近日,奇安信CERT发布了年1月安全监测报告。今年1月,奇安信CERT共监测到个漏洞,根据漏洞危害级别、实际影响范围、舆论热度等研判标准和流程,奇安信CERT对其中51个漏洞进行了定级,较为重要的26个漏洞生成了漏洞户口(包括基本信息、漏洞描述、利用条件、影响版本、检测方法以及修复方法等,详细信息可查看报告全文)。
报告显示,在51个定级的漏洞中,高危漏洞共19个,占比约为了37%;中危漏洞共12个,占比为25%;低危漏洞共20个,占比约为38%。这些漏洞大多具有以下特点:漏洞危害大、漏洞利用条件易满足、漏洞影响范围较广等。
从漏洞类型来看,在51个定级过的漏洞中,主要漏洞类型为远程代码执行,共19个,其占比为36%。其次为拒绝服务、信息泄露、特权提升,占比分别为11%、10%、8%。
从漏洞的舆论热度来看,热度最高的漏漏为CitrixADC和CitrixGateway远程代码执行漏洞,该漏洞不需要进行用户认证并且无需用户交互的情况下被利用。攻击者可通过精心构造的请求攻击CitrixADC或CitrixGateway服务器,成功利用此漏洞的攻击者可以在目标主机上执行任意代码。目前,Citrix官方已发布了部分软件版本更新来修复此漏洞。
此外,微软WindowsCryptoAPI欺骗漏洞热度也极高。该漏洞不需要进行用户认证并且无需用户交互的情况下被利用。在WindowsCryptoAPI中存在欺骗漏洞,通过利用此漏洞,攻击者可绕过Windows系统中的证书校验机制。此漏洞一度为评为微软“超级”漏洞,微软已经在1月份发布了相关补丁,建议及时下载修复。
综合漏洞热度、危害程度等信息,奇安信CERT从51个定级的安全漏洞中,筛选出了15个漏洞(2个历史漏洞)发布了安全风险通告,具体漏洞信息如下:
(1)ApacheSolr模板注入远程代码执行漏洞
年10月31日,奇安信CERT监测到安全研究人员该漏洞的POC放到了Github。经研判,该POC对Solr的多个版本有效。近日,通过监测外部安全情报发现ApacheSolr官方已经修复该漏洞,同时该情报指出之前ApacheSolr发布的8.3.1版本修复不完善,并重新确定了漏洞的受影响版本为5.0.0=ApacheSolr=8.3.1。建议受影响的用户更新ApacheSolr,对此漏洞进行防御。
(2)NagiosXI远程命令执行漏洞
Nagios系统通过认证登陆后,在进行scheduler相关请求处理时可通过构造恶意请求造成远程命令执行漏洞。经研判,该POC对Nagios的最新版本5.6.9有效。
(3)CitrixADC和CitrixGateway远程代码执行漏洞
CitrixADC和CitrixGateway存在一个远程代码执行漏洞,攻击者可通过精心构造的请求攻击CitrixADC或CitrixGateway服务器。成功利用此漏洞的攻击者可以在目标主机上执行任意代码。
(4)ThinkPHP6.0“任意”文件创建漏洞
该漏洞源于ThinkPHP6.0的某个逻辑漏洞,成功利用此漏洞的攻击者可以实现“任意”文件创建,在特殊场景下可能会导致GetShell。
(5)WebLogic多个组件高危漏洞
Oracle官方发布了年1月的关键补丁程序更新CPU(CriticalPatchUpdate),其中修复了多个存在于WebLogic中的漏洞。经过技术研判,奇安信CERT认为CVE--与CVE--限制较少,危害程度较大。值得注意的是CVE--是BouncyCastle这个第三方组件的安全漏洞,由于WebLogic使用了该组件,故受到影响。
(6)微软多个产品高危漏洞
1月,微软发布了多个漏洞的补丁程序,共涉及49个漏洞,包含以下几个高危漏洞:微软Windows远程桌面网关(RDGateway)远程代码执行漏洞,微软WindowsCryptoAPI欺骗漏洞,微软ASP.NETCore拒绝服务漏洞,微软.NET框架远程代码执行漏洞。鉴于这些漏洞危害较大,建议尽快安装更新补丁。
(7)Bitbucket服务器和数据中心远程代码执行漏洞
1月15日,ATLASSIAN公司公开了其产品Bitbucket的服务器和数据中心的3个远程代码执行(RCE)漏洞,这些漏洞影响Bitbucket服务器和数据中心的多个版本。
(8)ModSecurity拒绝服务漏洞
1月20日,TrustwaveSpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞。此漏洞影响ModSecurity的3.0到3.0.3版本。
另外值得