所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年3月份必修安全漏洞清单:
漏洞介绍及修复建议详见后文
腾讯安全近期监测到JetBrains官方发布了关于TeamCity的风险公告,漏洞编号为TVD-2024-5813 (CVE编号:CVE-2024-27198,CNNVD编号: CNNVD-202403-298)。成功利用此漏洞的攻击者,最终可创建管理员用户,远程执行任意代码。
TeamCity是一个强大的持续集成和持续部署(CI/CD)服务器,由JetBrains开发。它提供了自动化构建、测试、部署和发布功能,支持多种编程语言和开发环境。TeamCity旨在帮助开发团队加速软件开发过程、提高代码质量并实现敏捷开发,通过可视化界面和丰富的插件生态系统,使开发者能够轻松地配置和管理项目。
据描述,该漏洞源于TeamCity存在代码缺陷,用户可以通过发送特定的请求,调用updateViewIfRequestHasJspParameter方法访问任意接口。攻击者可以利用该漏洞创建管理员用户,上传恶意插件,最终远程执行任意代码。
风险等级:
影响版本:
JetBrains TeamCity < 2023.11.4
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/
漏洞利用可能性变化趋势:
- 2024.03.07出现大量在野攻击
腾讯安全近期监测到互联网上发布了关于ChatGPT-Next-Web的风险公告,漏洞编号为TVD-2023-31075 (CVE编号:CVE-2023-49785,CNNVD编号:CNNVD-202403-910)。成功利用此漏洞的攻击者,最终可进行内网探测、读取敏感信息、恶意流量伪造等操作。
ChatGPT-Next-Web(NextChat) 是一款跨平台的ChatGPT应用, 支持 GPT3, GPT4 & Gemini Pro 等模型。ChatGPT-Next-Web旨在提供高质量的对话生成服务,帮助用户解决问题、获取信息或进行娱乐互动,同时为开发者提供简单的集成方式来改进现有的Web应用。
据描述,该漏洞源于ChatGPT-Next-Web允许未经身份验证的用户通过/api/cors接口发送任意 HTTP 请求。攻击者可以通过访问该接口,绕过内置的浏览器跨域资源访问保护,进行内网探测、访问敏感信息等操作。
漏洞状态:
风险等级:
影响版本:
ChatGPT-Next-Web < 2.11.3
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/ChatGPTNextWeb/ChatGPT-Next-Web/releases
- 避免开放至公网。
- 如果必须开放至公网,请隔离网络,确保其无法访问任何其他内部资源。
腾讯安全近期监测到互联网上关于XZ-Utils的风险公告,漏洞编号为TVD-2024-8298 (CVE编号:CVE-2024-3094,CNNVD编号:CNNVD-202403-3194)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
XZ Utils 是一款用于压缩和解压缩文件的工具集。XZ Utils 由 Lasse Collin 开发,是一个开源项目,广泛应用于各种操作系统中。xz文件格式是一种基于 LZMA2 压缩算法的文件格式,它提供了比传统 gzip 更高的压缩比,同时保持了相对较高的解压缩速度。
据描述,该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH底层依赖了liblzma等库,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权的访问权限,从而执行任意代码。
漏洞状态:
风险等级:
影响版本:
liblzma 5.6.1
修复建议:
1. 在命令行输入:
xz --version
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
如果存在后门风险,可将xz降级到 5.6.0 版本以下的安全版本或升级至5.6.1以上版本,该操作可以通过您的操作系统的包管理器来完成:
sudo apt-get install xz-utils=5.4.5
sudo yum downgrade xz-utils
sudo apt-get remove xz-utils
sudo yum remove xz-utils
概述:
腾讯安全近期监测到pgAdmin官方发布了关于pgAdmin4的风险公告,漏洞编号为TVD-2024-6042 (CVE编号:CVE-2024-2044,CNNVD编号:CNNVD-202403-686)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
pgAdmin4是一款流行的开源PostgreSQL数据库管理工具,提供了一个功能丰富且直观的图形界面,方便用户轻松地创建、管理和维护PostgreSQL数据库。它支持多种操作系统,包括Windows、macOS和Linux,同时支持多种数据库对象和操作,如创建表、索引、视图以及执行SQL查询等。pgAdmin4还具有强大的安全性和扩展性,使得数据库管理员和开发者能够高效地管理和优化PostgreSQL数据库。
据描述,该漏洞源于pgAdmin4 使用基于文件的会话管理方法,会话文件作为 pickle 对象保存在磁盘上。当用户执行请求时,会话 cookie 的值pga4_session会被用于检索文件,然后反序列化其内容,最后验证其签名。攻击者可以通过发送特制的请求触发反序列化,最终远程执行任意代码。
pgAdmin4 <= 8.3
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://www.pgadmin.org/download/
概述:
腾讯安全近期监测到JumpServer官方发布了关于JumpServer的风险公告,漏洞编号为TVD-2024-8242 / TVD-2024-8252 (CVE编号:CVE-2024-29201/CVE-2024-29202,CNNVD编号:CNNVD-202403-3156/ CNNVD-202403-3155)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
JumpServer是一款开源的堡垒机系统,主要用于对企业内部网络资源进行统一的身份认证、权限管理和审计。它能够实现对远程服务器、数据库、网络设备等多种资产的访问控制,提高企业网络安全性。JumpServer通过对接各种认证方式(如LDAP、RADIUS等),支持多种协议(如SSH、RDP、VNC等)以及提供实时会话监控、操作审计等功能,帮助企业降低网络风险,保障信息安全。
据描述,JumpServer中的Ansible Playbook存在代码缺陷,攻击者可以绕过Jumрѕеrvеr的Anѕiblе中的输入验证机制 (CVE-2024-29201),进而在Celery容器中执行任意代码。同时Ansible Playbook还存在Jinja2模板注入漏洞(CVE-2024-29202),攻击者利用此漏洞可以执行任意代码并从所有主机窃取敏感信息。
P.S. 上述漏洞都需要后台权限且账户需获得资产授权
漏洞状态:
风险等级:
影响版本:
3.0.0 <= JumpServer <= 3.10.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/jumpserver/jumpserver/releases
- 关闭任务中心,任务中心的位置为:系统设置-功能设置-任务中心。
概述:
腾讯安全近期监测到Atlassian官方发布了关于Confluence的风险公告,漏洞编号为 TVD-2024-7133 (CVE编号:CVE-2024-21677,CNNVD编号:CNNVD-202403-1860)。成功利用此漏洞的攻击者,最终可绕过目录限制,读取系统上敏感文件。
Confluence是一款由Atlassian公司开发的企业级知识管理和协同工作平台。它为团队提供了一个集中式的空间,可以创建、分享、讨论和优化文档、项目计划、需求等各种信息。Confluence支持实时协作编辑、版本控制、拥有强大的搜索功能以及丰富的插件生态,帮助团队成员高效地沟通、协作和跨部门协同,从而提高工作效率和项目管理水平。
据描述,该漏洞源于Confluence存在代码缺陷,攻击者可以通过发送特制的请求触发路径遍历漏洞,利用该漏洞进行敏感文件访问等操作。
漏洞状态:
风险等级:
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.atlassian.com/software/confluence/download-archives
- 停用 CCMA 插件。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。