漏洞頻繁爆發(fā)

系統(tǒng)或應(yīng)用的安全疏漏、安全人員對(duì)利用方式的公開、黑客對(duì) PoC 惡意散播等均有可能導(dǎo)致 0day
漏洞的爆發(fā)。2019 年，綠盟科技監(jiān)測(cè)到網(wǎng)絡(luò)上出現(xiàn)較多的 0day 漏洞公開信息，根據(jù)眾多漏洞的影響面， 在此列出目前依然值得關(guān)注的幾個(gè)漏洞：#### 再爆漏洞
2019 年中，Sandb
oxEscaper 再次爆出多個(gè) Windows 0day 漏洞。在一年多的時(shí)間內(nèi)，這名安全研 究員在沒有給出 90 天的預(yù)備披露時(shí)間的情況下，已經(jīng)披露了 9 個(gè) Windows 0day 漏洞，且均附帶 PoC。SandboxEsca
per 披露的漏洞涉及任務(wù)計(jì)劃程序、Windows Installer、Windows 錯(cuò)誤報(bào)告服務(wù)、IE 11 等多個(gè) Windows 組件，且多為本地提權(quán)漏洞：- Windows Task Scheduler 進(jìn)程本地提權(quán)漏洞

• IE 11 沙箱逃逸漏洞
• Windows 錯(cuò)誤報(bào)告服務(wù)本地提權(quán)漏洞（在 SandboxEscaper 發(fā)布演示 PoC 之前，微軟已 2019 年 5 月安全更新中將其修復(fù) , 漏洞編號(hào) CVE-2019-0863.）
• 高階本地程序調(diào)用 (ALPC) 本地提權(quán)漏洞
• Microsoft Data Sharing (dssvc.dll) 本地提權(quán)漏洞
• ReadFile 本地提權(quán)漏洞
• Windows Error Reporting (WER) system 本地提權(quán)漏洞 AngryPolarBearBug2
• Windows AppX Deployment Service (AppXSVC) 本地提權(quán)漏洞（CVE-2019-0841 繞過）
• Windows Installer 文件夾本地提權(quán)漏洞
  微軟官方已對(duì)其公開的漏洞進(jìn)行了修復(fù)，目前暫未發(fā)現(xiàn)在野利用的情況。微軟官方在每個(gè)月第二周 的星期二（北京時(shí)間星期三）發(fā)布當(dāng)月的安全更新。用戶可及時(shí)關(guān)注官方安全更新，及時(shí)安裝修復(fù)補(bǔ)丁， 官方安全漏洞更新鏈接如下：
  由于網(wǎng)絡(luò)故障、操作系統(tǒng)環(huán)境等原因，Windows Update 補(bǔ)丁更新可能失敗。用戶在安裝補(bǔ)丁后， 應(yīng)及時(shí)檢查補(bǔ)丁是否安裝成功。

文件解析漏洞

2019 年 2 月 28 日，國(guó)外安全公司發(fā)現(xiàn) Chrome 瀏覽器存在 0day 漏洞，可導(dǎo)致用戶使用 Chrome 打開惡意 PDF 文件時(shí)發(fā)生信息泄露。根據(jù)監(jiān)測(cè)，已發(fā)現(xiàn)多個(gè)針對(duì)該漏洞的在野利用樣本。
此漏洞存在于 Chrome 瀏覽器使用的 PDF JavaScript API 中，影響所有使用 Chrome 瀏覽 PDF 文件 的用戶，攻擊者只需在 PDF 中加入一條特定 API調(diào)用，即可導(dǎo)致用戶的 Chrome 將個(gè)人信息發(fā)送至攻 擊者指定位置。
可能泄露的個(gè)人信息包括：

