九月高危安全漏洞总结,腾讯御界支持漏洞攻击检测

2019-09-30 15:04:42
9月重大网络安全漏洞汇总,提醒企业用户尽快修复,避免遭遇黑客入侵。

1.Fastjson 远程拒绝服务漏洞预警

【Fastjson简介】

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种假定有序快速匹配的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景

【漏洞描述】

攻击者可通过构造特定json字符串请求,可远程使服务器内存和CPU等资源耗尽,造成拒绝服务。最新的1.2.60版本不受影响,请使用fastjson的用户尽快升级至最新版本,腾讯御界可以检测该风险。

【漏洞等级】高危

【影响范围】

fastjson < 1.2.60

fastjson sec < sec06

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

尽快升级到不受影响的版本,下载链接参考:

http://repo1.maven.org/maven2/com/alibaba/fastjson/

【参考资料】

https://github.com/alibaba/fastjson/pull/2692

2.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码被公开

【远程桌面服务简介】

远程桌面服务是为了方便Windows服务器管理员对服务器进行基于图形界面的远程管理而内置于系统中的一个服务,远程桌面服务是基于RDP(Remote Desktop Protocol远程桌面协议)设计,该服务被广泛应用于Windows多个系统版本中。

【漏洞描述】

515日,微软发布了针对远程桌面服务(Remote Desktop Services ,以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响某些旧版本的Windows

攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作。

这意味着,存在漏洞的计算机只要联网,勿须任何操作,就可能遭遇黑客远程攻击,运行恶意代码。这类攻击可能导致蠕虫病毒爆发,就如前些年我们看到冲击波病毒、震荡波病毒,以及WannaCry勒索蠕虫病毒爆发类似。同样,攻击者也可以针对部分重要目标实施攻击,运行勒索软件实施敲诈。

据腾讯安全御见威胁情报中心验证,目前利用该漏洞的EXP代码已被公开发布至metasploit-frameworkPull requests中,经测试可以实现远程代码执行。

【漏洞等级】高危

【影响范围】

该漏洞影响旧版本的Windows系统,包括:

Windows 7Windows Server 2008 R2Windows Server 2008Windows 2003Windows XP

Windows 8Windows 10及之后版本不受此漏洞影响。

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

可使用Windows Update或启动腾讯电脑管家工具箱中的修复漏洞功能,扫描并修复即可。

也可下载微软为解决远程桌面服务漏洞单独发布的补丁程序:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

【参考资料】

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708

3.Remote Desktop Client远程代码执行漏洞(CVE-2019-0788

【远程桌面客户端简介】

通过Remote Desktop Client(远程桌面客户端)可以方便的从一台机器登录到拥有权限的另外一台开启使用了Remote Desktop Service(远程桌面服务端)的系统内,进而可对服务端计算机进行方便的图形化管理。

【漏洞描述】

2019911日,Microsoft发布九月例行安全更新。在官方安全公告中,有4RDP(远程桌面服务)客户端的远程代码执行漏洞(RCE)。官方称尚暂未发现该部分漏洞的在野利用。攻击者可以通过这4个漏洞,在连接客户端的计算机上执行任意代码。这4RDP客户端漏洞的危害等级均被评为了Critical(严重级)。 

该漏洞同5月的BlueKeep漏洞(CVE-2019-0708)、8月的DejaBlue漏洞(CVE-2019-1181/1182)都位于RDP中。不同的是,前面三个漏洞位于远程桌面服务端(RDSRemote Desktop Service),而今天披露的这个CVE-2019-0788则位于远程桌面客户端(RDCRemote Desktop Client)中。

RDS的漏洞可以用来攻击远程的服务器,而RDC漏洞则需要受害者主动连接到服务器,然后服务器向客户端发动攻击从而控制住客户端。该漏洞可被用于服务器反向控制客户端、蜜罐、钓鱼等场景。

漏洞位于RDP客户端处理图像视频流的过程中,漏洞产生的原因为程序员在计算一段数据包的长度时犯了一个错误最终导致越界读写的可远程执行的漏洞,该漏洞可以造成客户端被远程主机控制。

