安全研究

报告下载|2020年活跃高危安全漏洞盘点


盘点·漏洞公告▶▶▶

1.漏洞跟踪

2020年1月到12月,安恒应急响应中心公众号发布了超过70篇高危安全漏洞和高级攻击事件风险提示,包含了50家以上软件产品和厂商的安全公告解读,预警的安全漏洞主要为远程代码执行漏洞或远程命令执行漏洞,此类漏洞成功利用能直接远程获取目标系统管理权限或服务运行权限。

在70多篇风险提示中,超过30%的漏洞提供了可利用性的验证,并同步更新了检测类产品(漏洞扫描器)和防御类产品的检测规则,同时我们对超过30%的漏洞提供了全球受影响资产范围的数据分析。

在攻击事件方面,主要为年底曝出的供应链攻击事件。此类攻击隐蔽性极高,成功实施后能长时间建立隐蔽通道获取目标系统敏感数据,应急响应中心第一时间对获取的漏洞情报进行跟踪,分析研判影响范围,验证其具体可利用性,并快速输出风险提示(预警),及时提醒使用该产品的用户关注该厂商发布的安全更新补丁,采取临时可用的缓解措施避免遭受恶意攻击者的第一波攻击。

2020年活跃漏洞产品或所属厂商简约统计如下图:

2.漏洞关注

安恒应急响应中心主要针对高危及以上级别的漏洞或是安全事件进行风险提示。具体定级参考包括CVSS3.0版本风险矩阵基本分数(Base Score)为10或接近于10(9.8/9.9)的漏洞或9.5以上漏洞,同时分析综合漏洞严重程度、漏洞利用效果、利用代码公开程度、漏洞利用难度、黑客攻击行为、威胁情报样本、APT秘密泄露、威胁场景推演等,应急响应中心研判标准示例:

2020年,安恒应急响应中心更聚焦可利用性的漏洞关注。固定关注超过50个全球主流安全或软件厂商的安全公告发布通道、包括商业软件厂商、开源软件代码更新发布等,超过80组动态情报来源、0day、APT样本等,覆盖攻击生命周期、供应链攻击生命周期等用于边界突破的高危安全漏洞和内网攻击行为的事件分析和快速响应。

另外,安恒应急响应中心除了跟踪全球最新漏洞情报,还主动出击挖掘漏洞,比如报告了Weblogic、Jackson等产品漏洞,并向产品厂商提供安全建议等。

 

盘点·威胁态势▶▶▶

1. 社工行为

2020年初,由于新冠疫情(COVID-19)因素,网络上出现多起恶意攻击者利用社交网络上新冠病毒疫情讨论群组传播恶意附件的行为。

应急响应中心监测发现在Telegram上相关“武汉肺炎疫情”、“新型冠状病毒”、“实时疫情真相”、“防范知识”等新冠病毒疫情交流讨论群里,有人恶意投放包含这些关键词的文件附件,诱骗用户打开从而感染电脑病毒和植入木马程序,发现的样本主要以诱骗用户主动下载运行的可执行文件为主,有明显带.exe可执行文件后缀的恶意文件(比如:冠状病毒.exe、逃离武汉.exe),也有带.zip的压缩包诱导用户解压执行(比如:中国新型冠状病毒已经出现4000多.zip)等,安恒威胁情报中心和应急响应中心及时对截获的恶意样本进行了分析并发布预警。

截获的部分样本分析示例如下图:

 

2.边界突破

2020年全年,应急响应中心监测发现偏Web类的云管理平台、Web应用服务、中间件组件的远程代码执行漏洞,以及虚拟机本地权限提升的逃逸漏洞等依然是出现较多的高危风险点。这些应用服务和中间件组件漏洞通常直接用于网络边界突破,同时在年中攻防演练的场景中,发现大量用于边界防御的安全设备也被曝安全漏洞,从而受到直接攻击。

在此期间,应急响应中心报告的漏洞和验证的漏洞主要为此类用于边界突破的漏洞,其中Web类漏洞又以反序列化漏洞为主,同时安恒信息海特实验室报告了基站前台命令执行漏洞,应急响应中心第一时间进行漏洞验证。

报告示例如下图:

同时,安恒SUMAP平台对全球网络空间的资产进行快速测绘,并输出受漏洞影响产品的资产范围和数据,SUMAP影响数据报告示例如下图:

3.高级威胁

2020年底,SolarWinds Orion Platform软件被曝在2020年3月到6月发布的版本中,发现遭受了国家级别的高度复杂的供应链攻击事件(SUNBURST后门)。根据公告,此次攻击是软件源码级别的寄生污染,由于该软件客户众多,其中包括很多国际大型企业和政府机构,对安装和部署了受污染软件的企业和机构,面临着被隐蔽攻击的巨大风险,安恒威胁情报中心和应急响应中心对此次供应链攻击事件的生命周期进行复盘和持续跟踪,并第一时间进行了预警,针对供应链生命周期的技战术进行了快速分析。

复盘的简约示例如下图:

近年来,从供应链攻击趋势来看,攻击者选取的寄生污染目标和技战术越来越隐蔽,驻留目标系统后静默时间更长,代码、C2域名、后门流量等都高仿宿主软件代码风格和特征,这对依赖黑名单规则和已知威胁情报的检测方式提出了更高挑战,建议依赖非黑名单的分析模型进行针对高级威胁的防御能力建设,比如通过大数据综合分析来识别和发现此类隐蔽的APT攻击行为。

 

盘点·活跃漏洞▶▶▶

1.第一季度

2020年一季度(1月-3月),安恒应急响应中心公众号共发了15篇高危漏洞风险提示,其中3篇提供了漏洞验证截图,3篇提供了全球网络空间受影响资产测绘数据。

年初,由于新冠疫情(COVID-19)因素,网络上出现多起恶意攻击者利用社交网络上的,新冠病毒疫情讨论群组传播恶意附件的行为,应急响应中心监测发现在Telegram上相关疫情、新冠病毒等交流讨论群里,有人恶意投放包含这些关键词的文件附件,诱骗用户打开从而感染电脑病毒和植入木马程序。安恒威胁情报中心和应急响应中心及时对截获的恶意样本进行了分析并发布预警,同时提供了专用邮箱便于接收用户反馈的恶意和可疑文件。

漏洞方面,一季度验证可利用的漏洞主要包括:

▶Citrix ADC(Application Delivery Controller)和 NetScaler (Citrix Gateway)10.*到13.*的版本存在远程代码执行漏洞,该漏洞能实现路径遍历效果,导致信息泄露;

▶Apache Tomcat AJP协议存在不安全权限控制,可通过AJP Connector直接操作内部数据从而触发的文件包含漏洞,该漏洞能获取目标系统敏感文件,或在控制可上传文件的情况下执行恶意代码获取管理权限;

▶Apache ShardingSphere未限制的YAML解析可能导致不安全反序列化漏洞,恶意攻击者可以通过默认用户名和密码:admin/admin登录后,构造特定的YAML语句达到命令执行的效果。

安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,一季度发布的其他漏洞预警包括:

2. 第二季度

2020年二季度(4月-6月),安恒应急响应中心公众号共发了22篇高危漏洞风险提示,其中8篇提供了漏洞验证截图,6篇提供了全球网络空间受影响资产测绘数据。

4月,网络上有多个用户反馈中了名为“WannaRen”勒索病毒,加密后的文件扩展名为*.WannaRen,并索要比特币才能解密,安恒应急响应中心和威胁情报中心对抓取的勒索病毒样本进行了综合分析,发现黑产团伙此次攻击链如下:

当用户使用了非官方渠道下载精心打包的恶意程序,恶意程序即执行捆绑的PowerShell脚本进一步下载后续恶意文件包,其中使用了白加黑技术加载恶意的加密模块wwlib.dll,并设置服务态启动,使得勒索实际过程在重启之后触发,重启之后加密勒索程序被注入到cmd.exe(mmc.exe、svchost.exe等),等待加密完成后,释放解密器和勒索信,针对该恶意攻击样本,安恒应急响应中心根据分析结果第一时间发布风险提示,提醒用户注意规避和防范。

漏洞方面,二季度验证可利用的漏洞主要包括:

▶Oracle WebLogic Server的Core组件、T3协议远程代码执行高危漏洞,成功利用该漏洞可以达到命令执行的效果,甚至获取WebLogic Server的服务运行权限;

▶vBulletin前台SQL注入漏洞,该漏洞由安恒Zionlab团队分析报告并提供验证;

▶Apache Tomcat反序列化漏洞,Tomcat在开启Session持久化配置和业务系统存在上传漏洞等场景下,恶意攻击者可以通过反序列化漏洞实现远程代码执行攻击,从而获取系统权限;

▶spring-cloud-config-server模块的目录遍历漏洞,可以直接通过构造URL触发,读取配置文件获取到配置敏感信息;

用友NC产品反序列化漏洞,通过JNDI注入利用成功后,恶意攻击者可获取目标系统管理权限;

▶Apache Dubbo Provider默认使用的反序列化工具和补丁绕过漏洞,攻击者通过发送精心构造的恶意 RPC 请求来触发漏洞,当传入的恶意参数被反序列化时,达到代码执行效果。

安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,二季度发布的其他漏洞预警包括:

3.第三季度

2020年三季度(7月-9月),安恒应急响应中心公众号共发了21篇高危漏洞风险提示,其中8篇提供了漏洞验证截图,8篇提供了全球网络空间受影响资产测绘数据。三季度验证可利用的漏洞主要包括:

▶F5 TMUI(流量管理用户界面,也称为配置实用程序)在未公开的页面中存在远程代码执行漏洞,恶意攻击者可以未经身份验证或身份验证后通过BIG-IP管理端口和/或配置的自身IP对TMUI进行攻击,实现任意代码执行;

▶Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本中,默认开启的IIOP、T3协议再次发现反序列化漏洞,恶意攻击者可通过该漏洞进行远程代码执行攻击,从而获取目标系统管理权限;

▶Apache Shiro 1.6.0之前的版本,攻击者使用特制的HTTP请求可绕过Apache Shiro的身份验证;

▶宝塔面板Liunx版7.4.2版本和windows版6.8版本默认开放的888端口运行的phpmyadmin存在未授权访问漏洞,可能导致数据库被恶意修改或删除风险;

▶FasterXML jackson-databind 2.9.10.6之前版本的br.com.anteros:Anteros-DBCP、org.arrahtec:profiler-core、com.nqadmin.rowset:jdbcrowsetimpl等多个组件库存在反序列化漏洞,

应急响应中心对其漏洞的验证效果如下图:

▶phpStudy V8.1.0.7之前Windows版本中,自带的Nginx + PHP FastCGI组合存在不安全配置的,古老的文件解析漏洞,恶意攻击者可以利用该漏洞结合网站其他文件上传功能进行PHP代码执行,从而获得通过上传带有Webshell代码的图片文件即可直接执行PHP代码的效果;

▶Apache Cocoon中的StreamGenerator组件中,该组件将会解析用户提交的XML格式的数据,攻击者会通过发送精心构造的XML格式的恶意数据来触发漏洞,当传入的参数存在敏感操作时,达到获取目标系统敏感文件及服务器权限,

应急响应中心对其漏洞的验证效果如下图:

▶Windows Server Netlogon权限提升漏洞,未通过身份验证的恶意攻击者,在使用Netlogon远程协议(MS-NRPC)连接到域控制器的场景下,通过该漏洞能获得域管理员访问权限,

应急响应中心对其漏洞的验证效果如下图:

安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,三季度发布的其他漏洞预警包括:

 

4.第四季度

2020年四季度(10月-12月),安恒应急响应中心公众号共发了18篇高危漏洞风险提示,其中7篇提供了漏洞验证截图,11篇提供了全球网络空间受影响资产测绘数据。

12月,SolarWinds公告在SolarWinds Orion Platform的2019.4 HF5到2020.2.1及其相关补丁包的受影响版本中,存在高度复杂后门行为的恶意代码(SUNBURST后门),从而导致安装了被污染包的用户系统存在直接被植入后门的巨大风险,通过安恒SUMAP平台对暴露在互联网上的SolarWinds Orion Platform进行统计,当时查询分布情况如下,全球分布:

四季度验证可利用的漏洞主要包括:

▶Apache Solr在使用Configsets API时,在未进行身份验证或授权的情况下,可以通过结合使用UPLOAD或CREATE进行任意文件上传,达到远程代码执行效果;

▶当MyBatis服务中使用二级缓存,进行Mapper的xml中配置时,恶意攻击者将会利用二级缓存序列化数据,配合恶意的参数载荷,对目标机器进行攻击,远程代码执行效果;

▶在禅道开源版低于12.4.3中存在任意文件读取和任意文件上传漏洞,恶意攻击者可以通过fopen/fread/fwrite方法结合file、http、ftp等协议,读取或上传任意敏感文件,成功利用漏洞可获得目标系统中敏感文件及系统管理权限,

应急响应中心对其漏洞的验证效果如下图:

▶在业务系统使用XXL-JOB <= 2.2.0版本的场景中,恶意攻击者可以构造特殊HTTP请求来命令执行,从而获得服务器权限;

▶通过Oracle WebLogic Server HTTP(Console)、IIOP、T3协议漏洞,恶意攻击者能实现远程代码执行效果,从而获取目标系统管理权限;

▶用友NC产品存在文件上传漏洞,恶意攻击者可以通过该漏洞上传任意文件,从而可能导致获取到目标系统管理权限,

应急响应中心对其漏洞的验证效果如下图:

 

安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布预警,四季度发布的其他漏洞包括:

 

盘点·安全建议▶▶▶

1.漏洞缓解

2020年安恒应急响应中心主要提供高危以上级别的安全漏洞和高级攻击事件风险预警,发布风险提示时,优先推荐涉及漏洞产品官方提供的安全更新补丁、漏洞已经修复的新版本、官方提供的临时缓解措施、具体影响的版本范围等,最后才是安恒应急响应中心和SUMAP(全球资产测绘)结果匹配影响区域范围和临时缓解措施,这些措施包括安全加固配置、推荐的安全产品部署等多种灵活的安全加固方案,最小程度减少用户在缓解安全漏洞的同时对系统正常运行的影响。

应急响应中心建议用户根据漏洞实际可利用指数,以及对业务的具体影响实施安全加固的措施参考如下:

安恒应急响应中心还提供常态化的缓解建议,主要是安全开发生命周期建议、安全运营、反入侵威胁防御能力建设等,同时还提供必要的远程和现场应急响应支持,帮助用户第一时间解决紧迫的网络攻击事件和溯源反制、分析和应对APT级别的高级威胁。

关于我们

安恒信息应急响应中心是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞和安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。第一时间通过多渠道对客户进行安全预警通知,并向国家有关部门通报,同时在有关部门的指导下,对影响面极广的漏洞对外发布安全预警和应急措施建议,为安全中国,营造健康、安全的数字化经济环境助力。

报告下载: