安全漏洞与重要信息技术民主化相随而生,为强化重要信息安全防雷、防止安全漏洞所引起的严重威胁,安全漏洞管理成为重要IT思路。2021年,因安全漏洞导致的各种类型恶性事件多发,牵涉经济、民生问题的各个方面,提高风险意识已迫在眉睫。以下为富诚纯协力剖析的2021年五大重要信息安全安全漏洞,一起来看下吧。
一、Apache Log4j2 远距程序执行安全漏洞
Apache Log4j2是两个如前所述Java的笔记历史记录辅助工具,该笔记架构被大量用作业务系统合作开发,用以历史记录日志重要信息。
由于笔记历史记录存在的社会性,所以该安全漏洞具有危害性程度高、借助技术难度低、负面影响范围大、先期负面影响广的特征。可以预知,未来数月甚至数月该安全漏洞就可以得到比较全面性的修整。
安全漏洞牵涉CVE序号:CVE-2021-44228
安全漏洞负面影响版:Apache log4j2 2.0 至 2.14.1 版
二、QNAP NAS Roon Server组件证书绕开、指示转化成安全漏洞
2021年6月11日,CNCERT正式发布《关于威中国联通电子设备2项0Day安全漏洞女团借助反击的调查报告——RoonServer职权证书安全漏洞与指示转化成安全漏洞》。调查报告中详尽如是说了职权绕开安全漏洞(CVE-2021-28810)和指示转化成安全漏洞(CVE-2021-28811)相关的技术细节,并指出早在2021年5月8日就已经捕捉两党借助反击。在先期和供应商的沟通交流中,QNAP非官方于2021年6月4日再次正式发布复原后的应用领域。
在对两党反击行为分析后确认反击者试著置入的有效载荷为eCh0raix敲诈应用领域软件。该敲诈应用领域软件会身份验证NAS上储存的文档并要求被害者透过TOR缴付比特币巨款。
敲诈应用领域软件透过NAS 0day散播不仅颇具前瞻性且保有很高的错误率。该安全漏洞不是第二个也不会是最后两个。
安全漏洞牵涉CVE序号:CVE-2021-28810、CVE-2021-28811
三、Microsoft Exchange狂蛛属反击链
2021年3月3日微软紧急正式发布了Exchange更新补丁,披露Exchange存在多个狂蛛属安全漏洞并且已被黑客作为反击链的一部分进行借助,其中CVE-2021-26855透过服务器请求伪造绕开了Exchange Server身份验证,可以结合
CVE-2021-26858/CVE-2021-27065形成狂蛛属反击链。相关安全漏洞详情如下:CVE-2021-26855服务端请求伪造安全漏洞,可以绕开Exchange Server的身份验证。
CVE-2021-26858/CVE-2021-27065任意文档写入漏洞,需要身份验证。可配合CVE-2021-26855形成无需交互的狂蛛属反击链。
安全漏洞牵涉CVE序号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065
四、VMware vCenter Server未授权远距指示执行安全漏洞
Vmware vCenter Server是ESXi的控制中心,可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。
2021年5月25日,VMware非官方正式发布安全公告,复原了VMware vCenter Server和VMware Cloud Foundation 远距程序执行安全漏洞(CVE-2021-21985)和身份验证安全漏洞(CVE-2021-21986)。其中 CVE-2021-21985安全漏洞反击复杂度低,且不需要用户交互,反击者可借助该安全漏洞在目标系统上执行任意指示,从而获得目标系统的管理职权。
安全漏洞牵涉CVE序号:CVE-2021-21985
安全漏洞负面影响版:
Vmware vCenter Server 7.0 系列 < 7.0.U2b
Vmware vCenter Server 6.7系列 < 6.7.U3n
Vmware vCenter Server 6.5 系列 < 6.5.U3p
Vmware Cloud Foundation 4.x 系列 < 4.2.1
Vmware Cloud Foundation 3.x 系列 < 3.10.2.1
五、Zyxel NAS FTP 服务未授权远距指示执行安全漏洞
Zyxel是国际知名品牌的网络宽带系统及解决方案的供应商。
2020年,Zyxel 多个型号NAS以及防火墙电子设备被曝出存在未授权RCE安全漏洞(CVE-2020-9054 ),该安全漏洞被用作地下黑市售卖,其价值高达 20000美元,安全漏洞成因是Zyxel NAS和防火墙产品中使用的PAM证书模块存在安全漏洞,未经身份证书的反击者可以透过Web服务入口 weblogin.cgi程序的username字段转化成任意指示达到远距指示执行的目的。Zyxel 非官方先期已经对在支持期内的电子设备释放了固件补丁。
