所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。以下是2024年1月份必修安全漏洞清单:
一、Confluence Data Center and Server 远程代码执行漏洞
二、Jenkins任意文件读取导致远程代码执行漏洞
三、GitLab 任意用户密码重置漏洞
四、GitLab CE/EE 任意文件写入漏洞
五、Oracle WebLogic Server JNDI注入漏洞
六、NetScaler ADC and NetScaler Gateway 远程代码执行漏洞
七、Ivanti Connect Secure SSRF to RCE漏洞
八、Runc容器逃逸漏洞
漏洞介绍及修复建议详见后文
腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Server的风险公告,漏洞编号为TVD-2023-29483 (CVE编号:CVE-2023-22527,CNNVD编号:CNNVD-202401-1385)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Atlassian Confluence Data Center and Server是由Atlassian公司开发的企业级协作软件,旨在帮助团队成员高效地共享知识、创建和编辑文档以及跟踪项目进度。通过提供丰富的模板、实时编辑功能和整合其他Atlassian产品,Confluence助力团队提高工作效率、增强沟通与协作能力,从而实现项目目标。
据描述,该漏洞源于Confluence Data Center and Server中的/template/aui/text-inline.vm接口处存在velocity模板注入漏洞,攻击者可在无需登录的情况下发送恶意请求进行模板注入,最终远程执行任意代码。
风险等级:
影响版本:
Confluence Data Center 8.7.0
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.atlassian.com/software/confluence/download-archives
在不影响正常系统功能和业务的前提下,避免将该接口开放至公网。
漏洞利用可能性变化趋势:
- 2024.1.25号,漏洞PoC公开
腾讯安全近期监测到Jenkins官方发布了关于Jenkins的风险公告,漏洞编号为TVD-2024-3334(CVE编号:CVE-2024-23897,CNNVD编号:CNNVD-202401-2204)。成功利用此漏洞的攻击者,最终可读取目标系统上的任意文件,执行任意代码。
Jenkins是一款开源的持续集成工具,用于自动化各种任务,包括构建、测试和部署软件。Jenkins支持多种版本控制系统,如Git、Subversion等,并且拥有大量的插件,可以扩展其功能,满足不同的开发需求。通过使用Jenkins,开发者可以更高效地进行软件开发和维护,从而提高工作效率和软件质量。
据描述,Jenkins处理CLI命令的解析器中有一个expandAtFile功能,这个功能用来读取参数中@字符后的文件路径的内容并返回,攻击者可利用该特性读取 Jenkins 控制器文件系统上的任意文件(如密钥文件),并结合Jenkins其他功能执行任意代码。
漏洞状态:
风险等级:
影响版本:
Jenkins LTS <= 2.426.2
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.jenkins.io/download/
- 如果不需要使用Jenkins CLI,可以在Jenkins配置中通过设置Java系统属性 hudson.cli.CLICommand.allowAtSyntax为true来禁用CLI功能(不推荐);如果需要使用CLI请设置ACL策略限制对CLI的访问权限,并仅授权给受信任的用户。
- 按照最小权限原则,为用户和插件分配适当的权限级别,仅提供其所需的操作和功能。
- 配置Jenkins的安全设置,包括启用CSRF保护、禁用不必要的功能和插件、限制对重要文件和密钥的访问等。
- 妥善管理和保护Jenkins中使用的密钥,包括限制对密钥文件的访问权限、定期更换密钥、使用安全的密钥存储等。
腾讯安全近期监测到GitLab 官方发布了关于GitLab的风险公告,漏洞编号为TVD-2023-29368 (CVE编号:CVE-2023-7028)。成功利用此漏洞的攻击者,最终可重置任意用户密码,从而获取用户权限。
GitLab是一款开源的代码托管和协作开发平台,提供了从项目管理、代码托管、持续集成/持续部署(CI/CD)到监控和安全等一站式的解决方案。GitLab通过整合各种开发工具,帮助团队实现高效的软件开发和协作,同时提供了私有和公共仓库的支持,以满足不同组织和项目的需求。
据描述,该漏洞源于GitLab存在代码缺陷,攻击者可利用忘记密码功能,通过构造恶意请求获取密码重置链接从而重置任意用户密码。
漏洞状态:
风险等级:
影响版本:
16.7.0 <= Gitlab CE/EE < 16.7.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://gitlab.com/gitlab-org/gitlab/-/releases
- 为所有 GitLab 帐户启用双因素身份验证(2FA),尤其是具有高权限的用户。
概述:
腾讯安全近期监测到GitLab 官方发布了关于GitLab的风险公告,漏洞编号为TVD-2024-3411 (CVE编号:CVE-2024-0402,CNNVD编号:CNNVD-202401-2315)。成功利用此漏洞的攻击者,最终可在服务器任意位置写入恶意文件,进而远程执行任意代码。
据描述,该漏洞源于用户创建 workspace 时未对配置文件devfile中的特殊字符(如:<、>等)进行有效过滤,经过身份验证的攻击者可在 GitLab 服务器中的任意位置写入恶意文件,进而远程执行任意代码。
16.0.0 <= GitLab CE/EE < 16.5.8
16.6.0 <= GitLab CE/EE < 16.6.6
16.7.0 <= GitLab CE/EE < 16.7.4
GitLab CE/EE 16.8.0
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://gitlab.com/gitlab-org/gitlab/-/releases
- 非必要不将GitLab开放至公网。
- 限制能够创建工作区的用户的权限。
概述:
腾讯安全近期监测到Oracle 官方发布了关于Weblogic的风险公告,漏洞编号为TVD-2024-4703 (CVE编号:CVE-2024-20931,CNNVD编号: CNNVD-202401-1680)。成功利用此漏洞的攻击者,最终可远程在目标系
统上执行任意代码。
WebLogic是Oracle公司的一款企业级应用服务器,主要用于开发、集成、部署和管理大规模分布式Web应用、网络服务和企业应用。WebLogic服务器以其稳定性、可扩展性、高效性和安全性而广受赞誉,被广泛应用于构建和托管多层次的云应用和服务。
据描述,该漏洞为CVE-2023-21839补丁的绕过,攻击者通过AQjmsInitialContextFactory初始化发起JNDI注入绕过补丁限制,最终实现远程代码执行。
漏洞状态:
风险等级:
影响版本:
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.oracle.com/security-alerts/cpujan2024.html
- 禁用T3协议,登录weblogic后台页面,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中进行配置:
127.0.0.1 * * allow t3 t3s
* * * deny t3 t3s
- 禁用IIOP协议,登录weblogic后台页面,在左侧菜单页中点击 环境->服务器->AdminServer->协议->IIOP,取消勾选“启动IIOP”。
概述:
腾讯安全近期监测到Citrix官方发布了关于NetScaler ADC and NetScaler Gateway的风险公告,漏洞编号为TVD-2023-29626 (CVE编号:CVE-2023-6548)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
NetScaler ADC和NetScaler Gateway是Citrix公司推出的两款应用交付和安全解决方案。NetScaler ADC(应用交付控制器)负责优化、负载均衡和加速Web应用的性能,提高应用的可用性和响应速度;而NetScaler Gateway则为远程用户提供安全、统一的访问企业内部网络资源的解决方案,确保数据安全并简化IT管理。两者共同为企业提供高性能、高可用性和安全的应用交付服务。
据描述,该漏洞源于NetScaler ADC和NetScaler Gateway 存在代码缺陷,具有低权限帐户访问权限且拥有NSIP、CLIP 或 SNIP的管理界面访问权限的攻击者可以利用该漏洞执行远程代码。
漏洞状态:
风险等级:
NetScaler ADC and NetScaler Gateway 12.1 (EOL)
13.0 <= NetScaler ADC and NetScaler Gateway < 13.0-92.21
13.1 <= NetScaler ADC and NetScaler Gateway <13.1-51.15
14.1 <= NetScaler ADC and NetScaler Gateway <14.1-12.35
12.1 <= NetScaler ADC-NDcPP < 12.1-55.302
12.1 <= NetScaler ADC-FIPS < 12.1-55.302
