腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
2023-8-7 10:15:45 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

欢迎关注

腾讯安全威胁情报中心

腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2023年7月份必修安全漏洞清单详情:
一、Smartbi 多个身份认证绕过漏洞
概述:

腾讯安全近期监测到Smartbi官方发布了关于Smartbi的风险公告,补丁修复了多个身份认证绕过漏洞,其中包括Smartbi RMIServlet登陆绕过漏洞(漏洞编号为CNVD-2023-55718)和Smartbi EngineAddress身份认证绕过漏洞(漏洞编号暂无)。成功利用上述漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Smartbi是企业级商业智能BI和大数据分析品牌,满足用户在企业级报表、数据可视化分析、自助分析平台、数据挖掘建模、AI智能分析等方面的大数据分析需求。Smartbi致力于打造产品销售、产品整合、产品应用的生态系统,与上下游厂商、专业实施伙伴和销售渠道伙伴共同为最终用户服务,通过Smartbi应用商店(BI+行业应用)为客户提供场景化、行业化数据分析应用。

Smartbi RMIServlet登陆绕过漏洞源于Smartbi中的RMIServlet对传入的参数存在解析差异,攻击者可以利用该差异绕过过滤,通过未授权调用获取用户敏感信息,最终可远程执行代码。

Smartbi EngineAddress身份认证绕过漏洞源于SmartBI中的setEngineAddress等接口没有对用户的请求做权限校验,未经授权的攻击者可以利用该接口获取管理员token,最终可远程执行代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Smartbi RMIServlet登陆绕过漏洞:

Smartbi V9及以上版本 < 2023.07.03补丁版本

Smartbi EngineAddress身份认证绕过漏洞:

Smartbi < 2023.07.28补丁版本

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://www.smartbi.com.cn/patchinfo
二、Apache RocketMQ远程命令执行漏洞
概述:

腾讯安全近期监测到Apache官方发布了关于RocketMQ的风险公告,漏洞编号为CVE-2023-37582(CNNVD编号: CNNVD-202307-1076)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Apache RocketMQ是一款开源的分布式消息和流处理平台,提供了高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛应用于异步通信、应用解耦、系统集成以及大数据、实时计算等场景。

据描述,该漏洞影响的是RocketMQ的NameServer服务(默认9876端口),如果NameServer服务端口暴露在外网,并且缺乏有效的身份认证机制,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

4.0.0 <= Apache RocketMQ <= 4.9.6

5.0.0 <=Apache RocketMQ <= 5.1.1

修复建议:

1. 添加身份认证机制,确保只有授权用户才能访问和操作RocketMQ的消息队列。

2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。(4.x版本的用户建议升级RocketMQ 至4.9.7或以上版本,5.x版本的用户建议升级RocketMQ 至5.1.2或以上版本)

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/apache/rocketmq/releases/

三、Metabase 远程代码执行漏洞
概述:

腾讯安全近期监测到Metabase官方发布了关于Metabase的风险公告,漏洞编号为CVE-2023-38646 (CNNVD编号: CNNVD-202307-1845)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Metabase是一个开源的商业智能工具,您可以通过它理解数据、分析数据,进行数据查询并获取格式化结果(图形化视图),以数据驱动决策。Hologres兼容PostgreSQL,支持直接连接Metabase进行数据分析。

该漏洞源于Metabase启动时会生成一个setup-token,攻击者在通过访问/api/session/properties获得该值后,可以访问/api/setup/validate并强制Metabase使用JDBC连接到任意数据库服务器,触发JDBC攻击,最终远程执行任意代码。

P.S. 近期腾讯安全监测到新的Metabase远程代码执行漏洞(CVE-2023-37470),此漏洞产生的原因是CVE-2023-38646官方未修补完全,导致Metabase在未完成安装的情况下,攻击者仍可以实现任意命令执行。虽然此漏洞利用条件较为苛刻,腾讯安全仍建议企业将Metabase升级到安全版本。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Metabase < 0.43.7.2
0.44.0 <= Metabase < 0.44.7.1
0.45.0 <= Metabase < 0.45.4.1
0.46.0 <= Metabase < 0.46.6.1
Metabase Enterprise < 1.43.7.2
1.44.0 <= Metabase Enterprise < 1.44.7.1
1.45.0 <= Metabase Enterprise < 1.45.4.1

