首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

2019年安全漏洞提示盤點(diǎn)

閱讀量：次

1? 漏洞公告

漏洞跟蹤

2019年1月到12月，安恒信息應(yīng)急響應(yīng)中心共發(fā)布了超過50篇高危安全漏洞和高級攻擊事件風(fēng)險(xiǎn)提示，包含30個(gè)以上軟件產(chǎn)品和廠商的安全公告解讀。

安全漏洞主要為遠(yuǎn)程代碼執(zhí)行漏洞或遠(yuǎn)程命令執(zhí)行漏洞，此類漏洞的成功利用能直接遠(yuǎn)程獲取目標(biāo)系統(tǒng)管理權(quán)限或服務(wù)運(yùn)行權(quán)限。

攻擊事件主要為供應(yīng)鏈攻擊，此類攻擊隱蔽性極高，成功實(shí)施可長時(shí)間建立隱蔽通道，獲取目標(biāo)主機(jī)敏感數(shù)據(jù)。

安恒信息應(yīng)急響應(yīng)中心第一時(shí)間對獲取的威脅情報(bào)進(jìn)行跟蹤，分析、研判影響范圍，并快速輸出風(fēng)險(xiǎn)提示，及時(shí)提醒使用該產(chǎn)品的用戶關(guān)注該廠商發(fā)布的安全更新補(bǔ)丁并采取臨時(shí)可用的緩解措施避免遭受惡意攻擊者的第一波攻擊。

漏洞關(guān)注

安恒信息應(yīng)急響應(yīng)中心主要針對高危以上級別的漏洞或安全事件進(jìn)行風(fēng)險(xiǎn)提示，具體定級參考包括CVSS3.0版本風(fēng)險(xiǎn)矩陣基本分?jǐn)?shù)（Base Score），包括：10或接近于10（9.8/9.9）的漏洞或9.5以上漏洞、綜合漏洞嚴(yán)重程度、漏洞利用效果、利用代碼公開程度、漏洞利用難度、黑客攻擊行為、威脅情報(bào)樣本、APT秘密泄露、威脅場景推演等參考，應(yīng)急響應(yīng)中心研判標(biāo)準(zhǔn)示例：

定級參考	描述
CVSS分?jǐn)?shù)	10或接近于10（9.8/9.9）的漏洞，能導(dǎo)致系統(tǒng)遭受嚴(yán)重攻擊威脅。
嚴(yán)重程度	標(biāo)記為Critical、嚴(yán)重、緊急、高危、版本覆蓋率高或全版本、核心服務(wù)和模塊。
漏洞利用	遠(yuǎn)程代碼執(zhí)行、本地代碼執(zhí)行或提權(quán)、漏洞利用不影響服務(wù)正常運(yùn)行、可多次利用。
公開程度	已經(jīng)有詳細(xì)漏洞利用分析、POC、Exploit代碼、Python腳本、利用工具等公開。
利用難度	使用現(xiàn)有漏洞框架包執(zhí)行、構(gòu)造Java或PHP代碼執(zhí)行、基于工具抓包構(gòu)造參數(shù)、內(nèi)存攻擊代碼方式等。
攻擊行為	基于字典密碼爆破密碼成功后自動(dòng)植入惡意程序、基于漏洞利用成功后自動(dòng)植入惡意程序等。
情報(bào)樣本	基于公開的APT攻擊鏈中樣本模塊、攻擊手法、釣魚行為等活躍情況。
秘密泄露	標(biāo)記為NSA、方程式組織（Equation Group）等國家級攻擊團(tuán)隊(duì)信息泄露。
威脅推演	該漏洞或事件可導(dǎo)致產(chǎn)生大范圍僵尸肉雞、大范圍篡改攻擊、大范圍蠕蟲爆發(fā)。
未知威脅	分子實(shí)驗(yàn)室和研究院、產(chǎn)品平臺捕獲的未公開漏洞和攻擊鏈樣本。

同時(shí)，安恒信息應(yīng)急響應(yīng)中心固定關(guān)注超過30個(gè)全球主流安全或軟件廠商的安全公告發(fā)布通道，包括商業(yè)軟件廠商、開源軟件發(fā)布、超過50組動(dòng)態(tài)情報(bào)來源、0day、APT樣本等，覆蓋用于邊界突破的高危安全漏洞和內(nèi)網(wǎng)漫游攻擊事件的分析。

2? 漏洞回顧

2019年1月

2019年1月提示了ThinkPHP存在遠(yuǎn)程代碼執(zhí)行漏洞。當(dāng)時(shí)，網(wǎng)上已有該遠(yuǎn)程代碼執(zhí)行漏洞的POC，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過Git更新最新框架代碼和手動(dòng)修復(fù)漏洞。

同時(shí)，還提示了Microsoft Exchange Server 2010-2016版本存在AD域內(nèi)提取的漏洞（CVE-2018-8581）。當(dāng)時(shí)，網(wǎng)上已有實(shí)現(xiàn)提取效果的POC，官方也已經(jīng)出了補(bǔ)丁，不過補(bǔ)丁未全面修復(fù)該漏洞；除了補(bǔ)丁外，可以通過修改Exchange權(quán)限模型進(jìn)行緩解。

1月還發(fā)生了疑似匿名者（Anonymous）組織在推特和YouTube上號召2月13日發(fā)起針對100個(gè)中國政府網(wǎng)站的鬧劇，結(jié)果分析判斷為只是胡鬧。

2019年2月

2019年2月安恒信息網(wǎng)站安全監(jiān)測平臺和應(yīng)急響應(yīng)中心監(jiān)測發(fā)現(xiàn)近百起黨政機(jī)關(guān)網(wǎng)站被植入色情廣告頁面，通過分析發(fā)現(xiàn)被植入色情廣告頁面的網(wǎng)站都使用了KindEditor編輯器組件，跟蹤發(fā)現(xiàn)是利用了在GitHub上有人報(bào)告的KindEditor編輯器存在文件上傳的漏洞。由于該漏洞的觸發(fā)文件本是演示程序，實(shí)際部署中建議刪除，但很多使用該組件的網(wǎng)站并沒有刪除，從而導(dǎo)致漏洞被利用，建議直接刪除。

同時(shí)，還提示了低于5.61版本的WinRAR存在目錄穿越漏洞，通過針對該漏洞構(gòu)造的可控解壓路徑壓縮包可以向系統(tǒng)指定目錄釋放惡意文件，該漏洞為客戶端程序漏洞，執(zhí)行攻擊隱蔽性較高，建議更新版本或直接刪除WinRAR安裝目錄下非必須的unacev2.dll動(dòng)態(tài)庫文件。

2019年3月

2019年3月安恒信息應(yīng)急響應(yīng)中心持續(xù)關(guān)注GANDCRAB勒索病毒傳播情況時(shí)發(fā)現(xiàn)：當(dāng)時(shí)該勒索病毒依然活躍。通過對5.2版本追蹤分析，發(fā)現(xiàn)在3月又出現(xiàn)新的變種，主要還通過郵件附件傳播，有偽裝成“*.jpg”的可執(zhí)行文件，有壓縮打包*.js文件的，然后調(diào)用powershell下載加密程序，也有利用Office宏下載vbs腳本再下載加密程序的等各種版本。

同時(shí)對華碩軟件供應(yīng)鏈攻擊抓取的樣本進(jìn)行了分析。通過該樣本包含有正常的數(shù)字簽名“ASUSTeK Computer Inc.”確認(rèn)，其證書的時(shí)間是2018年6月20日以后，說明攻擊者應(yīng)該是在2018年6月20日開始進(jìn)行惡意代碼下發(fā)，該攻擊隱蔽性極高，建議更新版本或直接刪除惡意模塊并進(jìn)行必要的網(wǎng)絡(luò)異常排除。

2019年4月

2019年4月提示了Apache HTTP Server發(fā)布的包括權(quán)限提升在內(nèi)的多個(gè)安全漏洞（對應(yīng)CVE編號：CVE-2019-0211、CVE-2019-0217、CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220）。當(dāng)時(shí)，官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過更新版本進(jìn)行漏洞修復(fù)，對于還在運(yùn)行官方已不再維護(hù)安全更新的2.2之前早期版本，建議升級到新的無漏洞版本或是部署必要的安全防護(hù)設(shè)備攔截惡意攻擊。

同時(shí)，還提示了iSCSI存儲服務(wù)不安全配置身份驗(yàn)證可能導(dǎo)致信息泄露風(fēng)險(xiǎn)、Windows版本Tomcat開啟enableCmdLineArguments時(shí)可能讓CGI Servlet受到代碼執(zhí)行攻擊的風(fēng)險(xiǎn)（對應(yīng)CVE編號：CVE-2019-0232）；

Drupal core存在遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)（對應(yīng)CVE編號：CVE-2019-10910、CVE-2019-10909、CVE-2019-10911、CVE-2019-10912、CVE-2019-10913等）；

Oracle WebLogic Server的遠(yuǎn)程代碼執(zhí)行漏洞（對應(yīng)CVE編號：CVE-2019-2658、CVE-2019-2646、CVE-2019-2645等）的風(fēng)險(xiǎn)等。

