所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年4月份必修安全漏洞清单:
一、kkFileView任意文件上传致远程代码执行漏洞
二、IP-guard WebServer 权限绕过漏洞
三、Oracle WebLogic T3/IIOP反序列化漏洞
四、禅道项目管理系统身份认证绕过漏洞
五、Ivanti Connect Secure IPSec组件堆越界写入漏洞
六、Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞
七、SmartScreen Prompt 安全特性绕过漏洞
八、CrushFTP 服务器端模板注入漏洞
九、Telegram Desktop 远程代码执行漏洞
漏洞介绍及修复建议详见后文
**一、**kkFileView任意文件上传致远程代码执行漏洞
概述:
腾讯安全近期监测到kkFileView官方发布了关于kkFileView的风险公告,漏洞编号为TVD-2024-10667。成功利用此漏洞的攻击者,可上传任意文件,最终远程执行任意代码。
KKFileView是一个功能强大的文件查看器,支持多种文件格式的在线预览和浏览。它能够实现对各类文档、图片、音视频等文件的快速查看,无需下载和安装第三方应用程序,为用户提供了便捷的在线浏览体验。
据描述,该漏洞源于kkFileView中处理zip文件的CompressFileReader类存在代码缺陷,解压时kkFileView会获取文件名及其目录,但未对文件路径进行处理,导致存在路径穿越漏洞。攻击者可以通过上传恶意zip文件覆盖任意文件内容(如计划任务文件等),最终远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
4.2.0 <= kkFileView <= 4.4.0-beta
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://kkfileview.keking.cn/zh-cn/index.html/
https://github.com/kekingcn/kkFileView/releases
2. 临时缓解方案
- 开启file.upload.disable=true参数,禁用首页的上传文件,关闭演示入口
- 如非必要,请不要将该系统暴露在公网。
- 通过访问控制措施,仅允许受信任的IP地址进行访问。
**二、**IP-guard WebServer 权限绕过漏洞
概述:
腾讯安全近期监测到互联网上发布了关于IP-guard WebServer的风险公告,漏洞编号为TVD-2024-10927。成功利用此漏洞的攻击者,最终可绕过权限验证访问后台接口,进行任意文件读取、删除等操作。
IP-guard是由广州市溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。它能够帮助企业有效地监控和管理内部网络的使用情况,防止非法访问和数据泄露。通过实时监控网络流量,它可以及时发现并处理网络安全威胁,保护企业的信息资产。
据描述,该漏洞源于IP-guard WebServer存在代码缺陷,当满足判断条件$func == ‘getdatarecord'时不会重定向到登录页面,而$func的值由uri的最后一个路径决定,攻击者可以通过拼接/getdatarecord未授权访问敏感接口,如downloadFile_client等。攻击者可以进一步利用这些接口读取敏感文件,或进行一些恶意操作。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
IP-guard < 4.82.0609.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 临时缓解方案
- 如非必要,请不要将该系统暴露在公网。
- 通过网络ACL策略限制访问来源,只允许来自特定IP地址或地址段的访问请求。
**三、**Oracle WebLogic T3/IIOP反序列化漏洞
概述:
腾讯安全近期监测到Oracle官方发布了关于WebLogic的风险公告,漏洞编号为TVD-2024-10573/ TVD-2024-10607 (CVE编号:CVE-2024-21006/CVE-2024-21007,CNNVD编号:CNNVD-202404-2306/ CNNVD-202404-2304)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
WebLogic是一款由Oracle公司开发的高性能、可扩展的Java应用服务器,主要用于构建、部署和管理企业级分布式应用系统。它提供了丰富的功能和工具,支持Java EE标准,使开发者能够快速搭建复杂的业务逻辑和应用程序,满足企业对高可用性、高性能和安全性的需求。
由于WebLogic的T3/IIOP协议存在代码缺陷,未经身份验证的攻击者可通过T3/IIOP协议向受影响的服务器发送恶意请求触发反序列化漏洞,最终远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
7.5
影响版本:
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.oracle.com/security-alerts/cpuapr2024.html
2. 临时缓解方案:
如不依赖T3/IIOP协议进行通信,可通过阻断T3协议和关闭IIOP协议端口防止漏洞攻击,方法如下:
a. 禁用T3协议:
进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器,然后在连接筛选器中输入:
weblogic.security.net.ConnectionFilterImpl
在连接筛选器规则框中输入:
* * 7001 deny t3 t3s
b. 禁用IIOP协议:
在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。
**四、**禅道项目管理系统身份认证绕过漏洞
概述:
腾讯安全近期监测到禅道官方发布了关于禅道项目管理系统的风险公告,漏洞编号为TVD-2024-11395。成功利用此漏洞的攻击者,可以绕过身份认证,调用任意API接口并修改管理员用户的密码,以管理员用户登录该系统。
禅道项目管理系统是一款开源的、基于Scrum敏捷开发模式的项目管理软件,致力于为软件开发团队提供全面的项目管理解决方案。它集成了需求管理、任务管理、缺陷跟踪、文档库、团队协作等功能,帮助团队更高效地进行项目规划、执行和监控,实现资源优化和质量提升。
据描述,该漏洞源于禅道项目管理系统中的/module/common/model.php存在一个deny函数,该函数会为当前的session添加user属性。攻击者可以通过发送特制的请求调用该函数获取带有user属性的session,并借助这个session访问任意API接口,最终获得管理员账户权限。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
3.x <= 禅道项目管理系统 < 4.12(旗舰版)
6.x <= 禅道项目管理系统 < 8.12(企业版)
16.x <= 禅道项目管理系统 < 18.12(开源版)
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.zentao.net/page/download.html/
2. 临时缓解方案
- 如无必要,避免开放至公网。
**五、**Ivanti Connect Secure IPSec组件堆越界写入漏洞
概述:
腾讯安全近期监测到Ivanti官方发布了关于Ivanti Connect Secure的风险公告,漏洞编号为TVD-2024-9006 (CVE编号:CVE-2024-21894,CNNVD编号:CNNVD-202404-647)。成功利用此漏洞的攻击者,可导致服务崩溃,特定情况下可远程执行任意代码。
Ivanti Connect Secure是一款企业级的远程访问解决方案,旨在为员工和合作伙伴提供安全、可控的远程连接到企业内部资源。它采用了先进的加密技术和多因素身份验证,确保远程访问的安全性,同时支持多种设备和操作系统,使用户能够在任何地点、任何设备上高效地完成工作任务。
据描述,Ivanti Connect Secure 以ROOT权限运行IPSEC服务,当IPSEC服务端程序在解析IKEV2协议数据包时,由于验证不当,导致代码存在堆越界写漏洞。通过此漏洞,攻击者无需认证即可通过UDP端口攻击Ivanti Connect Secure,进而触发拒绝服务,特定情况下可以导致远程代码执行。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
9.1 r1 <= Ivanti Connect Secure <= 9.1 r18
22.1 <= Ivanti Connect Secure <= 22.6
9.0 <= Ivanti Policy Secure <= 9.0 r4
9.1 <= Ivanti Policy Secure <= 9.1 r18
22.1 <= Ivanti Policy Secure <= 22.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 临时缓解方案
- 如无必要,避免将该端口(默认是500)开放至公网。
**六、**Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞
概述:
腾讯安全近期监测到Palo Alto官方发布了关于PAN-OS的风险公告,漏洞编号为 TVD-2024-10049 (CVE编号:CVE-2024-3400,CNNVD编号:CNNVD-202404-1777)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
PAN-OS是Palo Alto Networks开发的一款网络安全操作系统,专为其下一代防火墙和其他安全设备设计。它具有先进的威胁防护、应用识别、URL过滤等功能,能够实时识别和阻止各种网络攻击,保护企业网络资源免受潜在风险。通过集中式管理和自动化工具,PAN-OS帮助企业简化网络安全管理,提高安全性能。
在PAN-OS中,gpsvc文件对Cookie中的SESSID字段处理存在问题。攻击者可以通过构建特殊请求,创建一个任意路径和文件名可控的空文件。同时,在telemetry服务中,定时任务device_telemetry_send会调用/usr/local/bin/dt_send来发送数据。在调用过程中,dt_send会遍历/opt/panlogs/tmp/device_telemetry/minute目录,并将文件名传递到dt_curl中的send_file函数,进而拼接到命令行中。利用这个过程,攻击者可以将之前创建的带有命令注入文件名的文件写入到该目录,等待dt_send遍历并将恶意文件名拼接到dt_curl中,从而实现命令注入。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
10
影响版本:
10.2.0 <= PAN-OS < 10.2.9-h1
11.0.0 <= PAN-OS < 11.0.4-h1
11.1.0 <= PAN-OS < 11.1.2-h3
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://security.paloaltonetworks.com/CVE-2024-3400
2. 临时缓解方案
- 避免将服务开放至公网。
漏洞利用可能性变化趋势:
P.S. 利用可能性大的漏洞需要被优先修复
漏洞利用可能性阶段飙升的原因:
- 2024.04.20 真正的POC公开
**七、**SmartScreen Prompt 安全特性绕过漏洞
概述:
腾讯安全近期监测到Windows官方发布了关于SmartScreen Prompt的风险公告,漏洞编号为 TVD-2024-9478 (CVE编号:CVE-2024-29988,CNNVD编号:CNNVD-202404-1073)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
SmartScreen Prompt是一项微软Windows操作系统的安全功能,旨在保护用户免受恶意软件、钓鱼网站和其他网络威胁的侵害。它通过分析用户访问的网站和下载的文件,对其进行实时评估和风险预警,从而帮助用户识别并避免潜在的危险,提高网络安全防护水平。
据描述,该漏洞源于SmartScreen Prompt存在代码缺陷,攻击者可以发送特制的恶意文件,并诱导用户使用一个无UI的启动器来运行该文件,最终绕过Microsoft Defender SmartScreen的防护,在目标系统上执行恶意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
8.8
影响版本:
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29988
**八、**CrushFTP 服务器端模板注入漏洞
概述:
腾讯安全近期监测到CrushFTP官方发布了关于CrushFTP的风险公告,漏洞编号为 TVD-2024-11199 (CVE编号:CVE-2024-4040,CNNVD编号:CNNVD-202404-2987)。成功利用此漏洞的攻击者,可绕过身份验证获得管理访问权限,获取敏感信息或执行代码。
CrushFTP是一款功能强大、易于使用的跨平台文件传输服务器软件,支持多种主流协议如FTP、SFTP、FTPS、HTTP和WebDAV等。它提供高度可定制的用户界面、实时数据传输监控、文件同步功能以及安全加密传输等特性,适用于个人、中小企业和大型企业的文件传输需求,帮助用户实现高效、安全的文件共享和管理。
据描述,在访问以/WebInterface为前缀的任何页面时,CrushFTP会返回一个匿名用户令牌,利用该令牌可以访问由ServerSessionAJAX实现的API接口。API接口会将HTTP请求中的模版变量进行替换输出,攻击者可以利用这个特性触发模板注入,读取敏感文件内容或进行其他恶意活动。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
10
影响版本:
CrushFTP v7,v8,v9全版本
10.0.0 <= CrushFTP < 10.7.1
11.0.0 <= CrushFTP < 11.1.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update
2. 临时缓解方案
- 通过访问控制措施,仅允许受信任的IP地址进行访问。
- 在修复完成前,请不要将该系统暴露在公网。
**九、**Telegram Desktop 远程代码执行漏洞
概述:
腾讯安全近期监测到互联网上发布了关于Telegram Desktop的风险公告,漏洞编号为TVD-2024-12452。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Telegram是一款免费的即时通讯应用,提供加密聊天、群组、频道等功能,支持跨平台使用。它以安全、私密和快速的特点受到用户欢迎,同时还提供了丰富的表情包、贴纸和机器人等拓展功能,为用户提供便捷的沟通体验。
据描述,该漏洞源于Telegram客户端中通过黑名单限制Windows下可执行文件后缀,由于黑名单列表错误拼写了python zipapp后缀pyzw、遗漏lua可执行文件后缀wlua和lexe,在telegram中传递该类型文件不会出现安全提醒。攻击者可以利用 Telegram 的机器人 API 将这些恶意文件伪装成视频文件进行传播,并通过诱导用户点击来执行文件,从而可能在用户的计算机环境中利用 Python或 Lua执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
8.8
影响版本:
Telegram Desktop (Windows) <= 4.16.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/telegramdesktop/tdesktop/releases
2. 临时缓解方案
- 临时使用Web端telegram。
- 禁用pyzw、wlua、lexe文件(默认配置为打开状态)。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:_https://s.tencent.com/research/report/157
_
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。