在AsciiDoc标记中渲染用户提供的输入时,可能导致在主机上执行任意系统命令。 |
4月11日 |
Github |
|
6 |
CVE-2022-0482 |
开源项目 |
Easy Appointments信息泄露漏洞 |
由于 API 权限检查存在缺陷,可以利用此漏洞在未经身份验证的情况下查询后端 API 并以 JSON 格式获取存储在目标系统中的私人用户数据。 |
4月12日 |
互联网 |
|
7 |
CVE-2021-31805 |
Apache |
Apache Struts远程代码执行漏洞 |
由于对CVE-2020-17530的修复不完整,在Apache Struts 2.0.0-2.5.29中,如果开发人员使用 %{...} 语法应用强制 OGNL 解析,标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。 |
4 月 12 日 |
Apache官方 |
|
8 |
CVE-2022-23176 |
WatchGuard |
WatchGuard Firebox 和 XTM 权限提升漏洞 |
WatchGuard Firebox 和 XTM 设备允许在具有非特权凭据的情况下通过公开的管理访问权限远程访问具有特权管理会话的系统。该漏洞影响了12.7.2_U1之前的Fireware OS,12.1.3_U3之前的12.x,以及12.2.x到12.5.7_U3之前的12.5.x。 |
4 月 13 日 |
NVD |
|
9 |
CVE-2022-22822 |
开源项目 |
Expat整数溢出漏洞 |
2.4.3 之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 addBinding 存在整数溢出。 |
4 月 13 日 |
NVD |
|
10 |
CVE-2022-22823 |
开源项目 |
Expat整数溢出漏洞 |
2.4.3 之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 build_model 存在整数溢出。 |
4 月 13 日 |
NVD |
|
11 |
CVE-2022-22824 |
开源项目 |
Expat整数溢出漏洞 |
2.4.3 之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 defineAttribute 存在整数溢出。 |
4 月 13日 |
NVD |
|
12 |
暂无 |
WordPress |
WordPress Elementor Website Builder 插件远程代码执行漏洞 |
WordPress Elementor Website Builder 插件3.6.3 之前的3.6.x中存在经过身份验证的远程代码执行漏洞。 |
4月13日 |
互联网 |
|
13 |
CVE-2022-24521 |
Microsoft |
Microsoft Windows CLFS 驱动程序权限提升漏洞 |
Microsoft Windows 通用日志文件系统 (CLFS) 驱动程序存在允许权限提升的未明漏洞。 |
4月13日 |
微软官方 |
|
14 |
CVE-2022-26904 |
Microsoft |
Windows 用户配置文件服务权限提升漏洞 |
Windows User Profile Service中存在本地权限提升漏洞,其CVSS评分为7.0,目前此漏洞已经公开披露,且已检测到被利用。 |
4月13日 |
微软官方 |
|
15 |
CVE-2022-26809 |
Microsoft |
Remote Procedure Call Runtime远程代码执行漏洞 |
此漏洞的CVSSv3评分为9.8。可以通过向RPC主机发送一个特制的RPC调用,这可能导致在服务器端以与RPC服务相同的权限远程执行代码。可以通过在企业外围防火墙中阻止TCP端口445和遵循Microsoft 指南以保护SMB 流量来缓解此漏洞。 |
4月13日 |
微软官方 |
|
16 |
CVE-2022-26815 |
Microsoft |
Windows DNS Server远程代码执行漏洞 |
Windows Server 2008,2012,2016,2019和2022的Windows DNS Server组件存在远程代码执行漏洞。 |
4月13日 |
微软官方 |
|
17 |
CVE-2022-22954 |
VMware |
VMware Workspace ONE Access and Identity Manager远程代码执行漏洞 |
VMware Workspace ONE Access 和Identity Manager 存在一个由于服务器端模板注入而导致的远程代码执行漏洞。此漏洞的CVSS评分为9.8,目前PoC已经公开,且已检测到在野利用。 |
