斗象科技漏洞情报中心推出2023年3月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。
斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节披露情况、社区讨论热度”等因素,综合评估该漏洞的风险系数。将超过特定风险阈值的漏洞列入必修安全漏洞候选清单。 漏洞情报中心定期发布安全漏洞必修清单,以期帮助政企客户提高安全意识,筑高安全水位,从而避免重大损失。
以下是2023年3月份必修安全漏洞清单详情:
1.1 Smartbi_远程命令执行漏洞
1.1.1 漏洞速览
影响范围 | V7 <= Smartbi <= V10.5.8 |
1.1.2 漏洞概述
Smartbi 大数据分析平台在 V7 至 V10.5.8 版本之间存在远程命令执行漏洞,攻击者不需要通过身份认证即可进行 RCE 利用。
漏洞状态:
1.1.3 影响范围
V7 <= Smartbi <= V10.5.8
1.1.4 修复建议
请使用此产品的用户尽快更新至安全版本:https://www.smartbi.com.cn/patchinfo
1.1.5 参考资料
https://vip.riskivy.com/detail/1630830456054353920
1.2 Apache Dubbo反序列化漏洞
(CVE-2023-23638)
1.2.1 漏洞速览
漏洞危害 | 攻击者通过可能利用此漏洞执行恶意代码,接管服务器 |
影响范围 | 2.7.0 <= Apache Dubbo <= 2.7.21 3.0.0 <= Apache Dubbo <= 3.0.13 3.1.0 <= Apache Dubbo <= 3.1.5 |
修复版本 | 2.7.0 <= Apache Dubbo <= 2.7.21 3.0.0 <= Apache Dubbo <= 3.0.13 3.1.0 <= Apache Dubbo <= 3.1.5 |
1.2.2 漏洞概述
dubbo 泛型调用存在反序列化漏洞,可导致恶意代码执行。
漏洞状态:
1.2.3 影响范围
2.7.0 <= Apache Dubbo <= 2.7.21
3.0.0 <= Apache Dubbo <= 3.0.13
3.1.0 <= Apache Dubbo <= 3.1.5
1.2.4 修复建议
请使用此产品的用户尽快更新至最新版:https://cn.dubbo.apache.org/zh-cn/index.html
另外:
不要将 Dubbo 服务端口直接暴露在公网中。
对需要调用 Dubbo 服务端口的 IP 进行加白处理。
查看 dubbo.provider.telnet 属性是否配置 ls 和 cd 操作,若配置请及时删除。
1.2.5 参考资料
https://vip.riskivy.com/detail/1633437675895787520
1.3 Outlook特权提升漏洞
(CVE-2023-23397)
1.3.1 漏洞速览
漏洞危害 | 攻击者利用该漏洞获取用户的Net-NTLMv2 hash,该值可以用于其他服务进行NTLM中间攻击时进行身份认证 |
影响范围 | Microsoft Outlook 2016 (64-bit edition) Microsoft Outlook 2013 Service Pack 1 (32-bit editions) Microsoft Outlook 2013 RT Service Pack 1 Microsoft Outlook 2013 Service Pack 1 (64-bit editions) Microsoft Office 2019 for 32-bit editions Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft Office LTSC 2021 for 64-bit editions Microsoft Outlook 2016 (32-bit edition) Microsoft Office LTSC 2021 for 32-bit editions |
1.3.2 漏洞概述
Microsoft Outlook存在特权提升漏洞。攻击者可以通过发送特殊设计的电子邮件,该电子邮件在Outlook客户端进行检索和处理时会自动触发该漏洞利用,导致受害者会连接外部攻击者控制的UNC,从而将受害者的Net-NTLMv2 hash值泄露给攻击者。
漏洞状态:
1.3.3 影响范围
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
1.3.4 修复建议
请使用此产品的用户尽快在线升级或更新安全补丁:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
若暂时不能升级请参考以下临时解决方案:
1. 将用户添加至 Protected Users Security 组,这可以有效阻止使用NTLM进行身份检验机制。
2. 设置防火墙/VPN阻止 TCP 445/SMB 出网,这可以阻止向远程文件共享发送NTLM身份验证信息。
1.3.5 参考资料
https://vip.riskivy.com/detail/1635832727196536832
1.4 MinIO 信息泄露
(CVE-2023-28432)
1.4.1 漏洞速览
漏洞危害 | 经过身份验证的攻击者可能会尝试通过网络调用在服务器帐户的上下文中触发恶意代码未经身份验证的攻击者向MinIO发送特制的HTTP请求可以获取MINIO_SECRET_KEY、MINIO_ROOT_PASSWORD等所有的环境变量。 |
影响范围 | RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z |
修复版本 | MinIO >= RELEASE.2023-03-20T20-16-18Z |
1.4.2 漏洞概述
MinIO是在GNU Affero通用公共许可证v3.0下发布的高性能对象存储。它与Amazon S3云存储服务API兼容。使用MinIO为机器学习、分析和应用数据工作负载构建高性能基础架构。
MinIO在RELEASE.2019-12-17T23-16-33Z至RELEASE.2023-03-20T20-16-18Z版本之前存在信息泄露,未经身份验证的攻击者向MinIO发送特制的HTTP请求可以获MINIO_SECRET_KEY、MINIO_ROOT_PASSWORD等所有的环境变量。
漏洞状态:
1.4.3 影响范围
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
1.4.4 修复建议
请请使用此产品的用户尽快更新至安全版本:https://github.com/minio/minio/tags
1.4.5 参考资料
https://vip.riskivy.com/detail/1638661911375646720
1.5 Apache OpenOffice任意代码执行漏洞
(CVE-2022-38745)
1.5.1 漏洞速览
漏洞危害 | 攻击者可以从当前目录运行任意 Java 代码 |
影响范围 | Apache OpenOffice <= 4.1.13 |
修复版本 | Apache OpenOffice >= 4.1.14 |
1.5.2 漏洞概述
4.1.14 之前的 Apache OpenOffice 版本可能被配置为向 Java 类路径添加一个空条目。这可能会导致从当前目录运行任意 Java 代码。
注意:OpenOffice.org 版本也可能受到影响。
漏洞状态:
1.5.3 影响范围
Apache OpenOffice <= 4.1.13
1.5.4 修复建议
请使用此产品的用户尽快更新至安全版本:
https://www.openoffice.org/download/index.html
1.5.5 参考资料
https://vip.riskivy.com/detail/1639326323895832576
1.6 Apache OpenOffice无提示执行宏URL脚本
(CVE-2022-47502)
1.6.1 漏洞速览
漏洞危害 | 攻击者可以诱导用户打开恶意文档,然后执行任意脚本 |
影响范围 | Apache OpenOffice <= 4.1.13 |
修复版本 | Apache OpenOffice >= 4.1.14 |
1.6.2 漏洞概述
Apache OpenOffice文档可以包含调用具有任意参数的内部宏的链接。链接可以通过点击,或通过自动的文档事件来激活,这种链接的执行必须要经过用户的同意。在受影响的OpenOffice版本中,某些链接不需要授权,这些链接可能会导致任意的脚本执行。
注意:OpenOffice.org 版本也可能受到影响。
漏洞状态:
1.6.3 影响范围
Apache OpenOffice <= 4.1.13
1.6.4 修复建议
请使用此产品的用户尽快更新至安全版本:https://www.openoffice.org/download/index.html
暂时不能升级的用户参考禁用宏方案:
点击工具->选项,然后在左边的树形菜单中展开OpenOffice。
点击安全,然后点击宏安全按钮。
将安全级别设置为非常高,然后不要列出任何可信的文件位置。这样,用户就不会被给予启用宏的选项。
1.6.5 参考资料
https://vip.riskivy.com/detail/1639326357446070272
1.7 FortiWeb 命令注入漏洞
(CVE-2022-39951)
1.7.1 漏洞速览
漏洞危害 | 攻击者可在应用处通过利用拼接、管道符、通配符等绕过手段来执行任意命令 |
影响范围 | FortiWeb version 7.0.0 - 7.0.2 FortiWeb version 6.3.6 - 6.3.20 FortiWeb 6.4 全版本 |
修复版本 | FortiWeb version >= 7.2.0 FortiWeb version >= 7.0.3 FortiWeb version >= 6.3.21 |
1.7.2 漏洞概述
FortiWeb 是 Fortinet 的 Web 应用防火墙,可保护您的关键业务 Web 应用免受针对已知和未知漏洞的攻击。
Fortinet FortiWeb在7.0.0-7.0.2、6.3.6-6.3.20、6.4所有版本中存在命令注入漏洞,在命令中使用特殊字符进行拼接,允许攻击者通过特别制作的HTTP请求执行代码或命令。
漏洞状态:
1.7.3 影响范围
FortiWeb version 7.0.0 - 7.0.2
FortiWeb version 6.3.6 - 6.3.20
FortiWeb 6.4 全版本
1.7.4 修复建议
请使用此产品的用户尽快更新安全补丁:https://www.fortiguard.com/psirt/FG-IR-22-254
1.7.5 参考资料
https://vip.riskivy.com/detail/1633165738103672832
1.8 FortiOS/FortiProxy 缓冲区溢出漏洞
(CVE-2023-25610)
1.8.1 漏洞速览
漏洞危害 | 攻击者可得出应用程序的地址空间布局,便可以通过构造恶意的缓冲区数据,使该函数返回时跳转至攻击者注入的恶意代码或 shellcode 处执行。 |
影响范围 | FortiOS version 7.2.0 ~ 7.2.3 FortiOS version 7.0.0 ~ 7.0.9 FortiOS version 6.4.0 ~ 6.4.11 FortiOS version 6.2.0 ~ 6.2.12 FortiOS 6.0 全版本 FortiProxy version 7.2.0 ~ 7.2.2 FortiProxy version 7.0.0 ~ 7.0.8 FortiProxy version 2.0.0 ~ 2.0.11 FortiProxy 1.2 全版本 FortiProxy 1.1 全版本 |
修复版本 | FortiOS version >= 7.4.0 FortiOS version >= 7.2.4 FortiOS version >= 7.0.10 FortiOS version >= 6.4.12 FortiOS version >= 6.2.13 FortiProxy version >= 7.2.3 FortiProxy version >= 7.0.9 FortiProxy version >= 2.0.12 FortiOS-6K7K version >= 7.0.10 FortiOS-6K7K version >= 6.4.12 FortiOS-6K7K version >= 6.2.13 |
1.8.2 漏洞概述
FortiProxy是一个安全的Web代理,通过整合多种检测技术,如Web过滤、DNS过滤、数据丢失防护、防病毒、入侵防护和高级威胁防护,保护员工免受互联网传播的攻击。FortiProxy有助于降低带宽需求,并通过内容和视频缓存优化网络。
FortiOS和FortiProxy在多个版本中存在缓冲区溢出漏洞,其管理界面中存在一个缓冲区溢出漏洞,可能允许远程攻击。
漏洞状态:
1.8.3 影响范围
FortiOS version 7.2.0 ~ 7.2.3
FortiOS version 7.0.0 ~ 7.0.9
FortiOS version 6.4.0 ~ 6.4.11
FortiOS version 6.2.0 ~ 6.2.12
FortiOS 6.0 全版本
FortiProxy version 7.2.0 ~ 7.2.2
FortiProxy version 7.0.0 ~ 7.0.8
FortiProxy version 2.0.0 ~ 2.0.11
FortiProxy 1.2 全版本
FortiProxy 1.1 全版本
1.8.4 修复建议
请使用此产品的用户尽快更新至安全版本:https://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml#zerodayfeb1
1.8.5 参考资料
https://vip.riskivy.com/detail/1633303778440646656
1.9 Nacos 身份认证绕过漏洞
1.9.1 漏洞速览
漏洞危害 | 攻击者可以绕过密钥认证进入后台,造成系统受控等后果。 |
影响范围 | 0.1.0 <= Nacos <= 2.2.0 |
1.9.2 漏洞概述
Nacos 一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
Nacos鉴权功能通过token.secret.key默认值进行撞击,绕过身份验证安全漏洞的问题。
漏洞状态:
1.9.3 影响范围
0.1.0 <= Nacos <= 2.2.0
1.9.4 修复建议
请使用此产品的用户尽快更新至安全版本:https://github.com/alibaba/nacos/releases
若暂时不便升级请参考如下临时解决方案:
查看application.properties是否使用了默认的token.secret.key
如果使用默认值请尽快按照文档修改:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
Nacos 定义为一个应用服务发现和配置管理中间件服务,这类应用一般应该部署于内部网络环境,因此不建议用户将Nacos暴露在公网环境。
同时应开启鉴权,设置自定义token.secret.key,并修改nacos用户的密码,提高安全性。
另外,即使升级到最新版本,开启鉴权并修改了token.secret.key和nacos用户的密码,也请不要暴露在公网环境使用。
1.9.5 参考资料
https://vip.riskivy.com/detail/1635581693945581568