【漏洞等级】高危

【影响范围】

该漏洞普遍影响以下版本的Windows

Microsoft Windows 10 for 32位、64位及ARM64位系统

Microsoft Windows 7 for 32位、64SP1

Microsoft Windows 8.1 for 32位、64

Microsoft Windows RT 8.1

【修复建议】

可使用Windows Update漏洞修复功能安装补丁。

【参考资料】

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787

4.Exim远程获取root权限漏洞预警(CVE-2019-15846

Exim简介】

Exim是由英国剑桥大学的Philip Hazel开发,是一种消息传输代理(MTA),负责邮件的路由,转发和投递。Exim被作者设计成可运行于绝大多数的类UNIX系统上,包括了SolarisAIXLinux等。

【漏洞描述】

据官方提供的安全报告称,该漏洞可通过在初始TLS握手期间发送一个以“\0”结尾的SNI 来触发。当exim启用了TLS,受影响版本的Exim服务器接受TLS连接时,可能会受此漏洞影响,该漏洞将导致未经身份验证的攻击者以root权限执行任意代码。

【漏洞等级】中危

【影响范围】

Exim Version < 4.92.2

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

可通过官方网站下载升级到无漏洞版本,官方链接如下:

https://exim.org/index.html

【参考资料】

https://github.com/Exim/exim

5.WebSphere任意文件读取漏洞(CVE-2019-4505

【WebSphere简介】

WebSphere Application Server 是一种功能完善、开放的Web应用程序服务器,它可以通过快速交付创新的应用程序来帮助企业提供丰富的用户体验。从基于开放标准的丰富的编程模型中进行选择,以便更好地协调项目需求与编程模型功能和开发人员技能。

【漏洞描述】

WebSphere (Web 服务部署中间件)允许远程攻击者构造一个特定的URL获取服务器上的敏感文件。该漏洞可导致攻击者可以查看某个目录中的任何文件。

【漏洞等级】高危

【影响范围】

WebSphere Application Server Version 9.0

WebSphere Application Server Version 8.5

WebSphere Application Server Version 8.0

WebSphere Application Server Version 7.0

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

目前IBM官方已提供安全补丁,可通过下方链接下载修复

https://www.ibm.com/support/pages/node/1073902

各受影响版本对应的升级规则如下:

WebSphere Application Server traditional WebSphere Application Server Hypervisor Edition

9.0.0.09.0.5.0版本升级到9.0.5.1之后的版本

8.5.0.08.5.5.16版本升级到8.5.5.17之后的版本

WebSphere Virtual Enterprise Edition

升级到最新版本。

【参考资料】

https://mp.weixin.qq.com/s/Oy1JRY2uzJeZI6NHydDLzQ

6.Microsoft Excel 远程代码执行漏洞 (CVE-2019-1297)

【Microsoft Excel简介】

Microsoft ExcelMicrosoft的一款电子表格编辑软件,直观的界面、出色的计算功能和图表工具使Excel成为最流行的个人计算机数据处理软件。

【漏洞描述】

Excel无法正确处理内存中的对象时存在此漏洞。成功利用该漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果当前用户使用管理员权限登录,则攻击者可以完全控制受影响的系统,能够安装程序,查看、更改或删除数据,或创建具有完整用户权限的新帐户。

利用此漏洞需要用户通过受影响版本的Microsoft Excel打开一个特别设计的文件。在钓鱼邮件攻击场景中,攻击者可能通过向用户发送特别设计的文件并说服用户打开该文件来利用该漏洞。在基于web的攻击场景中,攻击者可以托管一个包含专门设计用来利用该漏洞的文件的网站。

【漏洞等级】高危

【影响范围】

Microsoft Excel 2010 Service Pack 2 (32-bit editions)

Microsoft Excel 2010 Service Pack 2 (64-bit editions)

Microsoft Excel 2013 Service Pack 1 (32-bit editions)

Microsoft Excel 2013 Service Pack 1 (64-bit editions)

Microsoft Excel 2013 RT Service Pack 1

Microsoft Office 2016 for Mac

Microsoft Excel 2016 (32-bit edition)

Microsoft Excel 2016 (64-bit edition)