4月14日 |
VMware官方 |
|
18 |
CVE-2022-20695 |
Cisco |
Cisco无线 LAN 控制器(WLC)身份验证绕过漏洞 |
由于密码验证算法实施不当,Cisco WLC存在身份验证绕过漏洞,成功利用此漏洞可绕过身份验证并以管理员身份登录设备。该漏洞的CVSS评分为10.0。 |
4月14日 |
Cisco官方 |
|
19 |
CVE-2022-27479 |
Apache |
Apache Superset SQL注入漏洞 |
1.4.2版本之前的Apache Superset在图表数据请求中容易受到SQL注入攻击。 |
4月14日 |
Apache官方 |
|
20 |
CVE-2022-22966 |
VMware |
VMware Cloud Director远程代码执行漏洞 |
在10.1.4.1、10.2.2.3 和 10.3.3 版本之前的VMware Cloud Director中,通过网络访问VMware Cloud Director租户或提供商的经过身份验证的高权限攻击者能够利用此漏洞获得对服务器的访问权。 |
4月15日 |
VMware官方 |
|
21 |
CVE-2022-1364 |
|
Google Chrome V8类型混淆漏洞(CVE-2022-1364) |
Google Chrome V8 JavaScript 引擎中存在类型混淆漏洞,可导致浏览器崩溃或执行任意代码。 |
4月15日 |
Google官方 |
|
22 |
CVE-2022-22960 |
VMware |
VMware 多个产品权限提升漏洞 |
由于支持脚本中的权限不正确,VMware Workspace ONE Access、Identity Manager和vRealize Automation存在一个权限提升漏洞,可以实现本地权限提升为 root。此漏洞已检测到被利用。 |
4月18日 |
VMware官方 |
|
23 |
CVE-2022-29072 |
7-Zip |
7-Zip权限提升漏洞 |
在Windows上的7-Zip到21.07版本,将带有.7z扩展名的文件被拖到Help>Contents区域时可以实现权限提升和命令执行。 |
4月18日 |
Github |
|
24 |
CVE-2022-24070 |
Apache |
Apache Subversion Use-After-Free漏洞 |
Subversion 的 mod_dav_svn 在查找基于路径的授权规则时容易出现Use-After-Free问题,可能导致处理请求的 HTTPD 工作进程崩溃,从而导致拒绝服务。 |
4月19日 |
Apache Subversion官方 |
|
25 |
CVE-2022-26133 |
Atlassian |
Atlassian Bitbucket Data Center 远程代码执行漏洞 |
由于 Atlassian Bitbucket Data Center 中的 Hazelcast 接口功能未对用户数据进行有效过滤导致存在反序列化漏洞,可以构造恶意数据远程执行任意代码。只有当 Atlassian Bitbucket Data Center 以 Cluster 模式安装时,才可能受该漏洞影响。 |
4月20日 |
Atlassian官方 |
|
26 |
CVE-2022-22718 |
Microsoft |
Microsoft Windows Print Spooler 权限提升漏洞 |
Microsoft Windows Print Spooler 存在允许权限提升的未明漏洞。微软已于2022年2月修复了此漏洞,目前已检测到被利用。 |
4月20日 |
微软官方 |
|
27 |
CVE-2022-23305 |
Oracle |
Oracle WebLogic Server远程代码执行漏洞 |
Oracle WebLogic Server 中引用了存在漏洞的第三方JARs(Apache Log4j)。成功利用此漏洞可以在未经身份验证的情况下通过 HTTP 访问服务器,最终导致Oracle WebLogic Server 被接管。 |
4月20日 |
Oracle官方 |
|
28 |
CVE-2022-21441 |
Oracle |
Oracle WebLogic Server拒绝服务漏洞 |
Oracle WebLogic Server Core存在安全漏洞,允许在未经身份验证的情况下通过T3/IIOP 进行网络访问,从而攻击Oracle WebLogic Server,成功利用此漏洞可能会导致 Oracle WebLogic Server挂起或频繁重复崩溃(完全DOS)。 |
4月20日 |
Oracle官方 |
|
29 |
