腾讯安全威胁情报中心推出2022年1月份必修安全漏洞清单，所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，不修复就意味着黑客攻击入侵后会造成十分严重的后果。 

腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列为必修安全漏洞候选清单。 

腾讯安全威胁情报中心定期发布安全漏洞必修清单，以此指引政企客户安全运维人员修复漏洞，从而避免重大损失。 

以下是2022年1月份必修安全漏洞清单：

1.      Windows在野权限提升漏洞

概述：

2022年1月12日腾讯安全发现，Microsoft官方发布当月补丁，其中披露了2022年第一个在野利用的零日漏洞（CVE-2022-21882）,意味着在补丁出现之前该漏洞已被用于攻击活动，目前漏洞细节已被公开，漏洞利用代码已公开，已被CISA 列入联邦企业必修漏洞清单，攻击者可利用该漏洞在目标Windows服务器上完成提权，获取SYSTEM权限。

因该漏洞利用代码已被公开，腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞状态：

风险等级：

影响版本：

Windows 10 Version 20H2 for 32bit Systems

Windows 10 Version 20H2 for x64based Systems

Windows 10 Version 1909 for ARM64based Systems

Windows 10 Version 1909 for x64based Systems

Windows 10 Version 1909 for 32bit Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 for ARM64based Systems

Windows 11 for x64based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32bit Systems

Windows 10 Version 21H1 for ARM64based Systems

Windows 10 Version 21H1 for x64based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

修复建议：

微软已发布相关补丁，使用Windows自动更新修复以上漏洞，官方链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21882

2.  Apple IOMobileFrameBuffer 安全漏洞

概述：

2022年1月27日，腾讯安全监测发现苹果发布了紧急iOS更新，修复了 11 个安全漏洞，并将其中一个漏洞CVE-2022-22587标记为“可能已被积极利用”。

苹果官方对该漏洞的描述为IOMobileFrameBuffer中存在内存损坏漏洞，攻击者可以利用此漏洞以内核权限执行任意代码。

目前官方已发布补丁，腾讯安全专家建议受影响用户尽快升级。

IOMobileFramebuffer是用于管理屏幕帧缓冲区的内核扩展。它由用户级框架IOMobileFramework 控制。

漏洞状态：

风险等级：

影响版本：

Apple iOS: 15.0 19A346, 15.0.1 19A348, 15.0.2 19A404, 15.1 19B74, 15.1.1 19B81, 15.2 19C56, 15.2 19C57, 15.2.1 19C63

iPadOS: 15.0 19A346, 15.0.1 19A348, 15.0.2 19A404, 15.1 19B74, 15.1 19B75, 15.2 19C56, 15.2.1 19C63

修复建议：

根据影响版本中的信息，排查并升级到安全版本：
http://support.apple.com/en-us/HT213053

3.      Linux Polkit权限提升漏洞

概述：

2022年1月26日，腾讯安全监测到Qualys研究团队公开披露了在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。 pkexec 应用程序是一个 setuid 工具，旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。

由于当前版本的 pkexec 无法正确处理调用参数计数，并最终会尝试将环境变量作为命令执行。 攻击者可以通过控制环境变量，从而诱导 pkexec 执行任意代码。利用成功后，可导致非特权用户获得管理员权限。

由于为系统预装工具，目前主流Linux版本均受影响，腾讯安全专家建议受影响用户尽快升级，漏洞威胁等级：高危。

漏洞状态：

风险等级：

影响版本：

由于为系统预装工具，目前主流Linux版本均受影响

修复建议：

CentOS用户可采用如下命令升级到安全版本或更高版本：
yum clean all && yum makecache
yum update polkit -y

通过以下命令可查看Polkit是否为安全版本：

rpm -qa polkit

Ubuntu用户可采用如下命令升级至安全版本或更高版本：
sudo apt-get update
sudo apt-get install policykit-1

通过以下命令可查看Polkit是否为安全版本：

dpkg -l policykit-1

官方源未更新用户可通过以下命令临时缓解：
# chmod 0755 /usr/bin/pkexec

目前各Linux发行版官方均已给出安全补丁，建议用户尽快升级至安全版本，或参照官方说明措施进行缓解，CentOS、Ubuntu及Debian用户可参考以下链接：
https://ubuntu.com/security/CVE-2021-4034
https://access.redhat.com/security/cve/CVE-2021-4034
https://security-tracker.debian.org/tracker/CVE-2021-4034

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

4.      Apache Log4j安全漏洞

概述：

腾讯安全近期监测发现Apache官方披露了多个Log4j安全漏洞: 