對這些存在遠(yuǎn)程代碼執(zhí)行漏洞的產(chǎn)品，更新補(bǔ)丁是必要的，對于Oracle WebLogic Server的遠(yuǎn)程代碼執(zhí)行漏洞，可以使用連接篩選器臨時(shí)阻止外部訪問7001端口的T3/T3s協(xié)議，針對7001端口的T3/T3s協(xié)議已經(jīng)報(bào)過多次高危漏洞。

連接篩選器：weblogic.security.net.ConnectionFilterImpl

規(guī)則示例：

0.0.0.0/0 * 7001 deny t3 t3s#拒絕所有訪問

允許和拒絕指定IP規(guī)則示例：

192.168.1.0/24 * 7001 allow t3 t3s#允許指定IP段訪問

192.168.2.0/24 * 7001 deny t3 t3s#拒絕指定IP段訪問

2019年5月

2019年5月提示了Drupal core第三方類庫TYPO3/PharStreamWrapper 存在反序列化保護(hù)機(jī)制可被繞過，導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)提示（對應(yīng)CVE編號：CVE-2019-11831）。當(dāng)時(shí)，官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過更新最新框架代碼修復(fù)漏洞。

同時(shí)提示了微軟發(fā)布的5月安全更新補(bǔ)丁，其中包含一個(gè)RDP（遠(yuǎn)程桌面服務(wù)）遠(yuǎn)程代碼執(zhí)行漏洞的補(bǔ)丁更新（對應(yīng)CVE編號：CVE-2019-0708）。該漏洞存在于Windows比較老的版本中，主要包括：Windows 7、Windows Server 2008和更老的Windows XP、Windows Server 2003系統(tǒng)，如果這些系統(tǒng)開啟遠(yuǎn)程桌面服務(wù)，默認(rèn)監(jiān)聽端口TCP 3389，未安全更新容易受到攻擊。

根據(jù)微軟MSRC公告，該漏洞如被惡意利用可能被開發(fā)成類似2017年爆發(fā)的WannaCry蠕蟲型快速自動(dòng)快速傳播病毒，當(dāng)時(shí)，官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過自動(dòng)更新補(bǔ)丁和加固配置限制RDP端口的可控訪問緩解。

應(yīng)急響應(yīng)中心針對RDP的安全運(yùn)營建議：

如果需要開啟遠(yuǎn)程桌面進(jìn)行系統(tǒng)管理，建議開啟系統(tǒng)防火墻或IP安全策略限制來源IP，即只允許指定IP訪問；

啟用本地安全策略（賬戶策略-密碼策略），建議開啟密碼必須符合復(fù)雜性要求和長度最小值，以及啟用賬戶鎖定閥值；

考慮使用雙因素身份驗(yàn)證措施，比如啟用動(dòng)態(tài)Key方式；

保持系統(tǒng)安全更新補(bǔ)丁為最新狀態(tài)，遠(yuǎn)程桌面協(xié)議(RDP)為內(nèi)核服務(wù)，安裝安全更新補(bǔ)丁后需要重啟系統(tǒng)生效；

開啟系統(tǒng)日志記錄或網(wǎng)絡(luò)安全設(shè)備日志記錄對訪問該端口的源IP進(jìn)行記錄和存檔，以便預(yù)警和分析其入侵企圖；

考慮在核心交換機(jī)部署流量分析設(shè)備，發(fā)現(xiàn)對RDP端口暴力破解密碼的攻擊行為，及時(shí)對攻擊IP做限定訪問的策略。

2019年6月

2019年6月提示了Exim 4.87到4.91版本中一個(gè)可能實(shí)現(xiàn)本地提權(quán)和遠(yuǎn)程命令執(zhí)行效果的漏洞（對應(yīng)CVE編號：CVE-2019-10149）。當(dāng)時(shí)，網(wǎng)上已有該漏洞的部分細(xì)節(jié)，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過更新版本進(jìn)行漏洞修復(fù)。

同時(shí)，還提示了Coremail發(fā)布的3個(gè)高危漏洞。包括路徑遍歷和信息泄露等，這些漏洞存在于Coremail的Web服務(wù)端口，非Web服務(wù)端口（SMTP、POP3）不受影響，攻擊者可以通過訪問apiws、mailsms、wmsvr接口和模塊獲取郵件服務(wù)配置信息（如：數(shù)據(jù)庫連接賬號密碼），通過泄露的信息，從而進(jìn)一步進(jìn)行越權(quán)訪問。當(dāng)時(shí)，網(wǎng)上已經(jīng)有漏洞的利用代碼出現(xiàn)，使用該產(chǎn)品的用戶可以更新補(bǔ)丁或直接暫停Web服務(wù)緩解。

6月還提示了Oracle官方發(fā)布的一個(gè)WebLogic 10.3.6.0, 12.1.3.0版本存在反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE編號：CVE-2019-2725），該漏洞是由于XMLDecoder反序列化操作導(dǎo)致的代碼執(zhí)行問題，Oracle官方在2019年4月發(fā)布了補(bǔ)丁修復(fù)此問題,新補(bǔ)丁增加了對class元素的過濾。安恒信息應(yīng)急響應(yīng)中心監(jiān)測到該補(bǔ)丁被繞過的利用代碼出現(xiàn)，官方還未提供補(bǔ)?。ú贿^目前已經(jīng)提供，可以通過補(bǔ)丁更新修復(fù)漏洞），該繞過方法利用了“forName”方法繞過了class元素的限制，實(shí)現(xiàn)了代碼執(zhí)行利用。

2019年7月

2019年7月提示了某物聯(lián)網(wǎng)供應(yīng)商Elasticsearch和Kibana不安全的配置部署導(dǎo)致海量數(shù)據(jù)泄露風(fēng)險(xiǎn)、Palo Alto發(fā)布的GlobalProtect Portal/Gateway接口存在遠(yuǎn)程代碼執(zhí)行漏洞、Drupal發(fā)布的Drupal 8.7.4版本存在訪問控制繞過漏洞（對應(yīng)CVE編號：CVE-2019-6342），對于GlobalProtect Portal/Gateway接口存在遠(yuǎn)程代碼執(zhí)行漏洞。對該漏洞的公開分析和利用代碼已經(jīng)出現(xiàn)，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過安全更新或做安全加固配置緩解漏洞。

還提示了Wind River（風(fēng)河系統(tǒng)公司）發(fā)布的嵌入式系統(tǒng)VxWorks的TCP/IP網(wǎng)絡(luò)堆棧（IPnet）存在11個(gè)安全漏洞的公告。

漏洞代號統(tǒng)稱：Urgent/11（CVE編號包括：CVE-2019-12256、CVE-2019-12257、CVE-2019-12255、CVE-2019-12260、CVE-2019-12261、CVE-2019-12263、CVE-2019-12258、CVE-2019-12259、CVE-2019-12262、CVE-2019-12264、CVE-2019-12265），VxWorks 7 (SR540和SR610)、VxWorks 6.5-6.9以及使用Interpeak獨(dú)立網(wǎng)絡(luò)堆棧版本的TCP/IP-stack組件存在11個(gè)漏洞。其中有6個(gè)為遠(yuǎn)程代碼執(zhí)行漏洞，漏洞由緩沖區(qū)溢出觸發(fā)，成功利用該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行效果，從而獲取設(shè)備的控制權(quán)，其余5個(gè)為拒絕服務(wù)、邏輯缺陷、信息泄漏等漏洞，而最新發(fā)布的VxWorks 7 (SR620) 版本不受影響。官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過安全更新補(bǔ)丁修復(fù)漏洞。

2019年8月

2019年8月提示了Apache Solr發(fā)布的8.2.0之前版本存在遠(yuǎn)程代碼執(zhí)行漏洞的公告（對應(yīng)CVE編號：CVE-2019-0193）：Apache Solr在8.2.0之前版本的DataImportHandler模塊啟用時(shí)，不安全的"dataConfig"參數(shù)配置允許執(zhí)行惡意構(gòu)造的腳本代碼，成功利用該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行效果。官方也已經(jīng)出了安全漏洞補(bǔ)丁，可通過更新最新框架代碼和手動(dòng)修復(fù)漏洞。

還提示了微軟發(fā)布的8月安全更新補(bǔ)丁，其中包含多個(gè)可能被利用的遠(yuǎn)程桌面服務(wù)遠(yuǎn)程執(zhí)行代碼漏洞（對應(yīng)CVE編號：CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226），以及可能導(dǎo)致信息泄露的漏洞（對應(yīng)CVE編號：CVE-2019-1224、CVE-2019-1225），該漏洞與5月14號發(fā)布的CVE-2019-0708遠(yuǎn)程桌面服務(wù)遠(yuǎn)程執(zhí)行代碼漏洞類似，無需身份驗(yàn)證，無需用戶交互，成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過安裝安全更新補(bǔ)丁修復(fù)漏洞。

