所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年3月份必修安全漏洞清单:
一、JetBrains TeamCity 身份验证绕过漏洞
二、ChatGPT-Next-Web请求伪造漏洞
三、XZ-Utils后门植入漏洞
四、pgAdmin4反序列化漏洞
五、JumpServer后台模版注入漏洞
六、Atlassian Confluence路径遍历漏洞
漏洞介绍及修复建议详见后文
**一、**JetBrains TeamCity 身份验证绕过漏洞
概述:
腾讯安全近期监测到JetBrains官方发布了关于TeamCity的风险公告,漏洞编号为TVD-2024-5813 (CVE编号:CVE-2024-27198,CNNVD编号: CNNVD-202403-298)。成功利用此漏洞的攻击者,最终可创建管理员用户,远程执行任意代码。
TeamCity是一个强大的持续集成和持续部署(CI/CD)服务器,由JetBrains开发。它提供了自动化构建、测试、部署和发布功能,支持多种编程语言和开发环境。TeamCity旨在帮助开发团队加速软件开发过程、提高代码质量并实现敏捷开发,通过可视化界面和丰富的插件生态系统,使开发者能够轻松地配置和管理项目。
据描述,该漏洞源于TeamCity存在代码缺陷,用户可以通过发送特定的请求,调用updateViewIfRequestHasJspParameter方法访问任意接口。攻击者可以利用该漏洞创建管理员用户,上传恶意插件,最终远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
JetBrains TeamCity < 2023.11.4
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 临时缓解方案
- 在未修复漏洞之前,避免将TeamCity开放至公网。
漏洞利用可能性变化趋势:
P.S. 利用可能性大的漏洞需要被优先修复
漏洞利用可能性阶段飙升的原因:
- 2024.03.05 EXP公开
- 2024.03.07出现大量在野攻击
**二、**ChatGPT-Next-Web请求伪造漏洞
概述:
腾讯安全近期监测到互联网上发布了关于ChatGPT-Next-Web的风险公告,漏洞编号为TVD-2023-31075 (CVE编号:CVE-2023-49785,CNNVD编号:CNNVD-202403-910)。成功利用此漏洞的攻击者,最终可进行内网探测、读取敏感信息、恶意流量伪造等操作。
ChatGPT-Next-Web(NextChat) 是一款跨平台的ChatGPT应用, 支持 GPT3, GPT4 & Gemini Pro 等模型。ChatGPT-Next-Web旨在提供高质量的对话生成服务,帮助用户解决问题、获取信息或进行娱乐互动,同时为开发者提供简单的集成方式来改进现有的Web应用。
据描述,该漏洞源于ChatGPT-Next-Web允许未经身份验证的用户通过/api/cors接口发送任意 HTTP 请求。攻击者可以通过访问该接口,绕过内置的浏览器跨域资源访问保护,进行内网探测、访问敏感信息等操作。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.1
影响版本:
ChatGPT-Next-Web < 2.11.3
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/ChatGPTNextWeb/ChatGPT-Next-Web/releases
2. 临时缓解方案
- 避免开放至公网。
- 如果必须开放至公网,请隔离网络,确保其无法访问任何其他内部资源。
**三、**XZ-Utils 后门植入漏洞
概述:
腾讯安全近期监测到互联网上关于XZ-Utils的风险公告,漏洞编号为TVD-2024-8298 (CVE编号:CVE-2024-3094,CNNVD编号:CNNVD-202403-3194)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
XZ Utils 是一款用于压缩和解压缩文件的工具集。XZ Utils 由 Lasse Collin 开发,是一个开源项目,广泛应用于各种操作系统中。xz文件格式是一种基于 LZMA2 压缩算法的文件格式,它提供了比传统 gzip 更高的压缩比,同时保持了相对较高的解压缩速度。
据描述,该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH底层依赖了liblzma等库,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权的访问权限,从而执行任意代码。
漏洞状态:
类别
状态
安全补丁
未公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
10
影响版本:
XZ-Utils 5.6.0
XZ-Utils 5.6.1
liblzma 5.6.0
liblzma 5.6.1
修复建议:
1. 在命令行输入:
xz --version
检查xz版本,如果输出为5.6.0 或 5.6.1,说明系统可能受后门风险影响。如果查出版本在受影响范围内,可利用如下自查脚本排查是否存在后门:
#! /bin/bash
如果存在后门风险,可将xz降级到 5.6.0 版本以下的安全版本或升级至5.6.1以上版本,该操作可以通过您的操作系统的包管理器来完成:
基于 Debian 的系统:
sudo apt-get install xz-utils=5.4.5
在基于 Red Hat 的系统中,您可以使用类似的命令:
sudo yum downgrade xz-utils
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 如果不需要XZ-Utils,可以通过包管理器卸载该软件。
基于 Debian 的系统:
sudo apt-get remove xz-utils
基于 Red Hat 的系统:
sudo yum remove xz-utils
**四、**pgAdmin4 反序列化漏洞
概述:
腾讯安全近期监测到pgAdmin官方发布了关于pgAdmin4的风险公告,漏洞编号为TVD-2024-6042 (CVE编号:CVE-2024-2044,CNNVD编号:CNNVD-202403-686)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
pgAdmin4是一款流行的开源PostgreSQL数据库管理工具,提供了一个功能丰富且直观的图形界面,方便用户轻松地创建、管理和维护PostgreSQL数据库。它支持多种操作系统,包括Windows、macOS和Linux,同时支持多种数据库对象和操作,如创建表、索引、视图以及执行SQL查询等。pgAdmin4还具有强大的安全性和扩展性,使得数据库管理员和开发者能够高效地管理和优化PostgreSQL数据库。
据描述,该漏洞源于pgAdmin4 使用基于文件的会话管理方法,会话文件作为 pickle 对象保存在磁盘上。当用户执行请求时,会话 cookie 的值pga4_session会被用于检索文件,然后反序列化其内容,最后验证其签名。攻击者可以通过发送特制的请求触发反序列化,最终远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.9
影响版本:
pgAdmin4 <= 8.3
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.pgadmin.org/download/
2. 临时缓解方案
- 避免开放至公网。
**五、**JumpServer 后台模板注入漏洞
概述:
腾讯安全近期监测到JumpServer官方发布了关于JumpServer的风险公告,漏洞编号为TVD-2024-8242 / TVD-2024-8252 (CVE编号:CVE-2024-29201/CVE-2024-29202,CNNVD编号:CNNVD-202403-3156/ CNNVD-202403-3155)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
JumpServer是一款开源的堡垒机系统,主要用于对企业内部网络资源进行统一的身份认证、权限管理和审计。它能够实现对远程服务器、数据库、网络设备等多种资产的访问控制,提高企业网络安全性。JumpServer通过对接各种认证方式(如LDAP、RADIUS等),支持多种协议(如SSH、RDP、VNC等)以及提供实时会话监控、操作审计等功能,帮助企业降低网络风险,保障信息安全。
据描述,JumpServer中的Ansible Playbook存在代码缺陷,攻击者可以绕过Jumрѕеrvеr的Anѕiblе中的输入验证机制 (CVE-2024-29201),进而在Celery容器中执行任意代码。同时Ansible Playbook还存在Jinja2模板注入漏洞(CVE-2024-29202),攻击者利用此漏洞可以执行任意代码并从所有主机窃取敏感信息。
P.S. 上述漏洞都需要后台权限且账户需获得资产授权
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
7.5
影响版本:
3.0.0 <= JumpServer <= 3.10.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/jumpserver/jumpserver/releases
2. 临时缓解方案
- 关闭任务中心,任务中心的位置为:系统设置-功能设置-任务中心。
**六、**Atlassian Confluence路径遍历漏洞
概述:
腾讯安全近期监测到Atlassian官方发布了关于Confluence的风险公告,漏洞编号为 TVD-2024-7133 (CVE编号:CVE-2024-21677,CNNVD编号:CNNVD-202403-1860)。成功利用此漏洞的攻击者,最终可绕过目录限制,读取系统上敏感文件。
Confluence是一款由Atlassian公司开发的企业级知识管理和协同工作平台。它为团队提供了一个集中式的空间,可以创建、分享、讨论和优化文档、项目计划、需求等各种信息。Confluence支持实时协作编辑、版本控制、拥有强大的搜索功能以及丰富的插件生态,帮助团队成员高效地沟通、协作和跨部门协同,从而提高工作效率和项目管理水平。
据描述,该漏洞源于Confluence存在代码缺陷,攻击者可以通过发送特制的请求触发路径遍历漏洞,利用该漏洞进行敏感文件访问等操作。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
8.3
影响版本:
Confluence Data Center 8.8.0
8.7.0 <= Confluence Data Center <= 8.7.2
8.6.0 <= Confluence Data Center <= 8.6.2
8.5.0 <= Confluence Data Center <= 8.5.6 (LTS)
8.4.0 <= Confluence Data Center <= 8.4.5
8.3.0 <= Confluence Data Center <= 8.3.4
8.2.0 <= Confluence Data Center <= 8.2.3
8.1.0 <= Confluence Data Center <= 8.1.4
8.0.0 <= Confluence Data Center <= 8.0.4
7.20.0 <= Confluence Data Center <= 7.20.3
7.19.0 (LTS) <= Confluence Data Center <= 7.19.19 (LTS)
7.18.0 <= Confluence Data Center <= 7.18.3
7.17.0 <= Confluence Data Center <= 7.17.5
Confluence Data Center <= 7.17.0
8.5.0 <= Confluence Server <= 8.5.6 (LTS)
8.4.0 <= Confluence Server <= 8.4.5
8.3.0 <= Confluence Server <= 8.3.4
8.2.0 <= Confluence Server <= 8.2.3
8.1.0 <= Confluence Server <= 8.1.4
8.0.0 <= Confluence Server <= 8.0.4
7.20.0 <= Confluence Server <= 7.20.3
7.19.0 (LTS) <= Confluence Server <= 7.19.19 (LTS)
7.18.0 <= Confluence Server <= 7.18.3
7.17.0 <= Confluence Server <= 7.17.5
Confluence Server <= 7.17.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.atlassian.com/software/confluence/download-archives
2. 临时缓解方案
- Confluence Cloud Migration Assistant 插件(CCMA)3.9.5以上的版本中包含此漏洞的修复代码。管理员可以登录 Confluence,选择常规配置 >> 管理应用程序,然后找到 CCMA 插件并将其升级到 3.9.5 或更高版本。
- 停用 CCMA 插件。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:_https://s.tencent.com/research/report/157
_
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。