【8/29特辑】最新漏洞威胁，请自查并加以防范！

4、紫光电子档案管理系统存在SQL注入漏洞

安恒CERT漏洞编号：

WM-202408-000121

漏洞详情：

攻击者利用该漏洞上传恶意文件，可能含命令执行、文件读写、数据库操作等恶意功能，以获取对服务器的未授权访问，可能导致服务器被远程控制。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

安恒CERT漏洞编号：

WM-202408-000122

漏洞详情：

锐明Crocus系统存在身份验证绕过漏洞，攻击者能够通过简单地更改密码字段的值来成功绕过登录验证并访问后台系统。

产品支持情况：

明鉴漏洞扫描系统已支持

请求报文

POST /**** HTTP/1.1Host:Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 842<bad payload>==

恒脑告警研判智能体对流量进行采集监测，并从网络安全的角度进行专业分析与细致评估，从海量的数据报文中将该攻击流量捕获，发出告警。其采用分点论述的方法，清晰地解释了问题，让我们一起来看看它的表现如何吧！

一、总体判断
提交的报文从网络安全角度分析，具有恶意特征。报文中的**参数包含经过URL编码的Java反序列化命令，这通常与利用Java反序列化漏洞的攻击相关，如Apache Commons Collections等库的远程代码执行漏洞。此类攻击可能允许攻击者在目标服务器上执行任意代码。

二、详细功能
恶意payload为：<bad payload>

解码后的内容为： ******
此payload的目的是利用Java反序列化漏洞执行任意代码。具体而言，它尝试通过反序列化一个恶意构造的对象来触发Exec方法，该方法可以执行任意的系统命令。

三、解决方案
针对此恶意报文，可以采取以下措施：
封堵特定URL：封堵/***路径，阻止任何对该路径的POST请求。
封堵特定参数：在WAF或防火墙上添加规则，阻止包含**参数的请求。
封堵特定payload：在安全设备上添加规则，阻止包含上述特定payload的请求。
更新系统和库：确保所有Java库，特别是Apache Commons Collections等，都更新到最新版本，以修复已知的安全漏洞。
输入验证：在应用层增加对输入参数的严格验证，避免接受URL编码或Base64编码的不可信数据。

四、正则匹配
正则规则如下，用于匹配关键恶意要素：

**参数=%[0-9A-Fa-f]{2}.*<payload>.*%28.*%29

此正则表达式用于匹配包含**参数且含有deserialize和base64.decode关键字的恶意请求。