CVE-2022-21449 |
Oracle |
JavaJDK ECDSA签名密钥缺陷漏洞 |
Oracle Java SE 17.0.2和18、 GraalVM企业版21.3.1和22.0.0.2以及其它不受支持的版本中,存在签名密钥缺陷漏洞,Java未检查ECDSA签名算法r和s为0的情况,当使用JDK自带的ECDSA算法进行签名校验时,存在被绕过的可能。 |
4月20日 |
Oracle官方 |
|
30 |
CVE-2021-3970 |
Lenovo |
Lenovo SMM 任意读/写漏洞 |
在某些联想笔记本型号中,由于验证不足,LenovoVariable SMI处理程序存在安全问题,可在具有本地访问权限(和提升到更高权限)的情况下执行任意代码。 |
4月20日 |
联想官方 |
|
31 |
CVE-2021-3971 |
Lenovo |
Lenovo UEFI 固件漏洞 |
在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用 SPI 闪存保护。 |
4月20日 |
联想官方 |
|
32 |
CVE-2021-3972 |
Lenovo |
Lenovo UEFI 固件漏洞 |
在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用UEFI 安全引导功能。 |
4月20日 |
联想官方 |
|
33 |
CVE-2022-29266 |
Apache |
Apache APISIX信息泄露漏洞 |
在2.13.1版本之前的APache APISIX中,攻击者可以通过向受jwt-auth插件保护的路由发送错误的JSON Web Token,通过错误信息响应获得插件配置的敏感信息。 |
4月21日 |
Apache官方 |
|
34 |
CVE-2022-22969 |
Vmware |
Spring Security OAuth2拒绝服务漏洞 |
Spring Security OAuth 在2.5.2之前的2.5.x和不受支持的旧版本中,容易受到通过OAuth 2.0客户端应用程序中的授权请求发起的拒绝服务(DoS)攻击。 |
4月21日 |
VMware官方 |
|
35 |
CVE-2022-0540 |
Atlassian |
Atlassian Jira身份验证绕过漏洞 |
Jira Seraph中存在安全漏洞,允许在未经身份验证的情况下通过发送特制的 HTTP 请求来绕过身份验证。受影响的Jira用户可更新到8.13.18/8.20.6/8.22.0版本,jira Service Management可更新到版本4.13.18/4.20.6/ 4.22.0。 |
4月21日 |
Atlassian官方 |
|
36 |
CVE-2022-20773 |
Cisco |
Cisco Umbrella Virtual Appliance(VA)静态 SSH 主机密钥漏洞 |
由于存在静态 SSH 主机密钥,Cisco Umbrella 虚拟设备 (VA) 的基于密钥的 SSH 身份验证机制中存在漏洞,可能允许未经身份验证的远程攻击者冒充 VA。注意:默认情况下,Umbrella VA 上未启用 SSH。 |
4月21日 |
Cisco官方 |
|
37 |
CVE-2022-29464 |
WSO2 |
WSO2 多个产品文件上传和远程代码执行漏洞 |
WSO2 多个产品存在未经身份验证的任意文件上传漏洞,可以通过上传恶意文件在 WSO2 服务器上远程执行任意代码。此漏洞的PoC/EXP已公开,且已检测到被利用。 |
4月24日 |
WSO2官方、 CNNVD |
|
38 |
CVE-2021-25746 |
Kubernetes |
Kubernetes Ingress-nginx Secret 泄露漏洞 |
在Ingress-nginx中存在信息泄露漏洞,可以创建或更新 Ingress 对象的用户可以利用该漏洞访问集群中的信息。 |
4月25日 |
Github |
|
39 |
CVE-2022-21919 |
Microsoft |
Microsoft Windows 用户配置文件服务权限提升漏洞 |
Microsoft Windows 用户配置文件服务存在允许权限提升的未明漏洞。此漏洞已于2022 年 1 月修复,且已检测到被利用。 |
4月26日 |
微软官方 |
|
40 |
CVE-2022-24706 |
Apache |
Apache CouchDB远程代码执行/权限提升漏洞 |
在3.2.2 版本之前的 Apache CouchDB 中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。 |
4月27日 |
Apache官方 |
|
41 |
CVE-2022-23121 |