8月還提示了Webadmin發(fā)布的1.930版本修復(fù)的一個(gè)遠(yuǎn)程代碼執(zhí)行安全漏洞（對應(yīng)CVE編號：CVE-2019-15107），該漏洞存在于Webadmin 1.920及以下版本中，攻擊者可以利用password_change.cgi中重置密碼功能驗(yàn)證邏輯漏洞，進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊。網(wǎng)上已存在該漏洞的驗(yàn)證POC和利用代碼EXP，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過安裝安全更新補(bǔ)丁修復(fù)漏洞。

2019年9月

2019年9月提示了Exim發(fā)布的一個(gè)本地和遠(yuǎn)程代碼執(zhí)行漏洞（對應(yīng)CVE編號：CVE-2019-15846）。該漏洞存在于Exim 4.92.1之前的所有版本中，在接受TLS連接的配置下，惡意攻擊者可以在構(gòu)造特殊的數(shù)據(jù)包在TLS初始握手期間，通過發(fā)送以反斜杠空序列結(jié)尾的SNI觸發(fā)此漏洞，成功利用該漏洞可能實(shí)現(xiàn)以root權(quán)限本地和遠(yuǎn)程代碼執(zhí)行效果。網(wǎng)上已有部分漏洞利用代碼公開，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級版本修復(fù)漏洞。

同時(shí)更新了在5月份已發(fā)布RDP（遠(yuǎn)程桌面服務(wù)）遠(yuǎn)程代碼執(zhí)行漏洞（對應(yīng)CVE編號：CVE-2019-0708）的情報(bào)。5月發(fā)布該漏洞風(fēng)險(xiǎn)提示后，網(wǎng)上陸續(xù)公開了一些針對該漏洞的識別掃描代碼和能導(dǎo)致拒絕服務(wù)的POC代碼，具有穩(wěn)定利用的代碼僅在小范圍傳播，未見公開；9月有人在github上的metasploit-framework漏洞利用框架工具平臺，提交了針對64位Windows 7和Windows Server 2008 R2（只有64位）版本利用的EXP代碼，運(yùn)行Windows 8和Windows 10的用戶不受此漏洞的影響，對于啟用了網(wǎng)絡(luò)級身份驗(yàn)證（NLA）的受影響系統(tǒng)可以部分緩解。由于NLA在觸發(fā)漏洞之前需要身份驗(yàn)證，因此受影響的系統(tǒng)可以抵御可能利用該漏洞的“易受攻擊”惡意軟件或高級惡意軟件威脅。如果攻擊者具有可用于成功進(jìn)行身份驗(yàn)證的有效憑據(jù)，則受影響的系統(tǒng)仍然容易受到遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。出于這些原因，微軟強(qiáng)烈建議盡快更新所有受影響的系統(tǒng)，無論NLA是否啟用。

9月還提示了開源的云鏡像管理平臺Harbor發(fā)布的一個(gè)可被未授權(quán)創(chuàng)建管理員賬號的漏洞（對應(yīng)CVE編號：CVE-2019-16097）、泛微OA發(fā)布的遠(yuǎn)程代碼執(zhí)行漏洞、以及提示了使用廣泛的PHP環(huán)境集成程序包phpStudy被公告疑似遭遇供應(yīng)鏈攻擊，程序包自帶PHP的php_xmlrpc.dll模塊隱藏有后門的風(fēng)險(xiǎn)。安恒應(yīng)急響應(yīng)中心和研究院隨即對國內(nèi)下載站點(diǎn)提供下載的phpStudy安裝包進(jìn)行分析，確認(rèn)phpStudy2016、phpStudy2018的部分版本有后門，建議使用該版本的用戶立即進(jìn)行安全加固處理。

另外，還提示了有漏洞發(fā)布網(wǎng)站（非vBulletin官方）公布了vBulletin v5（5.0.0到5.5.4）版本存在遠(yuǎn)程命令執(zhí)行的漏洞利用代碼，而影響最新的5.5.4版本當(dāng)時(shí)還沒發(fā)布多久（對應(yīng)CVE編號：CVE-2019-16759）。漏洞細(xì)節(jié)和測試代碼已經(jīng)公開，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級版本修復(fù)漏洞。

2019年10月

2019年10月提示了泛微e-cology OA發(fā)布的兩次SQL注入漏洞，Oracle官方發(fā)布的2019年10月安全更新公告，包含了其家族多個(gè)產(chǎn)品的安全漏洞公告,其中有兩個(gè)Oracle WebLogic Server的高危漏洞（對應(yīng)CVE編號：CVE-2019-2890和CVE-2019-2891），Oracle WebLogic Server核心組件T3服務(wù)和Console組件存在反序列化漏洞，惡意攻擊者可以通過調(diào)用HTTP、T3協(xié)議攻擊默認(rèn)監(jiān)聽的7001端口，通過漏洞利用工具，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行效果。當(dāng)時(shí)，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過更新補(bǔ)丁修復(fù)漏洞。

同時(shí)，還提示了PHP官方發(fā)布的PHP FPM存在遠(yuǎn)程代碼執(zhí)行漏洞的補(bǔ)丁公告。在NGINX搭載PHP FPM的組合下，當(dāng)FastCGI不安全配置時(shí)，存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE編號：CVE-2019-11043）。網(wǎng)上已有漏洞細(xì)節(jié)和測試代碼已經(jīng)公開，官方也已經(jīng)出了安全配置參考，可以通過安全配置加固和修復(fù)漏洞。

10月，安恒應(yīng)急響應(yīng)中心監(jiān)測到有人在GitHub發(fā)布了Apache Solr Velocity模版注入遠(yuǎn)程命令執(zhí)行的測試代碼，經(jīng)分析和測試后確認(rèn)有效。Apache Solr官方還未發(fā)布該漏洞的安全公告和補(bǔ)丁，提供了臨時(shí)緩解措施：

由于通過https://lucene.apache.org/solr/downloads.html下載的Apache Solr 安裝包默認(rèn)是未授權(quán)訪問，在當(dāng)時(shí)官方還未發(fā)布補(bǔ)丁的情況下，建議在不影響系統(tǒng)正常服務(wù)的情況下，針對Apache Solr 開啟登陸認(rèn)證，并保證口令強(qiáng)度足夠。

2019年11月

2019年11月提示了Apache Solr官方更新的一個(gè)安全漏洞公告，修復(fù)了一個(gè)在Linux環(huán)境下部分版本不安全配置存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE編號：CVE-2019-12409）。在Linux 下的環(huán)境下的Apache Solr 8.1.1到8.2.0版本中默認(rèn)啟用不安全配置（ENABLE_REMOTE_JMX_OPTS="true"），如果開啟JMX監(jiān)聽服務(wù)，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。網(wǎng)上已有漏洞細(xì)節(jié)和測試代碼已經(jīng)公開，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級更新版本修復(fù)漏洞，官方更新主要更新配置選項(xiàng)ENABLE_REMOTE_JMX_OPTS為false，因此在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下，可以直接修改Apache Solr的bin目錄里的solr.in.sh配置文件中的ENABLE_REMOTE_JMX_OPTS字段值為false來緩解。

同時(shí)，還提示了Jenkins官方發(fā)布的多個(gè)安全漏洞的安全公告（對應(yīng)CVE編號：CVE-2019-16538、CVE-2019-16539、CVE-2019-16540），CVE-2019-16538漏洞主要是安全插件（Script Security Plugin）被繞過，導(dǎo)致任意代碼執(zhí)行的風(fēng)險(xiǎn)。該安全插件默認(rèn)會進(jìn)行安裝，當(dāng)插件版本低于1.68，存在漏洞的系統(tǒng)面臨被惡意攻擊者直接執(zhí)行危險(xiǎn)命令的可能，CVE-2019-16539、CVE-2019-16540漏洞主要由Support Core Plugin插件導(dǎo)致的任意文件刪除漏洞，該插件非默認(rèn)安裝，插件版本低于2.64，存在的漏洞的系統(tǒng)面臨任意文件刪除的風(fēng)險(xiǎn)。官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級更新版本修復(fù)漏洞。

11月還提示了安恒信息安全研究院海特實(shí)驗(yàn)室研究員w0lfzhang向GoAhead官方上報(bào)了一個(gè)內(nèi)存泄漏漏洞（對應(yīng)CVE編號：CVE-2019-5096），該漏洞在處理重定向HTTP請求時(shí)如果HTTP包的host頭超過一定大小導(dǎo)致內(nèi)存泄漏。GoAhead的WebsRedirect 函數(shù)用了一個(gè)固定大小的棧緩沖區(qū)來保存拷貝的host頭，拷貝函數(shù)會把host頭拷貝至該緩沖區(qū)。當(dāng)host頭超過一定大小時(shí)，拷貝會失敗導(dǎo)致該緩沖區(qū)未初始化，可能導(dǎo)致泄露內(nèi)存信息。官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級更新版本修復(fù)漏洞。

