近日，奇安信CERT發(fā)布了2020年1月安全監(jiān)測(cè)報(bào)告。今年1月，奇安信CERT共監(jiān)測(cè)到2611個(gè)漏洞，根據(jù)漏洞危害級(jí)別、實(shí)際影響范圍、輿論熱度等研判標(biāo)準(zhǔn)和流程，奇安信CERT對(duì)其中51個(gè)漏洞進(jìn)行了定級(jí)，較為重要的26個(gè)漏洞生成了漏洞戶口(包括基本信息、漏洞描述、利用條件、影響版本、檢測(cè)方法以及修復(fù)方法等，詳細(xì)信息可查看報(bào)告全文)。

　　報(bào)告顯示，在51個(gè)定級(jí)的漏洞中，高危漏洞共19個(gè)，占比約為了37%;中危漏洞共12個(gè)，占比為25%;低危漏洞共20個(gè)，占比約為38%。這些漏洞大多具有以下特點(diǎn)：漏洞危害大、漏洞利用條件易滿足、漏洞影響范圍較廣等。

　　從漏洞類型來看，在51個(gè)定級(jí)過的漏洞中，主要漏洞類型為遠(yuǎn)程代碼執(zhí)行，共19個(gè)，其占比為36%。其次為拒絕服務(wù)、信息泄露、特權(quán)提升，占比分別為11%、10%、8%。

　　從漏洞的輿論熱度來看，熱度最高的漏漏為Citrix ADC和Citrix Gateway遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞不需要進(jìn)行用戶認(rèn)證并且無需用戶交互的情況下被利用。攻擊者可通過精心構(gòu)造的請(qǐng)求攻擊Citrix ADC或Citrix Gateway服務(wù)器，成功利用此漏洞的攻擊者可以在目標(biāo)主機(jī)上執(zhí)行任意代碼。目前，Citrix官方已發(fā)布了部分軟件版本更新來修復(fù)此漏洞。

　　此外，微軟Windows CryptoAPI欺騙漏洞熱度也極高。該漏洞不需要進(jìn)行用戶認(rèn)證并且無需用戶交互的情況下被利用。在Windows CryptoAPI中存在欺騙漏洞，通過利用此漏洞，攻擊者可繞過Windows系統(tǒng)中的證書校驗(yàn)機(jī)制。此漏洞一度為評(píng)為微軟“超級(jí)”漏洞，微軟已經(jīng)在1月份發(fā)布了相關(guān)補(bǔ)丁，建議及時(shí)下載修復(fù)。

　　綜合漏洞熱度、危害程度等信息，奇安信CERT從51個(gè)定級(jí)的安全漏洞中，篩選出了15個(gè)漏洞(2個(gè)歷史漏洞)發(fā)布了安全風(fēng)險(xiǎn)通告，具體漏洞信息如下：

　　(1)Apache Solr模板注入遠(yuǎn)程代碼執(zhí)行漏洞

　　2019年10月31日，奇安信CERT監(jiān)測(cè)到安全研究人員該漏洞的POC放到了Github。經(jīng)研判，該P(yáng)OC對(duì)Solr的多個(gè)版本有效。近日，通過監(jiān)測(cè)外部安全情報(bào)發(fā)現(xiàn)Apache Solr官方已經(jīng)修復(fù)該漏洞，同時(shí)該情報(bào)指出之前Apache Solr發(fā)布的8.3.1版本修復(fù)不完善，并重新確定了漏洞的受影響版本為5.0.0 <= Apache Solr <= 8.3.1。建議受影響的用戶更新Apache Solr，對(duì)此漏洞進(jìn)行防御。

　　(2)Nagios XI遠(yuǎn)程命令執(zhí)行漏洞

　　Nagios系統(tǒng)通過認(rèn)證登陸后，在進(jìn)行scheduler相關(guān)請(qǐng)求處理時(shí)可通過構(gòu)造惡意請(qǐng)求造成遠(yuǎn)程命令執(zhí)行漏洞。經(jīng)研判，該P(yáng)OC對(duì)Nagios的最新版本5.6.9有效。

　　(3)Citrix ADC和Citrix Gateway遠(yuǎn)程代碼執(zhí)行漏洞

　　Citrix ADC和Citrix Gateway存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可通過精心構(gòu)造的請(qǐng)求攻擊Citrix ADC或Citrix Gateway服務(wù)器。成功利用此漏洞的攻擊者可以在目標(biāo)主機(jī)上執(zhí)行任意代碼。

　　(4)ThinkPHP 6.0 “任意”文件創(chuàng)建漏洞

　　該漏洞源于ThinkPHP 6.0的某個(gè)邏輯漏洞，成功利用此漏洞的攻擊者可以實(shí)現(xiàn)“任意”文件創(chuàng)建，在特殊場(chǎng)景下可能會(huì)導(dǎo)致GetShell。

　　(5)WebLogic多個(gè)組件高危漏洞

　　Oracle官方發(fā)布了2020年1月的關(guān)鍵補(bǔ)丁程序更新CPU(Critical Patch Update)，其中修復(fù)了多個(gè)存在于WebLogic中的漏洞。經(jīng)過技術(shù)研判，奇安信CERT認(rèn)為CVE-2020-2551與CVE-2020-2546限制較少，危害程度較大。值得注意的是CVE-2019-17359是Bouncy Castle這個(gè)第三方組件的安全漏洞，由于WebLogic使用了該組件，故受到影響。

　　(6)微軟多個(gè)產(chǎn)品高危漏洞

　　1月，微軟發(fā)布了多個(gè)漏洞的補(bǔ)丁程序，共涉及49個(gè)漏洞，包含以下幾個(gè)高危漏洞：微軟Windows遠(yuǎn)程桌面網(wǎng)關(guān)(RD Gateway)遠(yuǎn)程代碼執(zhí)行漏洞，微軟Windows CryptoAPI欺騙漏洞，微軟ASP.NET Core拒絕服務(wù)漏洞，微軟.NET框架遠(yuǎn)程代碼執(zhí)行漏洞。鑒于這些漏洞危害較大，建議盡快安裝更新補(bǔ)丁。

　　(7)Bitbucket 服務(wù)器和數(shù)據(jù)中心遠(yuǎn)程代碼執(zhí)行漏洞

　　1月15日，ATLASSIAN公司公開了其產(chǎn)品Bitbucket的服務(wù)器和數(shù)據(jù)中心的3個(gè)遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，這些漏洞影響 Bitbucket服務(wù)器和數(shù)據(jù)中心的多個(gè)版本。

　　(8)ModSecurity拒絕服務(wù)漏洞

　　1月20日，Trustwave SpiderLabs公開了其維護(hù)的開源WAF引擎ModSecurity的1個(gè)拒絕服務(wù)(DoS)漏洞。此漏洞影響ModSecurity的3.0到3.0.3版本。

　　另外值得關(guān)注的是，以下兩個(gè)漏洞可能產(chǎn)生的危害較為嚴(yán)重，在過去的一個(gè)月內(nèi)的熱度也相對(duì)較高，但因漏洞觸發(fā)條件過于苛刻、實(shí)際影響范圍較小等原因，奇安信CERT并未發(fā)布安全風(fēng)險(xiǎn)通告。

　　(1)Cacti遠(yuǎn)程命令執(zhí)行漏洞

　　Cacti是一個(gè)基于Web的網(wǎng)絡(luò)監(jiān)視和制圖工具，其允許用戶以預(yù)定的時(shí)間間隔輪詢服務(wù)并繪制結(jié)果數(shù)據(jù)圖。此漏洞存在于poller_automation.php，經(jīng)過身份認(rèn)證的攻擊者可通過在Boost調(diào)試日志中輸入特制字符來利用此漏洞，成功利用此漏洞的攻擊者可遠(yuǎn)程執(zhí)行命令。

　　(2)微軟Internet Explorer JScript遠(yuǎn)程代碼執(zhí)行漏洞

　　微軟IE存在遠(yuǎn)程命令執(zhí)行漏洞，此漏洞影響IE JScript腳本引擎。攻擊者通過制造精心構(gòu)造的頁(yè)面誘導(dǎo)受害者點(diǎn)擊，觸發(fā)內(nèi)存損壞漏洞獲取任意代碼執(zhí)行從而控制用戶系統(tǒng)。成功利用此漏洞的攻擊者可在受害者主機(jī)上執(zhí)行任意代碼。

　　下載報(bào)告全文可訪問https://shs3.b.qianxin.com/qax/9ec6bc57ebaa01d74ee4a1ec072a1eee.pdf

　　關(guān)于奇安信CERT

　　奇安信應(yīng)急響應(yīng)部(又稱：奇安信CERT)成立于2016年，是奇安信旗下的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)平臺(tái)，平臺(tái)旨在第一時(shí)間為客戶提供漏洞或網(wǎng)絡(luò)安全事件安全風(fēng)險(xiǎn)通告、響應(yīng)處置建議、相關(guān)技術(shù)和奇安信相關(guān)產(chǎn)品的解決方案。

　　關(guān)于奇安信A-TEAM

　　團(tuán)隊(duì)主要致力于Web滲透、APT攻防、對(duì)抗，前瞻性攻防工具預(yù)研。從底層原理、協(xié)議層面進(jìn)行嚴(yán)肅、有深度的技術(shù)研究，深入還原攻與防的技術(shù)本質(zhì)，曾多次率先披露 Windows域、Exchange、WebLogic、Exim等重大安全漏洞，第一時(shí)間發(fā)布相關(guān)漏洞安全風(fēng)險(xiǎn)通告及可行的處置措施并獲得官方致謝。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。