欢迎关注
**腾讯安全威胁情报中心
**
腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年11月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2023年11月份必修安全漏洞清单详情:
**一、**NetScaler ADC and NetScaler Gateway敏感信息泄露漏洞
概述:
腾讯安全近期监测到Citrix官方发布了关于NetScaler ADC 和 NetScaler Gateway的风险公告,漏洞编号为TVD-2023-21450 (CVE编号:CVE-2023-4966,CNNVD编号: CNNVD-202310-666)。成功利用此漏洞的攻击者,可以绕过身份验证,获取敏感信息(如用户cookie),进而远程控制内网设备。
Citrix NetScaler ADC 和 NetScaler Gateway 是美国思杰(Citrix)公司的产品。Citrix Gateway 是一套安全的远程接入解决方案,可以提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix ADC 是一个全面的应用程序交付和负载均衡解决方案,用于实现应用程序的安全性、整体可见性和可用性。
据描述,这个漏洞源于 NetScaler ADC 和 NetScaler Gateway 存在的缓冲区泄露缺陷。在 Citrix 设备被配置为网关(例如 VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理)或 AAA 虚拟服务器的情况下,攻击者可以通过访问 /oauth/idp/.well-known/openid-configuration 路由,并通过Host 字段发送大量数据,从而泄露缓冲区信息。这些信息可能包含与会话 cookie 相关的信息,攻击者可以利用这些信息绕过身份验证。
P.S. 此漏洞危害极大,泄漏cookie后,攻击者可以直接控制内网设备,建议优先修复。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
7.5
影响版本:
14.1 <= NetScaler ADC and NetScaler Gateway < 14.1-8.50
13.1 <= NetScaler ADC and NetScaler Gateway < 13.1-49.15
13.0 <= NetScaler ADC and NetScaler Gateway < 13.0-92.19
13.1 <= NetScaler ADC FIPS < 13.1-37.164
12.1 <= NetScaler ADC FIPS < 12.1-55.300
12.1 <= NetScaler ADC NDcPP < 12.1-55.300
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
下载链接:
https://www.citrix.com/downloads/
漏洞官方通告:
**注意:**NetScaler ADC 和 NetScaler Gateway 版本 12.1 现已停产 (EOL)。建议客户将其设备升级到可解决漏洞的受支持版本之一。
2. 临时缓解方案
如果无法确定是否已被利用(即使在安装安全更新后,被劫持的会话仍然存在),在不影响业务的前提下也可使用以下命令终止所有活动和持久会话:
kill icaconnection -all
**注意:**未配置为网关(VPN 虚拟服务器、ICA 代理、CVPN 或 RDP 代理)或 AAA 虚拟服务器的 NetScaler ADC 和NetScaler Gateway设备以及 NetScaler应用程序交付管理(ADM)、Citrix SD-WAN等产品不受此漏洞影响。
漏洞利用可能性变化趋势:
P.S. 利用可能性大的漏洞需要被优先修复
漏洞利用可能性阶段飙升的原因:
- 10.26号,漏洞PoC公开
- 10.31号,漏洞EXP公开,开始出现在野攻击
**二、**iDocView /html/2word 远程代码执行漏洞
概述:
腾讯安全近期监测到iDocView在线文档预览系统存在远程代码执行漏洞,漏洞编号为TVD-2023-25262。成功利用此漏洞的攻击者,可以上传恶意文件,远程执行任意代码。
iDocView 是一款全面的在线文档管理和预览解决应用,用户可以方便的来查看和管理各种类型的文件。这款应用程序支持在线预览文档、压缩文件、图片,以及音视频播放。此外,iDocView 还提供了协作编辑和同步展示的功能,使得团队成员可以在同一平台上共享和编辑文档,从而提高工作效率。
据描述,当文件后缀为 html、htm、asp、aspx、php 或 net 时,iDocView将解析其中存在的 link、href、src,并将其保存到 filesToGrab 中。随后iDocView 会遍历 filesToGrab 中的链接,并通过 getWebPage 功能下载链接中的文件。由于 jsp 后缀的文件并未被列入黑名单,攻击者可以利用目录穿越的方式,将恶意的 jsp 文件下载到 iDocView 的根目录,从而实现远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
iDocView < 13.10.1_20231115
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.idocv.com/about.html
2. 临时缓解方案
- 在不影响业务的前提下,设置ACL策略限制对受影响系统的网络访问。
- 建议使用防火墙或其他网络隔离方法来限制对应用的访问,确保只有可信网络或用户能够访问该服务。
- 官方已在新版本中废弃了受影响的接口。如果您不需要使用该功能,可以考虑拦截针对该API的访问请求。
三**、**Apache ActiveMQ jolokia 远程代码执行漏洞
概述:
腾讯安全近期监测到Apache 官方发布了关于ActiveMQ的风险公告,漏洞编号为TVD-2022-30048 (CVE编号:CVE-2022-41678,CNNVD编号: CNNVD-202311-2165)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
ActiveMQ是一个开源的、跨语言的消息中间件,它实现了JMS(Java消息服务)规范,支持多种协议和编程语言,包括Java、C、C++、Python、Ruby等。ActiveMQ提供了可靠的、高性能的消息传递机制,支持点对点和发布-订阅模式,可以实现异步通信、解耦、负载均衡等功能,广泛应用于企业级应用系统中。Jolokia是一个用于访问和管理Java应用程序的远程JMX代理,默认集成在ActiveMQ web控制台的8161端口。