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for Mac

Office 365 ProPlus for 32-bit Systems

Office 365 ProPlus for 64-bit Systems

【修复建议】

建议用户通过Microsoft Update进行补丁更新,也可到下方官方地址内下载安装对应补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1297

【参考资料】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1297

7.Exim远程堆溢出漏洞(CVE-2019-16928

Exim简介】

Exim是由英国剑桥大学的Philip Hazel开发,是一种消息传输代理(MTA),负责邮件的路由,转发和投递。Exim被作者设计成可运行于绝大多数的类UNIX系统上,包括了SolarisAIXLinux等。

【漏洞描述】

官方在公告中表示,Exim源代码string.c文件中的string_vformat函数存在一处堆溢出漏洞,攻击者可以通过SMTP协议中的EHLO长字符来导致Exim的异常触发。

【漏洞等级】低危

【影响范围】

Exim 4.92 4.92.2

【修复建议】

可通过官方网站下载升级到4.92.3无漏洞版本,官方链接如下:

https://exim.org/index.html

【参考资料】

https://seclists.org/oss-sec/2019/q3/253

8.Harbor未授权创建管理员漏洞(CVE-2019-16097)

Harbor简介】

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。

Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署腾讯御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

Harbor存在未经授权可以创建任意管理员的漏洞。攻击者可通过构造特定的字符串,在未授权的情况下直接创建管理员账号,从而接管Harbor镜像仓库。攻击者接管Harbor镜像仓库后,可写入恶意镜像,使用此仓库的客户端则可能受到感染。

【漏洞等级】高危

【影响范围】

受影响版本

Harbor 1.7.0-1.8.2

不受影响版本

Harbor>= 1.7.6

Harbor>= 1.8.3

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

尽快升级到安全版本,下载链接参考:

https://github.com/goharbor/harbor/releases

【参考链接】

https://github.com/goharbor/harbor/issues/8951

9.泛微e-cology OA Beanshell组件远程代码执行漏洞

【泛微简介】

泛微成立于2001年,在中国拥有巨大软件市场,覆盖86个行业,30000多企业,包括太平洋保险、中国中化在内的世界五百强,茅台、伊利在内中国知名企业都使用了泛微的办公软件。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

漏洞是由于泛微e-cology OA系统的JAVA Beanshell接口可被未授权访问,任意攻击者都可调用该接口,通过构造特定的请求可实现远程执行命令。

【漏洞等级】高危

【影响范围】

泛微E-cology =< 9.0

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了腾讯御界的企业用户可通过在线自动更新或离线升级包来获得针对该漏洞的攻击检测能力。

【修复建议】

升级e-cology OA到最新版本

【参考链接】

https://www.weaver.com.cn/cs/securityDownload.asp

10.phpMyAdmin跨站点请求伪造漏洞(CVE-2019-12922)

【phpMyAdmin简介】

phpMyAdmin是一个用PHP编写的免费软件工具,用于处理MySQLMariaDB数据库服务器的管理。 您可以使用phpMyAdmin执行大多数管理任务,包括创建数据库,运行查询和添加用户帐户。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞等级】中危

【漏洞描述】

phpMyAdmin中存在一个零日CSRF漏洞,攻击者利用该漏洞,通过诱导管理员访问恶意构造的链接,可删除受害者服务器phpMyAdmin设置面板中配置的任意服务器。目前利用方式已被公开。

【影响范围】

phpMyAdmin<= 4.9.0.1

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

漏洞虽然属于中危,但目前官方暂未发布针对此漏洞的修复版本。建议相关phpMyAdmin<管理员不要点击来历不明的链接,并关注官方相关信息,及时升级phpMyAdmin 至修复版本。

临时缓解措施:

可通过在每次调用时使用 token 变量验证来对该漏洞进行防护。

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2019-12922

11.Fastjson 1.2.60/1.2.61远程代码执行漏洞

【Fastjson简介】

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种假定有序快速匹配的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

Fastjson<=1.2.60版本被曝存在新的远程代码执行漏洞,攻击者可利用漏洞构造特定的恶意请求到远程Fastjson服务器,获取主机远程控制权限。

fastjson官方发布了1.2.61新版本,增加了autoType安全黑名单,修复了1.2.60版本的RCE(远程代码执行)漏洞,但是新版本刚发布不到一周时间,又被爆出,成功绕过了黑名单防护,可利用fastjson反序列化特性造成RCE

