所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年2月份必修安全漏洞清单:
一、Apache Solr Backup 远程代码执行漏洞
二、Apache Solr Schema Designer 远程代码执行漏洞
三、aiohttp路径遍历漏洞
四、Microsoft Outlook 远程命令执行漏洞
五、Microsoft Exchange Server 权限提升漏洞
六、TeamCity 权限绕过漏洞
七、Fortinet FortiOS和FortiProxy 越界写入漏洞
八、ConnectWise ScreenConnect认证绕过漏洞
漏洞介绍及修复建议详见后文
一、Apache Solr Backup 远程代码执行漏****洞
概述:
腾讯安全近期监测到Apache官方发布了关于Solr的风险公告,漏洞编号为TVD-2023-30294 (CVE编号:CVE-2023-50386,CNNVD编号: CNNVD-202402-791)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache Solr是一个基于Apache Lucene库构建的高性能,可扩展的开源搜索平台。它提供了强大的全文搜索、高亮显示、实时索引、动态聚合、过滤、地理空间搜索等多种功能。Solr支持多种数据格式(如XML、JSON、CSV)的导入,并提供了丰富的查询接口,方便与各种编程语言进行集成。它广泛应用于企业级搜索、电子商务、日志分析等场景,为用户提供高效、准确的信息检索服务。
据描述,当Solr以SolrCloud模式启动时,攻击者可利用Solr Collections的Backup/Restore功能上传恶意class文件,最终执行任意代码,进而控制服务器。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
8.8
影响版本:
6.0.0 <= Apache Solr <= 8.11.2
9.0.0 <= Apache Solr < 9.4.1
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://solr.apache.org/downloads.html
2. 临时缓解方案
- 在不影响正常系统功能和业务的前提下,避免将该接口开放至公网。
- 对solr访问开启鉴权机制,防止未授权访问。
**二、**Apache Solr Schema Designer 远程代码执行漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于Solr的风险公告,漏洞编号为TVD-2023-30295 (CVE编号:CVE-2023-50292,CNNVD编号:CNNVD-202402-793)。该漏洞于2023年4月公开细节,成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,当Solr以SolrCloud模式启动时,攻击者可以利用Solr的sechema-designer系统功能上传恶意构造的solrconfig.xml文件,通过组合利用最终造成任意代码执行。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
7.5
影响版本:
8.10.0 <= Apache Solr <= 8.11.2
9.0.0 <= Apache Solr < 9.3.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://solr.apache.org/downloads.html
2. 临时缓解方案
- 建议使用安全防护类设备进行防护,重点关注/api/schema-designer/*相关路径
- 在不影响正常系统功能和业务的前提下,避免开放至公网。
- 对solr开启鉴权机制,防止未授权访问。
**三、**aiohttp路径遍历漏洞
概述:
腾讯安全近期监测到aiohttp 官方发布了关于 aiohttp的风险公告,漏洞编号为TVD-2024-5277 (CVE编号:CVE-2024-23334,CNNVD编号:CNNVD-202401-2541)。成功利用此漏洞的攻击者,最终可未经授权访问系统上的任意文件。
aiohttp是一个用于异步编程的Python库,它提供了强大的HTTP客户端和服务器端功能,基于Python的异步I/O框架asyncio实现。通过使用aiohttp,可以轻松实现高并发、高性能的Web应用程序和服务,同时保持代码简洁易读。aiohttp支持WebSocket、HTTP/2等先进协议,并且具有良好的社区支持和丰富的文档,使得开发人员能够快速上手并构建出稳定可靠的网络应用。
开发者在使用aiohttp实现Web服务的静态资源解析功能时,使用了不安全的参数“follow_symlinks“,这将导致服务存在目录遍历漏洞,攻击者可以利用此漏洞访问系统上的任意文件。
注意:多个热门项目集成了aiohttp库且未正确配置静态资源解析参数,包括ComfyUI,Ray等热门的AI项目。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
中
利用难度
低
漏洞评分
7.5
影响版本:
1.0.5 <= aiohttp < 3.9.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2
2. 临时缓解方案
- 建议使用反向代理服务器(例如nginx)处理静态资源。
- 如果静态资源解析功能中配置了“follow_symlinks=True”,建议立即修改该配置为False。
- 建议使用安全防护类设备进行防护,拦截../../等路径穿越字符。
**四、**Microsoft Outlook 远程命令执行漏洞
概述:
腾讯安全近期监测到Microsoft 官方发布了关于Outlook的风险公告,漏洞编号为TVD-2024-4471 (CVE编号:CVE-2024-21413,CNNVD编号:CNNVD-202402-1028)。成功利用此漏洞的攻击者,可获取用户凭据,最终远程执行任意代码。
Microsoft Outlook是微软公司推出的一款功能强大的电子邮件客户端和个人信息管理工具,它是Microsoft Office套件的一部分。Outlook不仅支持发送和接收电子邮件,还提供了日历、任务、联系人和笔记等管理功能,帮助用户高效地组织工作和生活。通过与Exchange服务器、Office 365和其他邮件服务提供商的无缝集成,Outlook使得个人和团队在任何设备上都能轻松地进行沟通和协作。
据描述, 使用file://协议并且在文档扩展名后添加感叹号可以绕过Outlook的安全限制。攻击者可以通过发送特制的恶意邮件获取用户的NTLM凭据,当用户点击恶意链接时,应用程序将访问远程资源并打开目标文件,最终远程执行代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
Microsoft Office 2016(32位/64位版本)
Microsoft Office 2019(32位/64位版本)
Microsoft Office LTSC 2021(32位/64位版本)
Microsoft 365 Apps for Enterprise(32位/64位版本)
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
**五、**Microsoft Exchange Server 权限提升漏洞
概述:
腾讯安全近期监测到Microsoft官方发布了关于Exchange的风险公告,漏洞编号为TVD-2024-4456 (CVE编号:CVE-2024-21410,CNNVD编号: CNNVD-202402-1030)。成功利用此漏洞的攻击者,最终可提升用户权限。
Microsoft Exchange Server是一款由微软开发的企业级邮件和日程管理服务器软件,用于实现电子邮件、日历、通讯录、任务等功能的集中管理和协同工作。通过支持多种客户端访问方式,如Outlook客户端、Web浏览器和移动设备,Exchange Server为企业提供了高效、安全和易于管理的通信解决方案。
据描述,该漏洞源于Exchange Server存在代码缺陷,未经身份验证的攻击者可以将泄露的NTLM凭据中继到Exchange服务器,最终以该用户的身份进行认证并获取该用户权限。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
中
利用难度
低
漏洞评分
9.8
影响版本:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2019 Cumulative Update 14
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
2. 临时缓解方案
- 为Exchange Server启用身份验证扩展保护(EPA),可参考官方文档:
**六、**TeamCity 权限绕过漏洞
概述:
腾讯安全近期监测到JetBrains官方发布了关于TeamCity的风险公告,漏洞编号为TVD-2024-4007 (CVE编号:CVE-2024-23917,CNNVD编号:CNNVD-202402-461)。成功利用此漏洞的攻击者,最终可绕过身份验证,远程执行任意代码。
TeamCity是一款由JetBrains开发的持续集成与持续部署(CI/CD)服务器软件,用于自动化构建、测试和部署项目。它支持多种编程语言和构建工具,提供了友好的Web界面、实时构建进度监控、构建历史记录查看等功能。通过与版本控制系统(如Git、SVN等)和其他开发工具(如IDE、bug跟踪工具等)的集成,TeamCity能够帮助开发团队实现更高效的软件开发和交付流程。
据描述,该漏洞源于TeamCity存在代码缺陷,未经身份验证的攻击者能够通过构造特制的请求访问TeamCity服务器来绕过身份验证检查,并获得该TeamCity服务器的管理控制权限。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
2017.1 <= TeamCity < 2023.11.3
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 临时缓解方案
在不影响正常系统功能和业务的前提下,避免开放至公网。
**七、**Fortinet FortiOS和FortiProxy 越界写入漏洞
概述:
腾讯安全近期监测到Fortinet官方发布了关于FortiOS 和 FortiProxy的风险公告,漏洞编号为TVD-2024-4200 (CVE编号:CVE-2024-21762,CNNVD编号:CNNVD-202402-751 )。成功利用此漏洞的攻击者,最终可在目标系统上执行任意代码。
FortiOS是Fortinet公司推出的一款高性能网络安全操作系统,主要用于驱动其FortiGate防火墙产品系列。它提供了一套全面的安全功能,包括防病毒、防入侵、防止数据泄露、应用控制、VPN、负载均衡等,以保护企业网络免受各种外部和内部威胁。FortiProxy是Fortinet旗下的一款安全Web代理解决方案,专门用于监控和过滤企业内部用户的互联网访问行为。通过与FortiOS的无缝集成,FortiProxy能够提供高级的Web内容过滤、恶意软件防护、带宽管理等功能,帮助企业实现更安全、高效的网络环境。
据描述,该漏洞源于FortiOS和FortiProxy没有对chunk格式的分块长度进行限制,攻击者可以向FortiOS和FortiProxy发送特制的分块传输请求来触发越界写入漏洞,最终远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
1.0.0 <= FortiProxy < 2.0.14
7.0.0 <= FortiProxy < 7.0.15
7.2.0 <= FortiProxy < 7.2.9
7.4.0 <= FortiProxy < 7.4.3
6.0.0 <= FortiOS < 6.0.18
6.2.0 <= FortiOS < 6.2.16
6.4.0 <= FortiOS < 6.4.15
7.0.0 <= FortiOS < 7.0.14
7.2.0 <= FortiOS < 7.2.7
7.4.0 <= FortiOS < 7.4.3
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.fortiguard.com/psirt/FG-IR-24-015
2. 临时缓解方案
- 禁用SSLVPN(注意,只禁止Web模式无法防御此漏洞)
- 在不影响业务的情况下配置访问控制策略,避免暴露至公网。
**八、**ConnectWise ScreenConnect 认****证绕过漏洞
概述:
腾讯安全近期监测到ConnectWise官方发布了关于ScreenConnect的风险公告,漏洞编号为TVD-2024-4931 (CVE编号:CVE-2024-1709,CNNVD编号:CNNVD-202402-1750 )。成功利用此漏洞的攻击者,无需身份验证就能控制ScreenConnect实例。
ScreenConnect是一款高效且功能强大的远程支持、远程访问和远程会议解决方案。它为IT专业人员和技术支持团队提供了快速、安全和可靠的连接方式,使他们能够在任何地点、任何时间为客户提供协助。通过其直观的界面、跨平台兼容性和高度可定制的功能,ScreenConnect为企业和个人用户创造了更便捷的远程协作体验。
据描述,该漏洞源于ScreenConnect中的SetupWizard.aspx接口处存在认证绕过漏洞,攻击者可以通过向该接口发送特制请求创建新的管理员帐户,最终控制ScreenConnect的所有实例。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
10
影响版本:
ConnectWise ScreenConnect < 23.9.8
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://screenconnect.connectwise.com/download
2. 临时缓解方案
在不影响业务的情况下配置访问控制策略,避免该接口暴露至公网。
漏洞利用可能性变化趋势:
P.S. 利用可能性大的漏洞需要被优先修复
漏洞利用可能性阶段飙升的原因:
- 2024.02.23号,漏洞PoC公开
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:_https://s.tencent.com/research/report/157
_
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。