Netatalk |
Netatalk parse_entries 异常情况处理不当远程代码执行漏洞 |
该漏洞存在于parse_entries函数中,由于在解析 AppleDouble 条目时缺乏正确的错误处理,可以在未经身份验证的情况下利用此漏洞在 root 上下文中执行代码。此漏洞已在Netatalk 3.1.13中修复。 |
4月 28日
|
Netatalk官方 |
|
42 |
CVE-2022-29799 |
Linux |
Linux networkd-dispatch 目录遍历漏洞(统称为Nimbuspwn) |
Linux networkd-dispatcher组件存在目录遍历漏洞,可结合CVE-2022-29800等漏洞实现权限提升为root。 |
4月28日 |
微软官方 |
|
43 |
CVE-2022-29800 |
Linux |
Linux networkd-dispatch TOCTOU竞争条件漏洞(统称为Nimbuspwn) |
Linux networkd-dispatcher组件存在TOCTOU竞争条件漏洞,可结合CVE-2022-29799等漏洞实现权限提升为root。 |
4月28日 |
微软官方 |
|
44 |
暂无 |
Microsoft |
Microsoft Azure Database for PostgreSQL - Flexible Server权限提升漏洞 |
Azure Database for PostgreSQL 灵活服务器中存在多个安全漏洞(统称为ExtraReplica),能够导致在绕过身份验证后提升权限并获得对其他客户数据库的访问权限。 |
4月29日 |
互联网 |
|
45 |
暂无 |
Microsoft |
Microsoft Azure Database for PostgreSQL - Flexible Server身份验证绕过漏洞 |
Azure Database for PostgreSQL 灵活服务器中存在多个安全漏洞(统称为ExtraReplica),能够导致在绕过身份验证后(使用伪造证书)提升权限并获得对其他客户数据库的访问权限。 |
4月29日 |
互联网 |
|
46 |
CVE-2022-29081 |
ZOHO |
ZOHO ManageEngine Access Manager Plus 身份验证绕过漏洞 |
可以在未经身份验证的情况下通过使用类似'/x/.../RestAPI/'的URL绕过对REST API URL的检查,获得对程序的访问权限。 |
4月29日 |
ZOHO官方 |
其中,部分漏洞已发布相关安全公告,可在公众号【启明星辰安全应急响应中心】或【维他命安全】查看详情。
0x02 附件
附件1-2021年最常被利用的漏洞Top15
|
CVE |
漏洞名称 |
供应商及产品 |
漏洞类型 |
|
CVE-2021-44228 |
Log4Shell |
Apache Log4j |
RCE |
|
CVE-2021-40539 |
Null |
Zoho ManageEngine AD SelfService Plus |
RCE |
|
CVE-2021-34523 |
ProxyShell |
Microsoft Exchange Server |
权限提升 |
|
CVE-2021-34473 |
ProxyShell |
Microsoft Exchange Server |
RCE |
|
CVE-2021-31207 |
ProxyShell |
Microsoft Exchange Server |
安全功能绕过 |
|
CVE-2021-27065 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26858 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26857 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26855 |
ProxyLogon |
Microsoft Exchange Server |
RCE |
|
CVE-2021-26084 |
Null |
Atlassian Confluence Server 和 Data Center |
任意代码执行 |
|
CVE-2021-21972 |
Null |
VMware vSphere Client |
RCE |
|
CVE-2020-1472 |
ZeroLogon |
Microsoft Netlogon Remote Protocol (MS-NRPC) |
权限提升 |
|
CVE-2020-0688 |
Null |
Microsoft Exchange Server |
RCE |
|
CVE-2019-11510 |
