計世網

漏洞預警合集|藍軍不得不知曉8大漏洞
作者:佚名 | 來源:E安全
2019-06-20
HW行動愈演愈烈,已經進化到了各支隊伍軍備的競爭,伴隨這競爭的不斷繼續,一個個漏洞浮出水平。

 

HW行動愈演愈烈,已經進化到了各支隊伍軍備的競爭,伴隨這競爭的不斷繼續,一個個漏洞浮出水平。

下面就由小編來對近期的漏洞預警做一個合集,素材同樣全部來自互聯網,僅供各位藍軍參考。

目錄

Windows RDP 遠程桌面漏洞(CVE-2019-0708、CNVD-2019-14264)

Windows NTLM認證漏洞安全預警(CVE-2019-1040)

Coremail郵件系統存在配置信息泄露漏洞(CNVD-2019-16798)

Coremail郵件系統存在服務未授權訪問和服務接口參數注入漏洞(CNVD-C-2019-78549)

Apache Axis遠程命令執行漏洞(暫無補丁)

Oracle WebLogic 遠程命令執行漏洞預警(CVE-2019-2725補丁繞過,暫無補丁)

某廠商SSLVPN廠商注入漏洞

某軟件安全漏洞

Windows RDP 遠程桌面漏洞(CVE-2019-0708、CNVD-2019-14264)

01

漏洞描述

MicrosoftWindows是美國微軟公司發布的視窗操作系統。遠程桌面連接是微軟從Windows 2000 Server開始提供的組件。

2019年5月14日,微軟發布了本月安全更新補丁,其中修復了遠程桌面協議(RDP)遠程代碼執行漏洞。未經身份驗證的攻擊者利用該漏洞,向目標Windows主機發送惡意構造請求,可以在目標系統上執行任意代碼。由于該漏洞存在于RDP協議的預身份驗證階段,因此漏洞利用無需進行用戶交互操作,存在被不法分子利用進行蠕蟲攻擊的可能。

02

影響范圍

漏洞影響的產品版本包括:

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems ServicePack 1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-BasedSystems Service Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

03

臨時修復建議

1.禁用遠程桌面服務。

2.通過主機防火墻對遠程桌面服務端口進行阻斷(默認為TCP 3389)。

3.啟用網絡級認證(NLA),此方案適用于Windows 7、Windows Server 2008和Windows Server 2008 R2。啟用NLA后,攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,然后才能利用此漏洞。

04

修復建議

目前,微軟官方已發布補丁修復此漏洞,CNVD建議用戶立即升級至最新版本:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Windows NTLM認證漏洞安全預警(CVE-2019-1040)

01

漏洞描述

2019年6月11日,微軟官方在6月的補丁中發布了漏洞CVE-2019-1040的安全補丁。通過這種攻擊能使攻擊者在僅有一個普通域賬號的情況下可遠程控制Windows域內的任何機器,包括域控服務器,危害較大。XFSEC團隊提醒用戶和企業采取必要防御應對措施。該漏洞成因在于Microsoft服務器并不驗證'msvAvFlag'字段,即服務器允許無MIC的NTLM_AUTHENTICATE消息,這使得不強制執行簽名的服務器容易受到中間人攻擊,當中間人攻擊者能夠成功繞過NTLM MIC(消息完整性檢查)保護時,攻擊者可以修改NTLM身份驗證流程中的簽名要求,完全刪除簽名驗證,并嘗試中繼到目標服務器,不強制執行簽名的服務器都易受到攻擊。

02

影響范圍

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

03

臨時修復建議

1.強制執行SMB簽名,開啟域中所有服務器的強制SMB執行功能。(在Windows域環境下,默認只有域控服務器開啟了強制SMB簽名)

2.盡量不使用NTLMv1,因為NTLMv1的安全性較低,可以通過設置GPO來完全禁止。

3.啟用所有域控服務器的強制LDAPS Channel Binding功能。(此功能默認不啟用。啟用后有可能造成兼容性問題)

4.啟用所有域控服務器的強制LDAP Signing功能,防止LDAP中的NTLM中繼。(此功能默認不啟用。啟用后有可能造成兼容性問題)

5.開啟EPA,防止Web服務器上的NTLM中繼,強制所有Web服務器(OWA,ADFS)只接受EPA的請求。

6.開啟所有的重要服務器(比如所有Exchange服務器)上相關應用的Channel Binding功能。(如IIS的Channel Binding功能)

7.減少使用NTLM,即使是安全配置和完全修補的NTLM也比Kerberos更不安全。

04

修復建議

微軟官方已推出更新補丁,請所有受影響的 Windows 客戶端、服務器及時安裝更新補丁。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

Coremail郵件系統存在配置信息泄露漏洞(CNVD-2019-16798)

01

漏洞描述

Coremail郵件系統是論客科技(廣州)有限公司(以下簡稱論客公司)自主研發的大型企業郵件系統,為客戶提供電子郵件整體技術解決方案及企業郵局運營服務。Coremail郵件系統作為我國第一套中文郵件系統,客戶范圍涵蓋黨政機關、高校、知名企業以及能源、電力、金融等重要行業單位,在我國境內應用較為廣泛。

2019年5月22日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京天融信網絡安全技術有限公司報送的Coremail郵件系統信息泄露漏洞(CNVD-2019-16798)。由于Coremail郵件系統的mailsms模塊的參數大小寫敏感存在缺陷,使得攻擊者利用該漏洞,在未授權的情況下,通過遠程訪問URL地址獲知Coremail服務器的系統配置文件,造成數據庫連接參數等系統敏感配置信息泄露。

02

影響范圍

該漏洞的影響版本如下:

Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修復該漏洞。

03

臨時修復建議

1.在不影響使用的情況下,僅允許VPN連接后才可訪問;

2.在Web服務器(nginx/apache)上限制外網對 /mailsms 路徑的訪問。

3.建議使用Coremail構建郵件服務器的信息系統運營者立即自查,發現存在漏洞后及時修復。

參考地址:https://www.cnvd.org.cn/webinfo/show/5073

04

修復建議

目前,論客公司已發布補丁進行修復,針對Coremail XT5和Coremail XT3/CM5版本,補丁編號為CMXT5-2019-0002,程序版本號1.1.0-alpha build20190524(3813d273)。

如已安裝的程序包的版本號日期早于20190524,建議用戶及時更新補丁:用戶可以在Coremail云服務中心的補丁管理模塊,根據補丁編號下載并按照操作指引進行手動更新。

如有疑問,也可通過400-888-2488 或 [email protected] 聯系廠商售后人員提供協助。

Coremail郵件系統存在服務未授權訪問和服務接口參數注入漏洞(CNVD-C-2019-78549)

01

漏洞描述

Coremail郵件系統是論客科技(廣州)有限公司(以下簡稱論客公司)自主研發的大型企業郵件系統,為客戶提供電子郵件整體技術解決方案及企業郵局運營服務。Coremail郵件系統作為我國第一套中文郵件系統,客戶范圍涵蓋黨政機關、高校、知名企業以及能源、電力、金融等重要行業單位,在我國境內應用較為廣泛。

2019年6月15日,國家信息安全漏洞共享平臺(CNVD)收錄了由論客科技(廣州)有限公司報送的Coremail郵件系統服務未授權訪問漏洞和服務接口(API)參數注入漏洞。Coremail郵件系統apiws模塊上的部分WebService服務存在訪問策略缺陷和某API服務參數存在注入缺陷,使得攻擊者綜合利用上述漏洞,在未授權的情況下遠程訪問Coremail部分服務接口,通過參數構造注入進行文件操作。

02

影響范圍

該漏洞影響的Coremail郵件系統版本如下:

Coremail XT 3.0.4至 XT5.0.8A版本受上述兩個漏洞影響;

XT 5.0.9及以上版本已修復上述兩個漏洞。

03

臨時修復建議

1.在不影響正常使用的情況下,通過部署VPN服務限制對Coremail服務器的公網訪問;

2.在Web服務器(nginx/apache)上限制外網對 /apiws 路徑的訪問。

建議使用Coremail產品構建郵件服務的信息系統運營者,立即自檢,發現存在漏洞及時修復。

04

修復建議

目前,論客公司已發布補丁進行修復:

1.針對CoremailXT3/CM5版本,補丁編號為CMXT3-2019-0001,程序版本號XT3.0.8 dev build 20190610(cb3344cf);

2.針對CoremailXT5,補丁編號為CMXT5-2019-0001,程序版本號XT5.0.9abuild 20190604(696d1518)。

如已安裝的程序包的版本號日期早于20190604,建議用戶及時更新補丁:用戶可以在Coremail云服務中心的補丁管理模塊,根據補丁編號下載并按照操作指引進行手動更新。如有疑問,可通過400-888-2488 或[email protected]聯系廠商售后人員提供協助。

Apache Axis遠程命令執行漏洞

01

漏洞描述

Apache Axis 是一個開源、建基于XML的Web服務架構。它包含了Java和C++語言實現的SOAP服務器,以及各種公用服務及API以生成和部署Web服務應用。用Apache Axis開發者能夠創造可互操作的,分布式的計算應用。Axis是在Apache軟件基金會主持下制訂的。

近日,互聯網爆發出Apache Axis遠程命令執行漏洞。攻擊者可以發送精心構造的惡意HTTP-POST請求,獲得目標服務器的權限,在未授權的情況下遠程執行命令

02

影響范圍

受影響版本:

ApacheAxis <= 1.4

03

修復建議

1.配置URL訪問控制策略:

部署于公網的Axis服務器,可通過ACL禁止對

/services/AdminService及/services/FreeMarkerService路徑的訪問。

2.禁用Axis遠程管理功能:

Axis <= 1.4版本默認關閉了遠程管理功能,如非必要請勿開啟。

若需關閉,則需修改Axis目錄下WEB-INF文件夾中的server-config.wsdd文件,將其中"enableRemoteAdmin"的值設置為false。

Oracle WebLogic 遠程命令執行漏洞預警(CVE-2019-2725補丁繞過)

01

漏洞描述

2019年4月26日,Oracle官方發布了WebLogic wls9-async及wls-wsat組件遠程命令執行漏洞的補丁(CVE-2019-2725),https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html,該補丁存在安全缺陷,在低版本JDK的環境中可以被繞過導致任意遠程命令執行。由于該漏洞能使攻擊者遠程執行任意命令,目前官方補丁尚未發布且已有用戶受到疑似該漏洞的攻擊,建議所有使用Oracle WebLogic的用戶盡快主動部署相應防護。

02

臨時修復建議

刪除wls9_async_response.war、wls_wsat.war及相關文件夾,并重啟weblogic服務

禁止_async/*及wls-wsat/*形式的URL路徑訪問

使用1.7及以上的java版本運行WebLogic(針對目前流傳的低版本JDK利用)

某廠商SSLVPN廠商注入漏洞

網絡中一直流傳著這張圖片,沒有找到出處,真實性不可考。

漏洞預警合集|藍軍不得不知曉8大漏洞

某軟件安全漏洞

漏洞預警合集|藍軍不得不知曉8大漏洞

責任編輯:焦旭

天津11选5开奖结果查询