FireEye网络武器库失窃 深信服发布解决方案

2020年12月8日，FireEye对外发布公告，称其网络被一个“具有一流网络攻击能力”的黑客组织攻破。该组织使用了一些未公开的高危手段窃取了公司内网中的一些安全工具， 对此，FireEye官方为客户和社区紧急发布了300多种对策。官方的部分公告内容如下：

列表如下：

该事件发生后，FireEye随即公布了相应的防护规则进行挽救，以防止大规模恶性事件的发生。根据给出的规则列表，可以识别出涉及的所有漏洞及其对应的补丁，具体的信息如下：

Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8，Windows 8.1和Windows Server 2012 Gold和R2中的组策略实现无法正确处理密码的分发，这允许远程身份验证的用户获取敏感的凭据信息，从而通过利用对SYSVOL共享的访问来获得特权。

补丁链接：

https://technet.microsoft.com/library/security/ms14-025

Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1和Windows 10 Gold和1511中的内核模式驱动程序允许本地用户通过一个精心制作的应用程序获得特权，即“ Win32k特权提升漏洞”。

补丁链接：

http://technet.microsoft.com/security/bulletin/MS16-039

由于Microsoft Office 处理内存对象存在问题，导致攻击者可以通过Microsoft Outlook 2010 SP2, Outlook 2013 SP1 and RT SP1, and Outlook 2016这些版本来执行任意命令。

补丁链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11774

在SSL VPN Web页面中，Fortinet FortiOS 6.0.0到6.0.4、5.6.3到5.6.7和5.4.6到5.4.12中存在对路径名称的不正确限制，允许未经身份验证攻击者通过特殊的HTTP资源请求下载系统文件。

补丁链接：

https://fortiguard.com/psirt/FG-IR-18-384

Adobe ColdFusion版本7月12日发行版（2018.0.0.310739），Update 6和更早版本以及Update 14和更早版本具有不受限制的文件上传漏洞。成功的利用可能导致任意代码执行。

补丁链接：

https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html

Microsoft Exchange Server中存在一个特权提升漏洞，也称为“ Microsoft Exchange Server特权提升漏洞”。

补丁链接：

https://msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8581

由于软件无法检查应用程序包的源标记，导致Microsoft SharePoint中存在一个远程执行代码漏洞。

补丁链接：

https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0604

当未经身份验证的攻击者使用RDP连接到目标系统并发送经特殊设计的请求时，可以远程执行任意代码漏洞。

补丁链接：

https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0708

在8.2R12.1之前的Pulse Secure Pulse Connect Secure（PCS）8.2、8.3R7.1之前的8.3和9.0R3.4之前的9.0中，未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。

补丁链接：

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

Atlassian Crowd和Crowd Data Center在发行版本中错误地启用了pdkinstall开发插件。可以将未经身份验证或身份验证的请求发送到Crowd或Crowd Data Center实例的攻击者可以利用此漏洞安装任意插件，从而允许在运行存在漏洞的Crowd或Crowd Data Center版本的系统上远程执行代码。3.0.5之前的2.1.0版本（3.0.x的固定版本），3.1.0之前的3.1.0版本（3.1.x的固定版本），3.2。之前的3.2.0的所有版本的Crowd。8（3.2.x的固定版本），3.3.5之前的3.3.0版本（3.3.x的固定版本）和3.4.4之前的3.4.0版本（3.4.x的固定版本）受此漏洞影响。

补丁链接：

https://confluence.atlassian.com/x/3ADVOQ

【漏洞预警】Atlassian Crowd远程命令执行

在Citrix Application Delivery Controller（ADC）和网关10.5、11.1、12.0、12.1和13.0中存在目录遍历漏洞。

补丁链接：

https://support.citrix.com/article/CTX267679

Confluence Server和Data Center中具有路径遍历漏洞。有权向页面和/或博客添加附件或创建新空间或个人空间，或对空间具有“管理员”权限的远程攻击者可以利用此路径遍历漏洞将文件写入任意位置，从而导致在运行有漏洞的Confluence Server或Data Center版本的系统上远程执行代码。

补丁链 接：

https://jira.atlassian.com/browse/CONFSERVER-58102

10.0 build 10012之前的Zoho ManageEngine ServiceDesk Plus（SDP）允许远程攻击者通过登录页面的自定义选项来上传任意文件。

补丁链接：

https://www.manageengine.com/products/service-desk/readme.html

当Microsoft Exchange软件无法正确处理内存中的对象时，它将存在一个远程执行代码漏洞。

补丁链接：

https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-0688

微软2月份补丁日重点漏洞

10.0.474之前的Zoho ManageEngine Desktop Central因为FileStorage类的getChartImage中对不可信反序列化数据的处理，从而导致了远程代码执行漏洞。

补丁链接：

https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html