13.1 <= NetScaler ADC-FIPS < 13.1-37.176
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.citrix.com/downloads/
非必要不将NetScaler ADC and NetScaler Gateway暴露至公网,可参考官方安全部署指南:
概述:
腾讯安全近期监测到Ivanti官方发布了关于Ivanti Connect Secure的风险公告,漏洞编号为TVD-2024-3703 (CVE编号:CVE-2024-21893,CNNVD编号:CNNVD-202401-2693)。成功利用此漏洞的攻击者,可无需身份验证访问某些受限资源,最终在目标系统上执行任意代码。
Ivanti Connect Secure是一款由Ivanti公司推出的远程访问解决方案,旨在为企业提供安全、可靠的远程连接,以便员工在任何地点、任何设备上访问公司内部的应用和资源。通过采用先进的安全策略和技术,Ivanti Connect Secure确保数据安全,降低网络风险,同时提高员工的生产力和协作能力。
据描述,该漏洞源于Ivanti Connect Secure中的SAML组件存在服务器端请求伪造漏洞,该漏洞允许攻击者无需身份验证访问某些受限资源,攻击者可以通过该漏洞构造特殊的请求访问接口/api/v1/license/keys-status/从而远程执行任意代码。
漏洞状态:
风险等级:
9.0 <= Ivanti Connect Secure <= 9.1 r18.2
21.9 r1 <= Ivanti Connect Secure <= 22.6 r2.1
9.0 <= Ivanti Policy Secure <= 9.1 r18.2
22.1 r1 <= Ivanti Policy Secure <= 22.6 r1
Ivanti Neurons for ZTA(zero trust access)
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
概述:
腾讯安全近期监测到runc官方发布了关于runc的风险公告,漏洞编号为TVD-2024-3712(CVE编号:CVE-2024-21626,CNNVD编号:CNNVD-202401-2725)。成功利用此漏洞的攻击者,最终可完成容器逃逸。
runc是一个轻量级的、符合OCI(Open Container Initiative)标准的容器运行时工具,旨在为开发者提供创建、运行和管理容器的简便方法。作为Docker容器的核心组件之一,runc支持多种平台和操作系统,使得开发者能够在不同环境下轻松地部署和运行基于容器的应用,从而提高开发效率和应用可移植性。
据描述,漏洞源于在初始化过程中,部分内部文件描述符(例如宿主的 /sys/fs/cgroup 句柄)被泄露,同时runc没有验证最终工作目录是否位于容器的挂载命名空间。攻击者可以通过修改 process.cwd 配置为 /proc/self/fd/7,或者将宿主机调用 runc exec 时 --cwd 参数中传入的特定路径替换为 /proc/self/fd/7/ 符号链接,使得容器内的进程能够访问和操作宿主机的文件系统,从而绕过了容器的隔离机制。
漏洞状态:
风险等级:
1.0.0-rc93 <= runc < 1.1.12
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/opencontainers/runc/releases
- 设置容器的WORKDIR为根目录 (/)。
- 仅允许用户运行受信任的镜像。
概述:
腾讯安全近期监测到Apache官方发布了关于IotDB的风险公告,漏洞编号为TVD-2023-29455 (CVE编号:CVE-2023-46226,CNNVD编号:CNNVD-202401-1343)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache IoTDB是一款开源的、高性能的时序数据库管理系统,专为物联网、工业互联网和其他大规模时序数据场景设计。IoTDB具有高写入和查询效率、低存储开销、水平扩展能力和丰富的数据分析功能,能够帮助企业实时处理和分析海量时序数据,提高数据驱动决策的效率和准确性。
据描述,该漏洞源于IoTDB通过UDTFJexl.java实现JEXL表达式支持,攻击者可以通过配置UDF,调用 JEXL表达式来执行JAVA命令,最终远程执行任意代码。
漏洞状态:
风险等级:
1.0.0 <= Apache loTDB < 1.3.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://iotdb.apache.org/Download/
利用安全组设置其仅对可信地址开放。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...