在 Apache ActiveMQ 的配置中,org.jolokia.http.AgentServlet 负责处理对 /api/jolokia 的请求。在这种配置下,经过身份验证的攻击者可以通过向 Jolokia 服务发送特制的 HTTP 请求,从而写入恶意文件,实现远程代码执行。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
中
漏洞评分
8.8
影响版本:
5.17.0 <= Apache ActiveMQ < 5.17.4
Apache ActiveMQ < 5.16.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/activemq/tags
2. 临时缓解方案
- 建议参考官方文档(https://activemq.apache.org/web-console)开启Web控制台认证(默认在8161端口),并修改默认密码。
- 非必要尽量不要把ActiveMQ Web控制台(默认8161端口)暴露在公网上。
- 在不影响业务的前提下建议设置ACL策略限制对Jolokia接口(通常是/api/jolokia)的访问。只允许可信的网络或IP地址访问这个接口。
- 如果不需要使用Jolokia服务,可以暂时关闭它,以防止漏洞被利用。
- 在网络边界上增加监控和过滤措施,以识别和阻止可能利用这个漏洞的恶意流量。
**四、**IP-guard WebServer 远程命令执行漏洞
概述:
腾讯安全近期监测到溢信科技IP-guard WebServer存在远程命令执行漏洞,漏洞编号为TVD-2023-24098。攻击者可利用该漏洞执行任意命令,获取服务器控制权限。
IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。IP-guard WebServer支持基于B/S的管理方式,可以通过部署WEB服务器,在任何机器上使用浏览器登录服务器,实现控制台相关管理操作,如查看日志、报表、进行各项审批等。
据描述, IP-guard WebServer的文件预览功能使用了开源插件flexpaper,而使用的flexpaper版本存在远程命令执行漏洞, /ipg/static/appr/lib/flexpaper/php/view.php中的page参数没有对传入的内容进行过滤和限制,攻击者可以使用管道符拼接恶意命令,远程执行任意代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
IP-guard WebServer < 4.81.0307.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
2. 临时缓解方案
- 使用防护类设备对相关资产进行防护。
- 如非必要,不要将 IP-guard 放置在公网上。或通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
- 在确认不影响业务的情况下,可以直接删除存在漏洞的文件(删除前注意备份)。
**五、**Splunk Enterprise XML Parsing 远程代码执行漏洞
概述:
腾讯安全近期监测到Splunk 官方发布了关于Splunk的风险公告,漏洞编号为TVD-2023-24985 (CVE编号:CVE-2023-46214,CNNVD编号: CNNVD-202311-1496)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Splunk Enterprise 是一款强大的数据平台,它可以收集、索引和关联实时数据,生成图形、报告和警告。这款产品广泛应用于 IT 运维、安全性和合规性、应用交付等领域。Splunk Enterprise 支持从各种数据源分析数据,并且用户界面易于导航。
据描述,该漏洞源于Splunk没有安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者可以通过上传恶意XSLT的方式,在 Splunk Enterprise 实例上执行远程代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
8.8
影响版本:
Splunk cloud < 9.1.2308
9.0.0 <= Splunk Enterprise < 9.0.7
9.1.0 <= Splunk Enterprise < 9.1.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://advisory.splunk.com/advisories/SVD-2023-1104
限制搜索作业请求接受 XML 样式表语言 (XSL) 作为有效输入,在web.conf中添加以下配置:
[settings]
**六、**CrushFTP 远程代码执行漏洞
概述:
腾讯安全近期监测到CrushFTP官方发布了关于CrushFTP的风险公告,漏洞编号为TVD-2023-25070 (CVE编号:CVE-2023-43177,CNNVD编号: CNNVD-202311-1602)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
CrushFTP 是一款支持 FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV 和 WebDAV SSL 等协议的跨平台 FTP 服务器软件,它支持安全的文件传输协议,如SFTP、SCP和ZipStreaming。CrushFTP提供了基于Web的管理界面,可以从任何地方使用任何设备进行管理和监控。
据描述,该漏洞源于CrushFTP存在代码缺陷,通过利用AS2头的解析逻辑,攻击者可以获得对用户信息Java属性的部分控制,并利用此Properties对象在主机系统上读取sessions.obj中的会话从而获得管理员权限,最终执行远程代码。
漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
高
攻击者价值
高
利用难度
低
漏洞评分
9.8
影响版本:
CrushFTP < 10.5.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.crushftp.com/download.html
2. 临时缓解方案
- 将默认密码算法配置为Argon。
- 部署 Nginx 或 Apache 作为面向公众的服务器的反向代理。
- 限制CrushFTP的系统用户权限。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:_https://s.tencent.com/research/report/157
_
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。