1. 用戶的公網(wǎng) IP 地址；
2. 操作系統(tǒng)版本、Chrome 版本信息；
3. 用戶計(jì)算機(jī)上 PDF 文件的完整路徑。
   攻擊者利用該漏洞可進(jìn)行攻擊前期的信息搜集，以實(shí)施下一步有針對(duì)性的攻擊。如通過 PDF 文件 完整路徑，攻擊者可獲取主機(jī)有效目錄，再結(jié)合上述 WinRAR代碼執(zhí)行漏洞，構(gòu)造惡意文件釋放到特定 用戶名下的自啟動(dòng)目錄，可能會(huì)造成更大的威脅。
   目前 Chrome 74.0.3729.108 及以上版本已對(duì)此漏洞進(jìn)行修復(fù)，建議相關(guān)用戶及時(shí)升級(jí) Chrome 至 最新版本以確保終端安全性。
   同時(shí)，綠盟科技網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)（IPS）已具有此漏洞的防護(hù)能力，部署有該設(shè)備的用戶可升級(jí) 規(guī)則庫至最新，實(shí)現(xiàn)對(duì)該漏洞的有效防護(hù)。
   參考鏈接：
   Fastjson 是阿里巴巴的開源 JSON 解析庫，它可以解析 JSON 格式的字符串，支持將 Java Bean 序 列化為 JSON 字符串，也可以從 JSON 字符串反序列化到 JavaBean，由于具有執(zhí)行效率高的特點(diǎn)，應(yīng) 用范圍廣泛。
   2019 年 7 月，F(xiàn)astjson 出現(xiàn)高危遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是 Fastjson 于 2017 年爆出的遠(yuǎn)程代 碼執(zhí)行漏洞新的繞過利用方式，攻擊者可通過此漏洞遠(yuǎn)程執(zhí)行惡意代碼來獲取目標(biāo)主機(jī)權(quán)限。官方發(fā)布 1.2.58 版本，以補(bǔ)充 autoType 黑名單的方式對(duì)此漏洞進(jìn)行了臨時(shí)修復(fù)。
   2019 年 9 月，官方添加的 autoType 黑名單限制在一些特定場(chǎng)景下被繞過，目前官方已發(fā)布新版本 對(duì) autoType 黑名單進(jìn)行優(yōu)化。不需要使用 autoType 的用戶只需保持 autoType 處于關(guān)閉狀態(tài)，并升級(jí) Fastjson 至 1.2.60 版本，即可防護(hù)此漏洞。
   針對(duì)該漏洞的檢測(cè)與防護(hù)可參考以下鏈接：

國(guó)內(nèi)商用軟件安全狀況堪憂

2019 年中開始，國(guó)內(nèi)商用軟件漏洞頻繁爆發(fā)。多家廠商被爆出存在遠(yuǎn)程代碼執(zhí)行、SQL注入、未 授權(quán)訪問等高風(fēng)險(xiǎn)漏洞，使得這些軟件成為攻擊者對(duì)企業(yè)攻擊的入口。商用軟件的安全問題引起了安全 研究人員的重視。
從國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄的漏洞情況來看，2019 年國(guó)內(nèi)商用軟件漏洞收錄數(shù)量 明顯增多。尤其 2019 年后半年，個(gè)別廠商漏洞數(shù)量呈激增型增長(zhǎng)。
2016年 2017年 2018年 2019年 某OA 甲 某OA 乙 某OA 丙 某OA 丁 某郵件系統(tǒng)
圖 3.4 CNVD 國(guó)內(nèi)廠商漏洞收錄情況
安全人員的漏洞研究可以更好的協(xié)助廠商發(fā)現(xiàn)自身產(chǎn)品的安全問題。在對(duì)產(chǎn)品漏洞進(jìn)行研究、修復(fù) 的過程中，也間接提升了商業(yè)軟件用戶的安全防護(hù)能力。

反序列化漏洞補(bǔ)丁繞過

WebLogic 是 Oracle 公司出品，基于 J2EE 架構(gòu)的中間件，是用于開發(fā)、集成、部署和管理大型分 布式 Web 應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的 Java 應(yīng)用服務(wù)器。擁有可擴(kuò)展、快速開發(fā)、部署靈活、安全 可靠等優(yōu)點(diǎn)，被開發(fā)人員廣泛應(yīng)用。
根據(jù)綠盟科技威脅情報(bào)中心（NTI）統(tǒng)計(jì)結(jié)果，全球范圍內(nèi)對(duì)互聯(lián)網(wǎng)開放 WebLogic 服務(wù)的資產(chǎn)數(shù) 量多達(dá) 19229 個(gè)，其中歸屬中國(guó)地區(qū)的資產(chǎn)數(shù)量為 1787 個(gè)。
WebLogic 在 2015 年被發(fā)現(xiàn)第一個(gè) Java 反序列化漏洞，漏洞編號(hào)為 CVE-2015-4852, 存在 于 Apache Commons Collections 基 礎(chǔ) 庫 的 TransformedMap 類 中， 通 過 反 序 列 化 惡 意 構(gòu) 造 的 TransformedMap 對(duì)象，攻擊者可執(zhí)行任意命令。WebLogic 官方采用阻止惡意反序列化的黑名單方式， 修復(fù)了此漏洞（CVE-2015-4852）。自此，WebLogic 踏上了反反復(fù)復(fù)的漏洞修補(bǔ)和補(bǔ)丁被繞過之路。
圖 3.5 WebLogic Java 反序列化漏洞發(fā)展史
2019 年 4 月 17 日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了關(guān)于 WebLogic 反序列化遠(yuǎn)程代 碼執(zhí)行漏洞（CNVD-C-2019-48814）的安全通告。WebLogic Java 反序列化遠(yuǎn)程代碼執(zhí)行漏洞再一次 引起安全研究人員的關(guān)注，此次分配的 CVE編號(hào)為 CVE-2019-2725，此漏洞存在于 WebLogic 自帶的 wls9_async_response 及 wls-wsat 組件中，由于在反序列化處理輸入信息的過程中存在缺陷，未經(jīng)授 權(quán)的攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求，獲取服務(wù)器權(quán)限，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。官方于 4 月 27 日針對(duì)此漏洞發(fā)布了補(bǔ)丁，再次以黑名單的方式對(duì)漏洞進(jìn)行修復(fù)。
2019 年 6 月 15 日，網(wǎng)上爆出 CVE-2019-2729 修復(fù)補(bǔ)丁的繞過方式。攻擊者通過構(gòu)造特定的 HTTP 請(qǐng)求，繞過 WebLogic 在四月份發(fā)布針對(duì) CVE-2019-2725 補(bǔ)丁的黑名單策略，并遠(yuǎn)程執(zhí)行命令。官方 于 6 月 19 日發(fā)布了修復(fù)補(bǔ)丁。
2019 年 10 月，Oracle 官方在 CPU 中修復(fù)了 WebLogic 反序列化漏洞（CVE-2019-2890），該漏洞 繞過了 WebLogic 當(dāng)時(shí)已有的黑名單限制，使攻擊者可以通過 T3 協(xié)議對(duì) WebLogic 組件實(shí)施遠(yuǎn)程攻擊。
至此，WebLogic Java 反序列化漏洞的修補(bǔ)史暫時(shí)告一段落，但由于官方仍以黑名單的方式修復(fù)漏洞， 不排除還會(huì)出現(xiàn)補(bǔ)丁被繞過風(fēng)險(xiǎn)。目前 WebLogic 反序列化漏洞經(jīng)常被攻擊者用于虛擬挖礦、勒索軟件 的傳播，相關(guān)用戶需及時(shí)關(guān)注官方補(bǔ)丁更新情況。
WebLogic 反序列化漏洞檢測(cè)及防護(hù)方案可參考以下鏈接：

• WebLogic T3 協(xié)議相關(guān)漏洞

結(jié)語

在企業(yè)安全建設(shè)過程中，加強(qiáng)漏洞管理并有效運(yùn)營(yíng)是不可或缺的重要環(huán)節(jié)。除了日常對(duì)業(yè)務(wù)系統(tǒng)通 過安全測(cè)試、代碼審計(jì)發(fā)現(xiàn)漏洞外，企業(yè)運(yùn)營(yíng)過程中使用的軟件、服務(wù)、系統(tǒng)的自身通用漏洞同樣也需 要重點(diǎn)關(guān)注。
在此我們給出幾條漏洞管理的建議：

1. 建立企業(yè)內(nèi)的漏洞風(fēng)險(xiǎn)等級(jí)體系：從影響面（是否為核心業(yè)務(wù)系統(tǒng)）、危害性（利用難度、造成危害） 等維度對(duì)漏洞進(jìn)行定級(jí)，并對(duì)不同等級(jí)漏洞制定相應(yīng)的處置響應(yīng)時(shí)間。
2. 制定漏洞處置流程：在發(fā)現(xiàn)漏洞并完成定級(jí)后，分發(fā)至對(duì)應(yīng)負(fù)責(zé)人員進(jìn)行漏洞修復(fù)，并定期跟 進(jìn)漏洞修復(fù)情況，對(duì)無法按時(shí)修復(fù)的漏洞進(jìn)行說明。（部分漏洞修復(fù)方案可能會(huì)對(duì)業(yè)務(wù)造成影響， 對(duì)于重要業(yè)務(wù)系統(tǒng)，在正式實(shí)施修復(fù)方案前，需對(duì)業(yè)務(wù)影響情況進(jìn)行評(píng)估，建議先在測(cè)試環(huán)境 中完成修復(fù)。）
3. 建立企業(yè)內(nèi)部漏洞知識(shí)庫：收錄已處置的漏洞信息，記錄漏洞修復(fù)過程，便于事后查閱及回退。

參考資料

綠盟 2019年安全事件響應(yīng)觀察報(bào)告

友情鏈接

GB-T 37027-2018 信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范文章來源地址http://www.zghlxwxcb.cn/news/detail-470360.html

到了這里，關(guān)于綠盟安全事件響應(yīng)觀察漏洞頻繁爆發(fā)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！