CVE-2022-23302

JMSSink 中的一个高严重性反序列化漏洞。JMSSink 以不受保护的方式使用 JNDI，如果将 JMSSink 配置为引用不受信任的站点或攻击者可以访问所引用的站点，则任何使用 JMSSink 的应用程序都容易受到攻击。例如，攻击者可以通过操纵 LDAP 存储中的数据来导致远程代码执行。

CVE-2022-23305

JDBCAppender 中的一个高服务器 SQL 注入漏洞，它允许记录的数据修改组件的行为。根据设计，Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数，其中要插入的值是来自 PatternLayout 的转换器。消息转换器 %m 可能总是包含在内。这允许攻击者通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵 SQL，从而允许执行意外的 SQL 查询。

CVE-2022-23307

针对 Log4j 1.x 中chainsaw组件的严重级别漏洞。这与在 Chainsaw 2.1.0 中修复的 CVE-2020-9493 中更正的问题相同，但 Chainsaw 已作为 Log4j 1.2.x 的一部分包含在内。

Apache Log4j是一个用于 Java 的日志库，由 Apache 软件基金会的一个专门的提交者团队开发。

漏洞状态：

风险等级：

影响版本：

Apache Log4j 1.x

修复建议：

根据影响版本中的信息，排查并升级到安全版本:

Apache Log4j 2.x

https://logging.apache.org/log4j/1.2/index.html

5.      Microsoft Exchange Server安全漏洞

概述：

腾讯安全检测发现在2022年1月12日，Microsoft官方发布当月补丁，其中披露了Microsoft Exchange Server系列安全漏洞(CVE-2022-21846/CVE-2022-21855/CVE-2022-21969)，攻击者可能使用该漏洞在目标服务器中执行任意代码，漏洞威胁等级：高危，CVSS评分9.0。

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发作用外，在新版本的产品中亦加入了一系列辅助功能，如语音邮件、邮件过滤筛选和OWA。Exchange Server支持多种电子邮件网络协议，如SMTP、NNTP、POP3和IMAP4。

漏洞状态：

风险等级：

影响版本：

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

修复建议：

微软已发布相关补丁，使用Windows自动更新修复以上漏洞，官方链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846

6.      APACHE DUBBO远程代码执行漏洞

概述：

1月12日腾讯安全监测发现Apache Dubbo官方发布安全通告，披露了Apache Dubbo hessian-lite存在远程代码执行漏洞( CVE-2021-43297)。

据官方描述，dubbo hessian-lite 3.2.11及之前版本存在反序列化漏洞，可能导致恶意代码执行。 大多数 Dubbo 用户使用 Hessian2 作为默认的序列化/反序列化协议，在 Hessian 捕获意外异常期间，Hessian 会注销一些信息，并可能导致远程代码执行。

Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。

漏洞状态：

风险等级：

影响版本：

Apache Dubbo 2.6.x < 2.6.12,

Apache Dubbo 2.7.x < 2.7.15,

Apache Dubbo 3.0.x < 3.0.5

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

Apache Dubbo 2.6.x >= 2.6.12,

Apache Dubbo 2.7.x >= 2.7.15,

Apache Dubbo 3.0.x >= 3.0.5

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

7.      HTTP 协议栈远程代码执行漏洞

概述：

腾讯安全检测发现在2022年1月12日，Microsoft官方发布当月补丁，其中披露了HTTP 协议栈远程代码执行漏洞(CVE-2022-21907)，该漏洞允许攻击者利用 HTTP 协议栈 (http.sys) 构造特制数据包并发送到目标服务器来触发漏洞，成功利用可能导致远程代码执行，该漏洞被微软标记为 “严重”。CVSS 评分 9.0。

漏洞状态：

风险等级：

影响版本：

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for .32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for .32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for .32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for .32-bit Systems

修复建议：

根据影响版本中的信息，排查并升级到安全版本:

微软已发布相关补丁，使用Windows自动更新修复以上漏洞，官方链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

8.      SMA100设备缓冲区溢出漏洞

概述：

腾讯安全监测发现网络安全供应商 SonicWall 爆出多个安全漏洞，攻击者可以远程利用这些漏洞并完全控制受影响的系统，其中SMA 100 设备（包括 SMA 200、210、400、410 和 500v）中的一个严重漏洞CVE-2021-20038 可能使未经身份验证的远程攻击者进行缓冲区溢出攻击，这可能会导致设备中的恶意代码执行。还注意到启用/许可 WAF 的 SMA 100 用户也受到此漏洞的影响。

腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞状态：

风险等级：

影响版本：

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

官方链接：https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026

通用的漏洞修复、防御方案建议

腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的修复建议及时升级修复漏洞，推荐企业安全运维人员通过腾讯云原生安全产品检测、防御安全漏洞。具体操作步骤可参考以下文章指引：

https://s.tencent.com/research/report/157

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。