【漏洞等级】高危

【影响范围】

Fastjson<=1.2.61

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

目前官方最新版本停留在1.2.61,可升级到官方最新版本,并及时关注官方更新

【参考链接】

https://github.com/alibaba/fastjson

12.Jira未授权SSRF漏洞(CVE-2019-8451)

【Jira简介】

Jira是一个缺陷跟踪管理系统,为针对缺陷管理、任务追踪和项目管理的商业性应用软件,开发者是澳大利亚的AtlassianJIRA这个名字并不是一个缩写,而是截取自“Gojira”,日文的哥斯拉发音。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

近日Atlassian公开了一个Jira未授权SSRF漏洞。Jira中的/plugins/servlet/gadgets/makeRequest类允许远程攻击者通过服务器端请求伪造(SSRF)漏洞来访问内网资源。

【漏洞等级】高危

【影响范围】

Jira < 8.4.0

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

升级Jira到最新版本

下载地址:https://www.atlassian.com/software/jira/download

【参考链接】

https://jira.atlassian.com/browse/JRASERVER-69793

13.phpStudy(后门)远程代码执行漏洞

phpStudy简介】

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

920日,杭州公安曝光了国内知名PHP调试环境程序集成包“PhpStudy软件遭到黑客篡改并植入后门。 该“后门”具有控制计算机的功能,可以远程PHP代码执行,实现用户个人信息收集等恶意行为。

【漏洞等级】高危

【影响范围】

2016-2018年受phpStudy后门事件影响的多个版本

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

1.卸载存在phpStudy后门的版本,检测方法参考:https://www.xp.cn/ad/2366.html

2.安装phpStudy到最新版本https://www.xp.cn

【参考链接】

https://www.xp.cn

14.IE脚本引擎远程代码执行漏洞(CVE-2019-1367)

【IE简介】

Internet Explorer,是微软所开发的图形用户界面网页浏览器。自从1995年开始,内置在各个新版本的Windows作业系统作为默认的浏览器。但20153月微软确认将放弃IE品牌,转而在windows 10上,用Microsoft Edge取代了Internet Explorer

腾讯御界高级威胁检测系统已率先支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测局域网内终端电脑是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

20190923日,微软发布了针对IE浏览器组件jscript.dll的漏洞修复补丁,该漏洞由Google威胁分析小组的安全研究员发现,成功利用此漏洞会破坏内存,可以在当前用户的上下文中实现UAF,执行任意代码。

【漏洞等级】高危

【影响范围】

IE 91011版本,该漏洞在Windows专业版、Windows家庭版环境严重程度为严重,在Windows Server版操作系统严重程度为中等,因IE浏览器在Server操作系统运行在受限模式,减轻了漏洞风险。

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

使用使用Windows Update及时打上漏洞修复补丁,也可下载运行CVE-2019-1637漏洞修复工具,可帮助用户安装修复该漏洞。漏洞修复工具下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/IERmtVulFixv1.exe

【参考链接】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

15.vBulletin 5.x 远程代码执行漏洞(CVE-2019-16759)

【vBulletin简介】

vBulletin 是一个强大,灵活并可完全根据自己的需要定制的论坛程序套件。

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测。企业用户可通过部署御界来检测是否受到此类漏洞的攻击,以免被恶意攻击者入侵入侵利用,造成损失。

【漏洞描述】

vBulletin中存在一个文件包含问题,可使恶意访问者包含来自 vBulletin 服务器的文件并且执行任意 PHP 代码。未经验证的恶意访问者可通过向index.php发出包含routestring=参数的GET 请求,从而触发文件包含漏洞,最终导致远程代码执行漏洞。

【漏洞等级】高危

【影响范围】

vBulletin>=5.0.0

vBulletin<= 5.5.4

【攻击检测】

腾讯御界高级威胁检测系统已支持针对该漏洞的攻击检测,部署了御界的企业用户可通过在线自动更新或离线升级包来获得支持针对该漏洞的攻击检测。

【修复建议】

及时升级安全更新补丁,参考:https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2019-16759

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

最新资讯