所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2024年2月份必修安全漏洞清单
:
一、Apache Solr Backup 远程代码执行漏洞
二、Apache Solr Schema Designer 远程代码执行漏洞
四、Microsoft Outlook 远程命令执行漏洞
五、Microsoft Exchange Server 权限提升漏洞
七、Fortinet FortiOS和FortiProxy 越界写入漏洞
八、ConnectWise ScreenConnect认证绕过漏洞
一、
Apache S
olr Backup 远程代码执行漏
洞
腾讯安全近期监测到Apache官方发布了关于Solr的风险公告,漏洞编号为TVD-2023-30294 (CVE编号:CVE-2023-50386,CNNVD编号: CNNVD-202402-791)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache Solr是一个基于Apache Lucene库构建的高性能,可扩展的开源搜索平台。它提供了强大的全文搜索、高亮显示、实时索引、动态聚合、过滤、地理空间搜索等多种功能。Solr支持多种数据格式(如XML、JSON、CSV)的导入,并提供了丰富的查询接口,方便与各种编程语言进行集成。它广泛应用于企业级搜索、电子商务、日志分析等场景,为用户提供高效、准确的信息检索服务。
据描述,当Solr以SolrCloud模式启动时,攻击者可利用Solr Collections的Backup/Restore功能上传恶意class文件,最终执行任意代码,进而控制服务器。
风险等级:
影响版本:
6.0.0 <= Apache Solr <= 8.11.2
9.0.0 <= Apache Solr < 9.4.1
修复建议:
1
. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://solr.apache.org/downloads.html
- 在不影响正常系统功能和业务的前提下,避免将该接口开放至公网。
- 对solr访问开启鉴权机制,防止未授权访问。
二、
Apache Solr Schema Designer 远程代码执行漏洞
腾讯安全近期监测到Apache官方发布了关于Solr的风险公告,漏洞编号为TVD-2023-30295 (CVE编号:CVE-2023-50292,CNNVD编号:CNNVD-202402-793)。该漏洞于2023年4月公开细节,成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,当Solr以SolrCloud模式启动时,攻击者可以利用Solr的sechema-designer系统功能上传恶意构造的solrconfig.xml文件,通过组合利用最终造成任意代码执行。
漏洞状态:
风险等级:
影响版本:
8.10.0 <= Apache Solr <= 8.11.2
9.0.0 <= Apache Solr < 9.3.0
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://solr.apache.org/downloads.html
- 建议使用安全防护类设备进行防护,重点关注/api/schema-designer/*相关路径
- 在不影响正常系统功能和业务的前提下,避免开放至公网。
- 对solr开启鉴权机制,防止未授权访问。
腾讯安全近期监测到aiohttp 官方发布了关于 aiohttp的风险公告,漏洞编号为TVD-2024-5277 (CVE编号:CVE-2024-23334,CNNVD编号:CNNVD-202401-2541)。成功利用此漏洞的攻击者,最终可未经授权访问系统上的任意文件。
aiohttp是一个用于异步编程的Python库,它提供了强大的HTTP客户端和服务器端功能,基于Python的异步I/O框架asyncio实现。通过使用aiohttp,可以轻松实现高并发、高性能的Web应用程序和服务,同时保持代码简洁易读。aiohttp支持WebSocket、HTTP/2等先进协议,并且具有良好的社区支持和丰富的文档,使得开发人员能够快速上手并构建出稳定可靠的网络应用。
开发者在使用aiohttp实现Web服务的静态资源解析功能时,使用了不安全的参数“follow_symlinks“,这将导致服务存在目录遍历漏洞,攻击者可以利用此漏洞访问系统上的任意文件。
注意:
多个热门项目集成了aiohttp库且未正确配置静态资源解析参数,包括ComfyUI,Ray等热门的AI项目。
漏洞状态:
风险等级:
影响版本:
1.0.5 <= aiohttp < 3.9.2
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2
- 建议使用反向代理服务器(例如nginx)处理静态资源。
- 如果静态资源解析功能中配置了“follow_symlinks=True”,建议立即修改该配置为False。
- 建议使用安全防护类设备进行防护,拦截../../等路径穿越字符。
四、
Microsoft Outlook 远程命令执行漏洞
概述:
腾讯安全近期监测到
Microsoft
官方发布了关于
Outlook
的风险公告,漏洞编号为
TVD-2024-4471 (CVE
编号:
CVE-2024-21413
,
CNNVD
编号:
CNNVD-202402-1028)
。成功利用此漏洞的攻击者,可获取用户凭据,最终远程执行任意代码。
Microsoft Outlook
是微软公司推出的一款功能强大的电子邮件客户端和个人信息管理工具,它是
Microsoft Office
套件的一部分。
Outlook
不仅支持发送和接收电子邮件,还提供了日历、任务、联系人和笔记等管理功能,帮助用户高效地组织工作和生活。通过与
Exchange
服务器、
Office 365
和其他邮件服务提供商的无缝集成,
Outlook
使得个人和团队在任何设备上都能轻松地进行沟通和协作。
据描述, 使用
file://
协议并且在文档扩展名后添加感叹号可以绕过
Outlook
的安全限制。攻击者可以通过发送特制的恶意邮件获取用户的
NTLM
凭据,当用户点击恶意链接时,应用程序将访问远程资源并打开目标文件,最终远程执行代码。
Microsoft Office 2016(32位/64位版本)
Microsoft Office 2019(32位/64位版本)
Microsoft Office LTSC 2021(32位/64位版本)
Microsoft 365 Apps for Enterprise(32位/64位版本)
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
五、
Microsoft Exchange Server 权限提升漏洞
概述:
腾讯安全近期监测到Microsoft官方发布了关于Exchange的风险公告,漏洞编号为TVD-2024-4456 (CVE编号:CVE-2024-21410,CNNVD编号: CNNVD-202402-1030)。成功利用此漏洞的攻击者,最终可提升用户权限。
Microsoft Exchange Server是一款由微软开发的企业级邮件和日程管理服务器软件,用于实现电子邮件、日历、通讯录、任务等功能的集中管理和协同工作。通过支持多种客户端访问方式,如Outlook客户端、Web浏览器和移动设备,Exchange Server为企业提供了高效、安全和易于管理的通信解决方案。
据描述,该漏洞源于Exchange Server存在代码缺陷,未经身份验证的攻击者可以将泄露的NTLM凭据中继到Exchange服务器,最终以该用户的身份进行认证并获取该用户权限。
漏洞状态:
风险等级:
影响版本:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2019 Cumulative Update 14
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
- 为Exchange Server启用身份验证扩展保护(EPA),可参考官方文档:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019
概述:
腾讯安全近期监测到
JetBrains
官方发布了关于
TeamCity
的风险公告,漏洞编号为
TVD-2024-4007 (CVE
编号:
CVE-2024-23917
,
CNNVD
编号:
CNNVD-202402-461)
。成功利用此漏洞的攻击者,最终可绕过身份验证,远程执行任意代码。
TeamCity是一款由JetBrains开发的持续集成与持续部署(CI/CD)服务器软件,用于自动化构建、测试和部署项目。它支持多种编程语言和构建工具,提供了友好的Web界面、实时构建进度监控、构建历史记录查看等功能。通过与版本控制系统(如Git、SVN等)和其他开发工具(如IDE、bug跟踪工具等)的集成,TeamCity能够帮助开发团队实现更高效的软件开发和交付流程。
据描述,该漏洞源于TeamCity存在代码缺陷,未经身份验证的攻击者能够通过构造特制的请求访问TeamCity服务器来绕过身份验证检查,并获得该TeamCity服务器的管理控制权限。
漏洞状态:
风险等级:
2017.1 <= TeamCity < 2023.11.3
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://blog.jetbrains.com/teamcity/2024/02/critical-security-issue-affecting-teamcity-on-premises-cve-2024-23917/
在不影响正常系统功能和业务的前提下,避免开放至公网。
七、
Fortinet FortiOS和FortiProxy 越界写入漏洞
概述:
腾讯安全近期监测到Fortinet官方发布了关于FortiOS 和 FortiProxy的风险公告,漏洞编号为TVD-2024-4200 (CVE编号:CVE-2024-21762,CNNVD编号:CNNVD-202402-751 )。成功利用此漏洞的攻击者,最终可在目标系统上执行任意代码。
FortiOS是Fortinet公司推出的一款高性能网络安全操作系统,主要用于驱动其FortiGate防火墙产品系列。它提供了一套全面的安全功能,包括防病毒、防入侵、防止数据泄露、应用控制、VPN、负载均衡等,以保护企业网络免受各种外部和内部威胁。FortiProxy是Fortinet旗下的一款安全Web代理解决方案,专门用于监控和过滤企业内部用户的互联网访问行为。通过与FortiOS的无缝集成,FortiProxy能够提供高级的Web内容过滤、恶意软件防护、带宽管理等功能,帮助企业实现更安全、高效的网络环境。
据描述,该漏洞源于FortiOS和FortiProxy没有对chunk格式的分块长度进行限制,攻击者可以向FortiOS和FortiProxy发送特制的分块传输请求来触发越界写入漏洞,最终远程执行任意代码。
漏洞状态:
风险等级:
1.0.0 <= FortiProxy < 2.0.14
7.0.0 <= FortiProxy < 7.0.15
7.2.0 <= FortiProxy < 7.2.9
7.4.0 <= FortiProxy < 7.4.3
6.0.0 <= FortiOS < 6.0.18
6.2.0 <= FortiOS < 6.2.16
6.4.0 <= FortiOS < 6.4.15
7.0.0 <= FortiOS < 7.0.14
7.2.0 <= FortiOS < 7.2.7
7.4.0 <= FortiOS < 7.4.3
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.fortiguard.com/psirt/FG-IR-24-015
- 禁用SSLVPN(注意,只禁止Web模式无法防御此漏洞)
- 在不影响业务的情况下配置访问控制策略,避免暴露至公网。