1.46.0 <= Metabase Enterprise < 1.46.6.1

P.S. 修复CVE-2023-38646漏洞的版本仍受CVE-2023-37470漏洞影响,腾讯安全建议升级Metabase到最新版本,以增强系统的安全性。

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/metabase/metabase/releases/

四、Microsoft Office and Windows HTML 代码执行漏洞

概述:

2023年7月,微软发布了2023年7月安全更新补丁,此次共发布了132个漏洞的补丁程序,其中包含9个严重漏洞。本次发布涉及多个软件的安全更新,包括Microsoft Office、Outlook、SmartScreen、Windows Kernel等产品,上述漏洞中危害性较高的是Microsoft Office and Windows HTML代码执行漏洞,漏洞编号为CVE-2023-36884 (CNNVD编号: CNNVD-202307-797)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

Microsoft Office是由Microsoft公司开发的一套基于Windows操作系统的办公软件套装,其中的常用组件有 Word、Excel、PowerPoint等。

据描述,该漏洞源于Microsoft Office存在代码缺陷,攻击者可以发送特制的Microsoft Office文档并诱使受害者打开,打开后会下载一个恶意脚本,该脚本会启动 iframe 注入,从而下载恶意payload,最终远程执行任意代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
已发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8
影响版本:

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2016 (64-bit edition)

Microsoft Word 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office 2019 for 64-bit editions

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Microsoft Office 2019 for 32-bit editions

Windows Server 2012 R2 (Server Core installation)

修复建议:
1. 阻止office程序创建子进程,详情参考官方文档:

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

2. 设置 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION 注册表项以避免被利用,详情参考官方文档:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

3. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

五、Adobe Coldfusion 远程代码执行漏洞

概述:

腾讯安全近期监测到Adobe官方发布了关于Coldfusion的风险公告,漏洞编号为:CVE-2023-38203(CNNVD编号:CNNVD-202307-1472)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Adobe ColdFusion是一款基于Java的Web应用程序开发平台,它提供了一系列工具和技术,使开发人员能够快速构建和部署动态网站、企业应用和互联网应用程序。它支持多种数据源、多种开发语言和多种平台,包括Windows、Linux和Mac OS X等。Adobe ColdFusion还提供了丰富的标签库和函数库,使开发人员能够快速构建复杂的Web应用程序,而无须编写大量的代码。

据描述,该漏洞源于ColdFusion存在代码缺陷,攻击者可向ColdFusion服务器发送不受信任的序列化数据并触发反序列化,从而执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

ColdFusion 2018 <= Update 17
ColdFusion 2021 <= Update 7

ColdFusion 2023 <= Update 1

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

六、Citrix ADC 及 Citrix Gateway 远程代码执行漏洞

概述:

腾讯安全近期监测到Citrix官方发布了关于Citrix ADC及Citrix Gateway的风险公告,漏洞编号为:CVE-2023-3519(CNNVD编号:CNNVD-202307-1699)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Citrix Systems Citrix Gateway(Citrix Systems NetScaler Gateway)和Citrix ADC都是美国Citrix公司的产品。Citrix Gateway是一套安全的远程接入解决方案。该产品可为管理员提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix ADC是一个最全面的应用程序交付和负载平衡解决方案。它用于实现应用程序的安全性、整体可见性和可用性。

据描述,该漏洞源于Citrix ADC 及 Citrix Gateway存在代码缺陷,当这些设备配置为网关或身份验证服务器并由客户管理时,它们容易受到攻击者发起的远程代码执行攻击。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

