您的位置:首页 > 互联网

奇安信CERT发布1月安全监测报告:51个漏洞威胁较大

发布时间:2020-02-23 10:31:09  来源:互联网     背景:

  近日,奇安信CERT发布了2020年1月安全监测报告。今年1月,奇安信CERT共监测到2611个漏洞,根据漏洞危害级别、实际影响范围、舆论热度等研判标准和流程,奇安信CERT对其中51个漏洞进行了定级,较为重要的26个漏洞生成了漏洞户口(包括基本信息、漏洞描述、利用条件、影响版本、检测方法以及修复方法等,详细信息可查看报告全文)。

  报告显示,在51个定级的漏洞中,高危漏洞共19个,占比约为了37%;中危漏洞共12个,占比为25%;低危漏洞共20个,占比约为38%。这些漏洞大多具有以下特点:漏洞危害大、漏洞利用条件易满足、漏洞影响范围较广等。

图片1.jpg

  从漏洞类型来看,在51个定级过的漏洞中,主要漏洞类型为远程代码执行,共19个,其占比为36%。其次为拒绝服务、信息泄露、特权提升,占比分别为11%、10%、8%。

图片2.jpg

  从漏洞的舆论热度来看,热度最高的漏漏为Citrix ADC和Citrix Gateway远程代码执行漏洞,该漏洞不需要进行用户认证并且无需用户交互的情况下被利用。攻击者可通过精心构造的请求攻击Citrix ADC或Citrix Gateway服务器,成功利用此漏洞的攻击者可以在目标主机上执行任意代码。目前,Citrix官方已发布了部分软件版本更新来修复此漏洞。

  此外,微软Windows CryptoAPI欺骗漏洞热度也极高。该漏洞不需要进行用户认证并且无需用户交互的情况下被利用。在Windows CryptoAPI中存在欺骗漏洞,通过利用此漏洞,攻击者可绕过Windows系统中的证书校验机制。此漏洞一度为评为微软“超级”漏洞,微软已经在1月份发布了相关补丁,建议及时下载修复。

3.jpg

  综合漏洞热度、危害程度等信息,奇安信CERT从51个定级的安全漏洞中,筛选出了15个漏洞(2个历史漏洞)发布了安全风险通告,具体漏洞信息如下:

  (1)Apache Solr模板注入远程代码执行漏洞

  2019年10月31日,奇安信CERT监测到安全研究人员该漏洞的POC放到了Github。经研判,该POC对Solr的多个版本有效。近日,通过监测外部安全情报发现Apache Solr官方已经修复该漏洞,同时该情报指出之前Apache Solr发布的8.3.1版本修复不完善,并重新确定了漏洞的受影响版本为5.0.0 <= Apache Solr <= 8.3.1。建议受影响的用户更新Apache Solr,对此漏洞进行防御。

  (2)Nagios XI远程命令执行漏洞

  Nagios系统通过认证登陆后,在进行scheduler相关请求处理时可通过构造恶意请求造成远程命令执行漏洞。经研判,该POC对Nagios的最新版本5.6.9有效。

  (3)Citrix ADC和Citrix Gateway远程代码执行漏洞

  Citrix ADC和Citrix Gateway存在一个远程代码执行漏洞,攻击者可通过精心构造的请求攻击Citrix ADC或Citrix Gateway服务器。成功利用此漏洞的攻击者可以在目标主机上执行任意代码。

  (4)ThinkPHP 6.0 “任意”文件创建漏洞

  该漏洞源于ThinkPHP 6.0的某个逻辑漏洞,成功利用此漏洞的攻击者可以实现“任意”文件创建,在特殊场景下可能会导致GetShell。

  (5)WebLogic多个组件高危漏洞

  Oracle官方发布了2020年1月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞。经过技术研判,奇安信CERT认为CVE-2020-2551与CVE-2020-2546限制较少,危害程度较大。值得注意的是CVE-2019-17359是Bouncy Castle这个第三方组件的安全漏洞,由于WebLogic使用了该组件,故受到影响。

  (6)微软多个产品高危漏洞

  1月,微软发布了多个漏洞的补丁程序,共涉及49个漏洞,包含以下几个高危漏洞:微软Windows远程桌面网关(RD Gateway)远程代码执行漏洞,微软Windows CryptoAPI欺骗漏洞,微软ASP.NET Core拒绝服务漏洞,微软.NET框架远程代码执行漏洞。鉴于这些漏洞危害较大,建议尽快安装更新补丁。

  (7)Bitbucket 服务器和数据中心远程代码执行漏洞

  1月15日,ATLASSIAN公司公开了其产品Bitbucket的服务器和数据中心的3个远程代码执行(RCE)漏洞,这些漏洞影响 Bitbucket服务器和数据中心的多个版本。

  (8)ModSecurity拒绝服务漏洞

  1月20日,Trustwave SpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞。此漏洞影响ModSecurity的3.0到3.0.3版本。

  另外值得关注的是,以下两个漏洞可能产生的危害较为严重,在过去的一个月内的热度也相对较高,但因漏洞触发条件过于苛刻、实际影响范围较小等原因,奇安信CERT并未发布安全风险通告。

  (1)Cacti远程命令执行漏洞

  Cacti是一个基于Web的网络监视和制图工具,其允许用户以预定的时间间隔轮询服务并绘制结果数据图。此漏洞存在于poller_automation.php,经过身份认证的攻击者可通过在Boost调试日志中输入特制字符来利用此漏洞,成功利用此漏洞的攻击者可远程执行命令。

  (2)微软Internet Explorer JScript远程代码执行漏洞

  微软IE存在远程命令执行漏洞,此漏洞影响IE JScript脚本引擎。攻击者通过制造精心构造的页面诱导受害者点击,触发内存损坏漏洞获取任意代码执行从而控制用户系统。成功利用此漏洞的攻击者可在受害者主机上执行任意代码。

  下载报告全文可访问https://shs3.b.qianxin.com/qax/9ec6bc57ebaa01d74ee4a1ec072a1eee.pdf

  关于奇安信CERT

  奇安信应急响应部(又称:奇安信CERT)成立于2016年,是奇安信旗下的网络安全应急响应平台,平台旨在第一时间为客户提供漏洞或网络安全事件安全风险通告、响应处置建议、相关技术和奇安信相关产品的解决方案。

  关于奇安信A-TEAM

  团队主要致力于Web渗透、APT攻防、对抗,前瞻性攻防工具预研。从底层原理、协议层面进行严肃、有深度的技术研究,深入还原攻与防的技术本质,曾多次率先披露 Windows域、Exchange、WebLogic、Exim等重大安全漏洞,第一时间发布相关漏洞安全风险通告及可行的处置措施并获得官方致谢。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
只用20节课让你年薪百万?这不是魔法而是百度深度学习集训营
2019年值得&ldquo;柠檬精&rdquo;酸的事情不少,但是毕业生年薪200万恐怕是最让人眼馋的一个了。今年......
日期:12-05
微信发布多项小程序新能力,开发者迎来变现和曝光新机遇
小程序种类日渐丰富,&ldquo;做好小程序&rdquo;成了开发者的新目标。5月22日,微信小程序团队亮相云......
日期:05-23
Trias落地日本,迈出国际化新步伐
选择出海日本的中国区块链项目为数众多,但很多项目在当地会出现应者寥寥的情况,无法实现有效落地......
日期:08-14
快来查查你的行程有无风险!百度上线“新型肺炎患者同乘查询”
新型肺炎传染性强,确诊病例也在不断增加,面对疫情,社会各界都在出谋划策、献计献力。比如我们经......
日期:01-30
微软在内部展示神秘双屏Surface设备
6月3日消息 据外媒The Verge报道,熟悉微软计划的消息人士透露,微软近日在公司内部展示了新的双屏S......
日期:06-04
百度输入法市场份额即将“超车”!95后最爱输入法尽显年轻态度
&ldquo;想想吧,20后看90后,就像90后看60后一样一样的!&rdquo;2020年的第一声&ldquo;惊雷&rdquo;来......
日期:01-09
数字中国峰会上的慈悲与爱 “一带一路”数字佛教共享科技成果
2019年5月6日至8日,第二届数字中国建设峰会在福建省福州市举办。中国数字经济优秀企业&mdash;&mdash......
日期:05-09
阅读手机、游戏手机销量同比增长400%,京东11.11 C2M实力强劲!
11月1日,本年度京东11.11全球好物节迎来盛大开门红,各类爆品和秒杀悉数登场,京东平台蓄势已久火......
日期:11-02
等保2.0时代 长亭科技助力私有云Web应用安全防护
等保2.0作为我国网络安全的基本国策和基本制度,筑起了我国网络和信息安全的重要防线。据悉,等保2.......
日期:06-27
深度|「3D视觉+AI技术」将开启扫地机人机交互新时代
3D视觉感知火热,应用迎来「超级周期」 得益于摩尔定律的演进发展,图像处理器芯片技术不......
日期:11-07
iPhone 11可能比iPhone XS便宜?最低售价或为899美元
站长之家(ChinaZ.com) 7月26日 消息:相信大家普遍认为苹果几个月后即将发布iPhone11 价格会比现有所......
日期:07-26
送餐机器人成餐饮市场刚需,普渡科技要做赋能行业的机器人大厂
&ldquo;很多餐饮客户会跟我们说,能不能帮我们设计一个全新的菜架、收餐框、炒菜机等,各种各样的需......
日期:10-30
韩国5G用户6月底已达134万 较5月底增加近70%
8月5日消息,据国外媒体报道,韩国方面公布的数据显示,5G用户在6月底已达到了134万,较5月份增加近......
日期:08-05
微信小程序日活3亿 强劲DAU拉动商业变现新蓝海
11月13日,腾讯发布2019年第三季度财报,收入972.36亿元同比增长21%,非通用会计准则下净利244.12亿......
日期:11-13
5G基站多辐射大会危害健康?专家:没根据
5G基站太多辐射太大危害健康?专家辟谣。 最近几天随着5G牌照的发放,关于5G的各种讨论也不......
日期:06-11
魅族17系列新机渲染图曝光
这段时间以来,除了几款热门的代表性旗舰频繁得到曝光外,在过去的一年异常低调的魅族最近也开始为......
日期:02-04
企业全面进入复工期,百度“共度计划”提供有效助力
随着企业陆续复工,百度&ldquo;共度计划&rdquo;正在帮助更多的企业渡过难关。...
日期:02-21
Win7即将“退休”使用率仍占六成 腾讯安全持续护航用户安全
要说世界上使用人数最多的操作系统,Windows是当之无愧的王者。而经典操作系统Windows 7(下面简称...
日期:12-10
多元化内容让用户付费习惯持续养成,腾讯音乐2019Q2财报超预期发布
日前,腾讯音乐娱乐集团(NYSE: TME)发布了2019年Q2季度财报。财报数据显示,腾讯音乐第二季度总营收......
日期:08-13
腾讯发布国内首个产业加速器,招募AI与SaaS等方向项目
5月22日,在昆明举行的2019腾讯全球数字生态大会云启智慧产业生态论坛上,腾讯发布国内首个智慧产业......
日期:05-23