Null |
Pulse Secure Pulse Connect Secure |
任意文件读取 |
|
CVE-2018-13379 |
Null |
Fortinet FortiOS 和FortiProxy |
目录遍历 |
附件2-2021年最常被利用的其它漏洞
|
CVE |
供应商及产品 |
类型 |
|
CVE-2021-42237 |
Sitecore XP |
RCE |
|
CVE-2021-35464 |
ForgeRock OpenAM server |
RCE |
|
CVE-2021-27104 |
Accellion FTA |
OS命令执行 |
|
CVE-2021-27103 |
Accellion FTA |
SSRF |
|
CVE-2021-27102 |
Accellion FTA |
OS命令执行 |
|
CVE-2021-27101 |
Accellion FTA |
SQL注入 |
|
CVE-2021-21985 |
VMware vCenter Server |
RCE |
|
CVE-2021-20038 |
SonicWall Secure Mobile Access (SMA) |
RCE |
|
CVE-2021-40444 |
Microsoft MSHTML |
RCE |
|
CVE-2021-34527 |
Microsoft Windows Print Spooler |
RCE |
|
CVE-2021-3156 |
Sudo |
权限提升 |
|
CVE-2021-27852 |
Checkbox Survey |
远程任意代码执行 |
|
CVE-2021-22893 |
Pulse Secure Pulse Connect Secure |
远程任意代码执行 |
|
CVE-2021-20016 |
SonicWall SSLVPN SMA100 |
SQL注入 |
|
CVE-2021-1675 |
Windows Print Spooler |
RCE |
|
CVE-2020-2509 |
QNAP QTS and QuTS hero |
远程任意代码执行 |
|
CVE-2019-19781 |
Citrix Application Delivery Controller (ADC) and Gateway |
任意代码执行 |
|
CVE-2019-18935 |
Progress Telerik UI for ASP.NET AJAX |
代码执行 |
|
CVE-2018-0171 |
Cisco IOS Software 和IOS XE Software |
远程任意代码执行 |
|
CVE-2017-11882 |
Microsoft Office |
RCE |
|
CVE-2017-0199 |
Microsoft Office |
RCE |
数据来源:CISA
附件3-通用安全建议
A.漏洞和配置管理
1. 及时更新 IT 网络资产上的软件、操作系统、应用程序和固件,优先修复已知被利用或正在被利用的漏洞、以及影响较为严重的漏洞。若漏洞暂无可用补丁,请根据实际情况应用供应商提供的临时缓解措施或相关防护措施。
2. 建议使用集中的补丁管理系统。
3. 更换寿命终止的软件,即供应商不再提供支持的软件。
4. 无法对面向 Internet 的系统执行快速扫描和修补的组织应考虑将这些服务转移到成熟的、有信誉的云服务提供商 (CSP) 或其他托管服务提供商 (MSP)。但由于MSP和CSP扩大了客户组织的攻击面,并可能引入意料之外的风险,组织应积极主动地与MSP和CSP合作,共同降低这种风险。
B.身份和访问管理
1. 对所有用户强制执行多因素身份验证 (MFA),无一例外。
2. 在所有 VPN 连接上强制执行MFA。如果 MFA 不可用,则要求从事远程工作的员工使用强密码。
3. 定期审查、验证或删除特权帐户(至少每年一次)。
4. 在最小权限原则的概念下配置访问控制。
C.保护控制和架构
1. 正确配置和保护面向互联网的网络设备,禁用未使用或不必要的网络端口和协议,加密网络流量,并禁用未使用的网络服务和设备。
2. 通过控制对应用程序、设备和数据库的访问,对网络进行分段以限制或阻止横向移动。使用私有虚拟局域网。
3. 持续监控攻击面并调查可能表明攻击者或恶意软件横向移动的异常活动。
4. 减少第三方应用程序和独特的系统/应用程序的构建;只有在需要支持业务关键功能时才提供例外。
5. 实施应用程序许可名单。
附件4-相关链接
2016-2019 年最常被利用的10个漏洞
Apache Log4j 漏洞指南
原文始发于微信公众号(维他命安全):【风险通告】2022年4月重点关注的漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论