13.0 <= NetScaler ADC < 13.0-91.13

13.1 <= NetScaler ADC < 13.1-49.13

13.0 <= NetScaler Gateway < 13.0-91.13

13.1 <= NetScaler Gateway < 13.1-49.13

12.1 <= NetScaler ADC 12.1-FIPS < 12.1-55.297

13.1 <= NetScaler ADC 13.1-FIPS < 13.1-37.159

12.1 <= NetScaler ADC 12.1-NDcPP < 12.1-55.297

修复建议:

1. 避免开放至公网,仅对可信任网段开放。

2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

其中NetScaler ADC 和 NetScaler Gateway 12.1 版本官方已不再维护 (EOL),建议客户将受影响的NetScaler ADC和NetScaler Gateway设备升级到如下对应的修复版本:

NetScaler ADC、NetScaler Gateway 13.0 >= 13.0-91.13

NetScaler ADC、NetScaler Gateway 13.1 >= 13.1-49.13

NetScaler ADC 12.1-FIPS >= 12.1-55.297

NetScaler ADC 13.1-FIPS >= 13.1-37.159

NetScaler ADC 12.1-NDcPP >= 12.1-55.297

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

七、Atlassian Confluence Data Center & Server 远程代码执行漏洞

概述:

腾讯安全近期监测到Atlassian官方发布了关于Confluence的风险公告,漏洞编号为:CVE-2023-22505(CNNVD编号:CNNVD-202307-1641)。成功利用此漏洞的攻击者,最终可远程执行任意命令。

Confluence是一种协作和知识管理工具,它可以帮助企业团队协作创建、分享和管理文档、任务、日程等信息。Confluence提供了一个中心化的平台,使得团队成员可以轻松地共享和访问信息,并可以通过评论、@提及、任务分配等方式进行交流和协作。Confluence还提供了强大的搜索功能和版本控制机制,使得团队成员能够快速找到所需信息,并确保信息的准确性和一致性。Confluence是一种灵活、易用、可定制和可扩展的工具,适用于各种类型的企业和团队。

据描述,该漏洞源于Atlassian Confluence存在代码缺陷,具有登录权限的攻击者可以利用该漏洞远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8

影响版本:

8.0.0 <= Confluence Data Center < 8.3.2

8.0.0 <= Confluence Server < 8.3.2

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://www.atlassian.com/software/confluence/download-archives

八、Apache Shiro 身份认证绕过漏洞

概述:

腾讯安全近期监测到Apache官方发布了关于Shiro的风险公告,漏洞编号为:CVE-2023-34478CNNVD编号:CNNVD-202307-1950)。成功利用此漏洞的攻击者,最终可以绕过身份认证,获取敏感信息。

Apache Shiro是一个Java安全框架,提供了身份验证、授权、加密和会话管理等核心安全功能。Shiro的设计目标是简单、直观、易于使用和扩展。Shiro支持多种身份验证方式,包括基于表单、基于HTTP、基于LDAP、基于CAS等方式,同时还提供了灵活的授权机制,可以根据角色、权限、资源等进行授权管理。

据描述,未修复版本的Shiro中存在路径遍历漏洞,当Shiro与非标准化路由请求的APIWeb框架一起使用时,攻击者可以利用该漏洞绕过身份验证,进而获取敏感信息。

P.S. 经腾讯安全专家研判后,发现此漏洞利用所需的条件较为苛刻,但是此组件使用范围较广,厂商应根据修复难度,酌情判断是否修复此漏洞。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Apache Shiro < 1.12.0

Apache Shiro 2.0.0-alpha-1

Apache Shiro 2.0.0-alpha-2

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://shiro.apache.org/blog/2023/07/18/apache-shiro-1120-released.html

* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。

漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team

腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。

往期企业必修漏洞清单


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNTI4NjU1Mw==&mid=2247484443&idx=1&sn=6a309a5029ab2670567d199816289765&chksm=c2b1066df5c68f7b50f74899e797c12a7de169dc78d2073017e4bd59fff7c2bf1d4e4a5d3f87&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh