查看原文
其他

腾讯安全威胁情报中心推出2023年3月必修安全漏洞清单

腾讯威胁情报中心 安全攻防团队 2023-06-21

欢迎关注

腾讯安全威胁情报中心


腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队

腾讯安全威胁情报中心推出2023年3月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2023年3月份必修安全漏洞清单详情:

一、MinIO 信息泄露漏洞
概述:

腾讯安全近期监测到MinIO官方发布了关于MinIO的风险公告,漏洞编号为:CVE-2023-28432(CNNVD编号:CNNVD-202303-1795)。成功利用此漏洞的攻击者,最终可获取部分环境变量信息,攻击者可利用其中的某些敏感信息以管理员身份登录后台。

MinIO是一款高性能的对象存储服务器,它兼容Amazon S3 API。它的设计目的是为了提供云存储服务的性能和可扩展性,同时还保持着本地存储的简单性和易用性。

据描述,当MinIO挂载4个及以上盘符时(集群模式默认满足条件),攻击者可以通过发送特制的请求获取MinIO的部分环境变量,其中包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD。当攻击者获取到上述数据时,就能以管理员身份登录后台,从而获得整个应用的控制权限。

P.S. 攻击者获取管理员权限后,可通过自更新等方式实现远程命令执行,从而获得系统权限。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.5

影响版本:

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

修复建议:

1. 官方已发布漏洞补丁及修复版本,可以评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/minio/minio/releases

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

2. 如果您无法升级软件到最新版本,建议您采取以下措施来保护自己的设备:

    • 配置网络安全设备以阻止攻击流量。

    • 实施访问控制策略,限制对受影响系统的访问。

    • 监视网络流量以检测潜在的攻击行为。

    • 定期备份数据并将其存储在安全位置。


二、Nacos 身份认证绕过漏洞
概述:

腾讯安全近期监测到Nacos官方发布了关于Nacos的风险公告。成功利用此漏洞的攻击者,最终可以绕过身份验证进入后台。

Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计,可以帮助用户轻松构建云原生应用程序和微服务平台,能够无缝对接Springcloud、Spring、Dubbo等流行框架。

据描述, 开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

0.1.0 <= Nacos <=2.2.0

修复建议:

1. 检查application.properties文件中的token.secret.key属性,若为默认值,可参考官方文档https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。

2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/alibaba/nacos/releases/tag/2.2.0.1

三、Apache Dubbo 反序列化远程代码执行漏洞
概述:

腾讯安全近期监测到Apache官方发布关于Dubbo的风险公告,漏洞编号为:CVE-2023-23638(CNNVD编号: CNNVD-202303-617)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Apache Dubbo 是一款开源的高性能的 Java RPC 框架,致力于提供高性能透明化的 RPC 远程服务调用方案,常用于开发微服务和分布式架构相关的需求。

据描述,由于Dubbo泛型调用中存在反序列化漏洞,未经身份验证的攻击者可以通过构造特殊的请求利用此漏洞,造成远程代码执行,从而获取远程服务器的权限。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

2.7.0 <= Apache Dubbo <= 2.7.21

3.0.0 <= Apache Dubbo <= 3.0.13

3.1.0 <= Apache Dubbo <= 3.1.5

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/apache/dubbo/releases

2. 限制用户输入,过滤恶意数据,可以减少攻击者利用反序列化漏洞的可能性。

3. 配置黑白名单,限制可序列化的类集合。

4. 使用Java的安全管理器(SecurityManager)来限制反序列化操作的权限,例如限制访问文件系统、网络等操作。


四、Microsoft Outlook权限提升漏洞

概述:

2023年3月,微软发布了2023年3月安全更新补丁,此次共发布了83个漏洞的补丁程序,其中包含9个严重漏洞。本次发布涉及多个软件的安全更新,包括Windows Hyper-V、Microsoft Outlook、Microsoft Excel等产品。上述漏洞中危害性较高的是Microsoft Outlook 权限提升漏洞,漏洞编号为CVE-2023-23397(CNNVD编号:CNNVD-202303-1036)。成功利用此漏洞的攻击者,最终可以获取受害者的用户权限。

Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。

据描述,攻击者可以发送特制的电子邮件,使受害者与攻击者控制的外部 UNC 位置建立连接,这将使得攻击者获得受害者的 Net-NTLMv2 哈希,最终攻击者将其转发给另一个服务并作为受害者进行身份验证。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Microsoft Outlook 2016 (64-bit edition)

Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

Microsoft Outlook 2013 RT Service Pack 1

Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2019 for 32-bit editions

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397

2. 对于无法立即进行漏洞修补的用户,专家建议管理员应该使用边界防火墙、本地防火墙和VPN设置来阻止TCP 445/SMB出站流量。这一操作可以防止NTLM身份验证消息传输到远端文件共享,有助于缓解CVE-2023-23397问题。


五、3CXDesktop App 代码执行漏洞

概述:

腾讯安全近期监测到3CX官方发布了关于3CXDesktop App的风险公告,漏洞编号为:CVE-2023-29059(CNNVD编号:CNNVD-202303-2681)。3CX Desktop App部分版本遭受供应链攻击,攻击者最终可远程在目标系统上执行任意代码

3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。3CX在全球190多个国家和地区提供服务,拥有超过1200万日活用户和60万以上的客户群体。其网站上列出的客户包括汽车、航空航天、金融、食品饮料、政府、酒店和制造等多个行业的知名企业。

据描述,3CXDesktop App部分版本遭受供应链攻击,受影响的Desktop App安装包内包含了两个恶意 DLL 文件:ffmpeg.dll 和 d3dcompiler_47.dll。上述两个文件在用户安装时加载并执行,攻击者通过该恶意文件执行远程代码并窃取用户敏感信息。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.8

影响版本:

Mac 3CXDesktop App 18.11.1213

Mac 3CXDesktop App 18.12.402

Mac 3CXDesktop App 18.12.407

Mac 3CXDesktop App 18.12.416

Windows 3CXDesktop App 18.12.407

Windows 3CXDesktop App 18.12.416

修复建议:

1. 使用PWA app,可参考官方文档https://www.3cx.com/user-manual/web-client/

2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://www.3cx.com/blog/news/desktopapp-security-alert/


六、Adobe ColdFusion 代码执行漏洞
概述:

腾讯安全近期监测到Adobe官方发布了关于Adobe ColdFusion的风险公告,漏洞编号为:CVE-2023-26360(CNNVD编号:CNNVD-202303-1239)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Adobe ColdFusion是美国 Adobe 公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

据描述,Adobe ColdFusion存在访问控制不当漏洞,攻击者可在未经身份验证的情况下利用该漏洞执行任意代码,且无需用户交互。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
已发现

风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值

利用难度
漏洞评分
9.8

影响版本:

2018 <= Adobe Coldfusion <= 2018 update15

2021 <= Adobe Coldfusion <= 2021 update5

修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

2. 限制访问ColdFusion服务的IP地址,只允许受信任的IP地址访问。

七、pfSense 权限提升漏洞

概述:

腾讯安全近期监测到pfSense官方发布了关于pfSense的风险公告,漏洞编号为:CVE-2023-27100(CNNVD编号:CNNVD-202303-1811)。成功利用此漏洞的攻击者,最终可绕过pfSense的防爆破机制暴力破解密码。

pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称,且提供往往只存在于昂贵商业防火墙的特性。它可以通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙,路由器,无线接入点DHCP服务器DNS服务器和VPN端点。

据描述,该漏洞源于pfSense的SSHGuard 组件对过度身份验证尝试的不当限制,攻击者可以通过精心设计的Web请求绕过防爆破机制。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

pfSense Plus v22.05.1

pfSense CE v2.6.0

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://redmine.pfsense.org/issues/13574

* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。




通用的漏洞修复、防御方案建议


腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。

具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157






腾讯安全威胁情报中心




腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报








腾讯安全攻防团队 A&D Team




腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。


往期企业必修漏洞清单

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存