【8/28特辑】今日再爆6个0day漏洞，看恒脑如何提供强力支撑？

漏洞导览
· 广联达OA存在任意文件读取漏洞
· 锐明Crocus系统存在SQL注入漏洞
· 锐明Crocus系统存在SQL注入漏洞
· 锐明Crocus系统存在任意文件上传漏洞
· 锐明Crocus系统存在任意文件读取漏洞
· 锐明Crocus系统存在管理员用户添加漏洞

漏洞概况

在当前网络攻防演练中，安恒信息CERT正紧密关注近期曝光的安全漏洞，持续进行监测和深入梳理。我们将对监测到的每一个漏洞进行深入分析和评估，为蓝队（防守方）输出漏洞清单。这份清单旨在帮助蓝队在攻防演练期间进行自检，并采取必要的措施来强化防护。

1、广联达OA存在任意文件读取漏洞

安恒CERT漏洞编号：

WM-202408-000111

漏洞详情：

广联达OA mobileAction.ashx/do.asmx 任意文件读取漏洞，攻击者可以利用该漏洞读取文件系统中的文件，可能导致敏感信息泄露。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统已支持

2、锐明Crocus系统存在SQL注入漏洞

安恒CERT漏洞编号：

WM-202408-000112

漏洞详情：

锐明Crocus系统存在SQL注入漏洞，攻击者可以利用该漏洞构造恶意数据包，以执行非授权的数据库操作，如读取、修改或删除数据。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

3、锐明Crocus系统存在SQL注入漏洞

安恒CERT漏洞编号：

WM-202408-000113

漏洞详情：

攻击者通过判断数据库的响应时间，从而推断出数据库的某些信息，如表名、列名或数据内容。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

4、锐明Crocus系统存在任意文件上传漏洞

安恒CERT漏洞编号：

WM-202408-000114

漏洞详情：

锐明Crocus系统存在任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件到服务器，以执行任意代码或创建后门。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

5、锐明Crocus系统存在任意文件读取漏洞

安恒CERT漏洞编号：

WM-202408-000115

漏洞详情：

锐明Crocus系统存在任意文件读取漏洞，攻击者可以通过该漏洞绕过应用的文件访问控制，访问到应用根目录之外的文件。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

6、锐明Crocus系统存在管理员用户添加漏洞

安恒CERT漏洞编号：

WM-202408-000116

漏洞详情：

攻击者可以利用该漏洞创建一个具有特定权限的用户，这可能导致进一步的恶意活动，如权限提升、数据窃取或系统控制。

产品支持情况：

明鉴漏洞扫描系统已支持

恒脑x漏洞分析

报文分析

请求报文

POST /**?Action=CreateUser HTTP/1.1Host: Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36 uacqAccept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brContent-Type: application/x-www-form-urlencoded; charset=UTF-8Token: *********X-Requested-With: XMLHttpRequestContent-Length: 247Origin: Sec-GPC: 1Connection: keep-alivesec-ch-ua-platform: "macOS"sec-ch-ua: "Google Chrome";v="112", "Chromium";v="112", "Not=A?Brand";v="24"sec-ch-ua-mobile: ?0<payload>0)&UserName=****&Password=***&<payload>

恒脑告警研判智能体对流量进行采集监测，并从网络安全的角度进行专业分析与细致评估，从海量的数据报文中将该攻击流量捕获，发出告警。其采用分点论述的方法，清晰地解释了问题，让我们一起来看看它的表现如何吧！

一、总体判断
提交的报文从网络安全角度分析，存在潜在的恶意特征。该报文是一个HTTP POST请求，尝试创建一个用户，其中包含了一些敏感信息，如用户名、密码、电话号码和电子邮件。

密码和确认密码字段使用了MD5哈希，这在现代安全标准中被认为是不安全的，因为MD5容易被破解。此外，User-Agent字段中包含的uacq标记和Token字段的值 ***（Base64编码的***）可能表明这是一个自动化工具或脚本的尝试，这在没有适当授权的情况下可能是恶意的。

二、详细功能
Payload：报文的payload主要在于Content-Type字段后的数据，即application/x-www-form-urlencoded格式的POST数据。这些数据包括创建用户所需的参数，如用户名、密码、电话号码和电子邮件。
Payload目的：创建一个具有特定权限的用户，这可能用于进一步的恶意活动，如权限提升、数据窃取或系统控制。
解码：Token字段的值***解码后为***，这可能是一个用于身份验证的凭据，但其简单性表明它可能被用于测试或绕过安全措施。

三、解决方案
封堵网站/IP：封堵发起请求的IP地址*.*.*.*和端口8000，以及目标URL/*****。
规则策略：

在防火墙或入侵检测系统（IDS）中添加规则，阻止来自*.*.*.*:8000的连接。

在Web应用防火墙（WAF）中添加规则，阻止对URL/*****的POST请求，特别是当User-Agent包含uacq或Token字段为***时。
实施更严格的密码策略，禁止使用MD5哈希存储密码，改用更安全的哈希算法如bcrypt或Argon2

四、正则匹配
正则表达式来匹配关键恶意要素，如特定的User-Agent、Token和Content-Type字段，以及尝试创建用户的特定URL和参数：

POSTs+/****?Action=CreateUsers+HTTP/1.1[rn]+Host:s+1<ip>:8000[rn]+User-Agent:s+Mozilla/5.0.*uacq[rn]+Token:s+<value>==[rn]+Content-Type:s+application/x-www-form-urlencoded;[rn]+.*<payload>

这个正则表达式将匹配上述报文中包含的关键恶意要素，帮助识别和阻止类似请求。

在实际的攻防场景中，恒脑通过持续采集前端流量，并结合24小时不间断的自动分析和实时矫偏技术，能够及时发现并响应漏洞威胁，从而确保网络安全高效运转。无论是面对传统漏洞还是全新的未知威胁，恒脑展现出了卓越的应变能力和防御效果。

关于我们

安恒信息应急响应中心（CERT）是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。

中心成员由丰富攻防经验的资深安全技术专家组成，联动安恒威胁情报中心，共同针对最新威胁情报主动发现，重大安全漏洞和安全事件进行深度挖掘、分析、溯源，并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。

第一时间通过多渠道对客户进行安全预警通知，并向国家有关部门通报，同时在有关部门的指导下，对影响面极广的漏洞对外发布安全预警和应急措施建议，为安全中国，营造健康、安全的数字化经济环境助力。

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

往/期/回/顾