另外，安恒信息安全研究院海特實(shí)驗(yàn)室研究員MD4向Cisco官方提交了一個(gè)關(guān)于Cisco ASA設(shè)備的遠(yuǎn)程代碼執(zhí)行漏洞（對應(yīng)CVE編號：CVE-2019-15992）。該漏洞在Cisco ASA和FTD設(shè)備中由于Lua解釋器存在問題可導(dǎo)致遠(yuǎn)程認(rèn)證的攻擊者在設(shè)備上以root權(quán)限執(zhí)行系統(tǒng)命令，該漏洞是由于對用戶提供的Lua腳本中的Lua函數(shù)調(diào)用沒有嚴(yán)格的限制造成的，遠(yuǎn)程攻擊者可通過該漏洞觸發(fā)堆溢出然后執(zhí)行任意代碼。官方已經(jīng)出了安全漏洞補(bǔ)丁，可以通過安裝安全更新補(bǔ)丁修復(fù)漏洞。

2019年12月

2019年12月提示了Harbor發(fā)布的1.7.*, 1.8.*, 1.9.*版本存在多個(gè)漏洞的安全公告（對應(yīng)CVE編號：CVE-2019-19023、CVE-2019-3990、CVE-2019-19025、CVE-2019-19026、CVE-2019-19029），安全補(bǔ)丁修補(bǔ)了包括SQL注入、用戶名枚舉、權(quán)限提升、CSRF等多個(gè)漏洞。官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過更新最新代碼修復(fù)漏洞。

同時(shí)，還提示了在PyPI上的python3-dateutil和jeIlyfish包帶有惡意代碼的供應(yīng)鏈攻擊。經(jīng)過分析發(fā)現(xiàn)：實(shí)際上這兩個(gè)帶有惡意代碼的包是仿冒的python-dateutil（目前最新2.8.1版本）和jellyfish（目前最新0.7.2版本，仿冒的版本第一個(gè)l是i的大寫I），含惡意代碼具體文件是：jeIlyfish/_jellyfish.py中的313到338行的代碼，代碼的擴(kuò)展惡意行為主要是盜取本地的SSH和GPG的Key，并發(fā)送到指定的服務(wù)器，隨后官方刪除了該代碼。

12月還提示了Apache Olingo發(fā)布的4.7.0版本修復(fù)了之前版本一個(gè)存在不安全的反序列化漏洞（對應(yīng)CVE編號：CVE-2019-17556）。Apache Olingo的AbstractService類是公共API的一部分，攻擊者通過XMLMetadata方法構(gòu)造特定GZIP壓縮的序列化對象，并且經(jīng)過base64加密之后發(fā)送給相關(guān)接口，即可觸發(fā)漏洞，造成執(zhí)行危險(xiǎn)命令的可能性。網(wǎng)上已有漏洞細(xì)節(jié)公開，官方也已經(jīng)出了安全漏洞補(bǔ)丁，可以通過升級版本修復(fù)漏洞。

3? 威脅態(tài)勢

邊界突破

從2019年跟蹤的高危漏洞來看，大部分是來自應(yīng)用服務(wù)接口的遠(yuǎn)程代碼執(zhí)行和遠(yuǎn)程命令執(zhí)行、SQL注入、敏感信息泄露等有利于在攻擊生命周期中用于邊界突破的漏洞。特別是在6月份，大量0day漏洞和補(bǔ)丁繞過的Nday漏洞重新被利用，主要攻擊目標(biāo)是針對面向互聯(lián)網(wǎng)提供應(yīng)用服務(wù)的Web服務(wù)器、中間件、通用框架代碼等邊界節(jié)點(diǎn)或設(shè)備、甚至是安全設(shè)備，站在防守的角度需要重點(diǎn)關(guān)注邊界防護(hù)能力的提升。

高級威脅

從2019年爆出的供應(yīng)鏈攻擊案例來看，從PC自帶的第三方客戶端軟件污染到開源軟件組件代碼污染等，供應(yīng)鏈攻擊已經(jīng)從針對特定人群（開發(fā)人員、運(yùn)維人員等）正式過渡到在全網(wǎng)普通用戶中撒網(wǎng)式的特定目標(biāo)，具有極高的隱蔽性，同時(shí)2019年披露和發(fā)現(xiàn)的APT攻擊增多，站在防守的角度需要重點(diǎn)關(guān)注高級威脅分析能力的提升。

數(shù)據(jù)泄露

從2019年公開的數(shù)據(jù)泄露案例來看，物聯(lián)網(wǎng)的高速發(fā)展和系統(tǒng)敏捷建設(shè)可能導(dǎo)致搭建的大數(shù)據(jù)平臺工具，例如Elasticsearch和Kibana安裝配置時(shí)未設(shè)置認(rèn)證或弱密碼的產(chǎn)生不安全的場景，從而導(dǎo)致上億的海量敏感數(shù)據(jù)（比如可能包括：人員身份信息、生物信息、設(shè)備信息、定位信息等大類和若干細(xì)類的信息，特別是生物信息等泄露。

生物信息一旦泄露幾乎是不可逆的信息泄露，暴露在互聯(lián)網(wǎng)的接口或被無限制訪問，惡意用戶可以通過全網(wǎng)IP探測來實(shí)現(xiàn)大數(shù)據(jù)軟件的資產(chǎn)識別和偷取利用。

4? 安全建議

漏洞緩解

2019年，安恒信息應(yīng)急響應(yīng)中心主要提供高危以上級別的安全漏洞和高級攻擊事件風(fēng)險(xiǎn)提示。發(fā)布風(fēng)險(xiǎn)提示時(shí)，優(yōu)先推薦涉及漏洞產(chǎn)品官方提供的安全更新補(bǔ)丁、漏洞已經(jīng)修復(fù)的新版本，官方提供的臨時(shí)緩解措施、具體影響的版本范圍等；其次是安恒應(yīng)急響應(yīng)中心和研究院提供的SUMAP（全球資產(chǎn)測繪）結(jié)果匹配影響區(qū)域范圍和臨時(shí)緩解措施，這些措施包括安全加固配置、推薦的安全產(chǎn)品部署等多種靈活的安全加固方案，最小程度減少用戶在緩解安全漏洞的同時(shí)對系統(tǒng)正常運(yùn)行的影響。

安恒信息應(yīng)急響應(yīng)中心還提供常態(tài)化的緩解建議，主要是安全開發(fā)生命周期建議、安全運(yùn)營、藍(lán)隊(duì)建設(shè)等，同時(shí)還提供必要的遠(yuǎn)程和現(xiàn)場應(yīng)急響應(yīng)支持，幫助用戶第一時(shí)間解決緊迫的網(wǎng)絡(luò)攻擊事件，并進(jìn)行深度追蹤、分析復(fù)盤APT級別的高級威脅。

關(guān)于我們

安恒信息應(yīng)急響應(yīng)中心

安恒信息應(yīng)急響應(yīng)中心是專注于對全網(wǎng)重要網(wǎng)絡(luò)安全漏洞、安全事件等威脅情報(bào)進(jìn)行實(shí)時(shí)主動(dòng)發(fā)現(xiàn)、快速預(yù)警、聯(lián)動(dòng)響應(yīng)的安全應(yīng)急協(xié)調(diào)中心。中心成員由豐富攻防經(jīng)驗(yàn)的資深安全技術(shù)專家組成，聯(lián)動(dòng)安恒信息威脅情報(bào)中心，共同針對最新威脅情報(bào)主動(dòng)發(fā)現(xiàn)，重大安全漏洞、安全事件進(jìn)行深度挖掘、分析、溯源，并結(jié)合自主研發(fā)的網(wǎng)絡(luò)空間測繪系統(tǒng)-「全球網(wǎng)絡(luò)空間超級雷達(dá)」梳理全網(wǎng)受影響程度。第一時(shí)間通過多渠道對客戶進(jìn)行安全預(yù)警通知，并向國家相關(guān)部門通報(bào)，同時(shí)在相關(guān)部門的指導(dǎo)下，對影響面極廣的漏洞對外發(fā)布安全預(yù)警和應(yīng)急措施建議，為安全中國，營造健康、安全的數(shù)字化經(jīng)濟(jì)環(huán)境助力。

分子實(shí)驗(yàn)室

分子實(shí)驗(yàn)室聚焦于企業(yè)高級威脅防御體系建設(shè)的安全研究，方向主要有：DevSecOps和漏洞挖掘、反入侵和反APT的藍(lán)隊(duì)防御體系建設(shè)、高級威脅分析解決方案等；成員主要來自安全服務(wù)部，結(jié)合多年的實(shí)用性安全技術(shù)研究經(jīng)驗(yàn)和專業(yè)反入侵能力，專注向高端客戶提供實(shí)用性強(qiáng)的前沿安全技術(shù)和解決方案。安恒信息應(yīng)急響應(yīng)中心主要由分子實(shí)驗(yàn)室提供常態(tài)化情報(bào)分析，研究院、平臺產(chǎn)品線也積極參與威脅情報(bào)和分析報(bào)告提供。

（關(guān)注“安恒應(yīng)急響應(yīng)中心”微信公眾號，獲取更多安全漏洞提示）

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>