经过验证,Zyxel非官方只复原了安全漏洞的入口点,对于存在安全漏洞的库/lib/security/pam_uam.so没有进行任何复原,这也导致该安全漏洞可以透过FTP服务所在端口再次触发。反击者仅需要创建FTP连接使用恶意用户名登陆即可触发该安全漏洞。
漏洞牵涉CVE序号:CVE-2020-9054 补丁绕开
六、Windows Print Spooler 远距程序执行安全漏洞
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用领域于各种内网中。
2021年6月29日,有安全研究人员公开了两个Windows Print Spooler 相关的exp,也被称为PrintNightmare。后经过验证,微软为该安全漏洞分配了两个新的CVE序号:CVE-2021-34527。借助该exp,反击者能够以 SYSTEM 职权控制域控主机,微软在7月7日紧急复原了该安全漏洞。
反击者可以透过该安全漏洞绕开SplAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若反击者所控制的用户在域中,则反击者可以连接到DC中的Spooler服务,并借助该安全漏洞在DC中安装恶意的驱动程序,完整地控制整个域环境。
安全漏洞牵涉CVE序号:CVE-2021-34527
七、Apache HTTPd 路径穿越和远距指示执行安全漏洞
2021年9月29日,国外安全研究员向Apache非官方提交了Apache HTTPd 2.4.49 的两个路径穿越安全漏洞(CVE-2021-41773),非官方于10 月 1日复原了该安全漏洞并且于10月4日正式发布新版Apache HTTPd 2.4.50。
2021年10 月5日,Github上开始出现安全漏洞CVE-2021-41773的POC,经过验证该安全漏洞可以在文档目录被授权访问的情况下进行文档读取,甚至可以在cgi模式下执行指示。与此同时有安全研究员发现该安全漏洞可以被绕开,于是10月7日,Apache非官方再次正式发布新版Apache HTTPd 2.4.51复原了CVE-2021-41773的绕开问题并且注册了新的 CVE 序号CVE-2021-42013。
安全漏洞牵涉CVE序号:CVE-2021-41773,CVE-2021-42013
八、Confluence Webwork OGNL表达式转化成安全漏洞
Confluence是两个专业的企业知识管理与协同应用领域软件,也可以用作构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享重要信息、文档协作、集体讨论、重要信息推送等。
2021年8月25日,Confluence正式发布安全漏洞公告,Confluence Webwork OGNL存在表达式转化成安全漏洞,序号为:CVE-2021-26084。
经过分析,2021年9月1日,国外安全研究人员公开了该安全漏洞技术细节,未授权的反击者可以透过该安全漏洞实现远距程序执行。经过验证,无需授权访问的接口
/pages/createpage-entervariables.action 存在OGNL表达式转化成的问题,这也使得该安全漏洞的负面影响面和危害性进一步扩大。安全漏洞牵涉CVE序号:CVE-2021-26084
安全漏洞负面影响版:
Confluence Server & Confluence Data Center < 6.13.23
Confluence Server & Confluence Data Center < 7.11.6
Confluence Server & Confluence Data Center < 7.12.5
Confluence Server & Confluence Data Center < 7.4.11
九、锐捷网关未授权远距指示执行安全漏洞
2021年1⽉12⽇,⽹上出现了锐捷⽹关Web管理系统的未授权远距指示执行安全漏洞的 PoC。由于/guest_auth/guestIsUp.php接口未过滤用户输入,直接拼接到指示执行,未经授权的远距反击者可以借助该安全漏洞以root职权在目标电子设备执行任意指示。
该安全漏洞负面影响范围比较广,透过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的历史记录(数据查询日期:2021年1月19日),主要分布在中国。
十、GitLab未授权远距指示执行安全漏洞
GitLab是由GitLab Inc.合作开发,一款如前所述Git的完全集成的应用领域软件合作开发平台。
2021年4⽉14⽇,GitLab 官⽅发布安全通告,GitLab CE/EE 中存在证书 RCE 安全漏洞,并分配安全漏洞序号CVE-2021-22205,随后也有相关的POC公布,但由于需要证书,该安全漏洞负面影响范围有限。
2021年10月25日,HN Security发文称,有两党反击者透过访问特定端点未证书借助了该 RCE 安全漏洞,并公开了反击者使用的payload。随后国内外安全供应商陆续检测到该安全漏洞的两党借助。安全漏洞借助技术难度的降低,带来的是安全漏洞负面影响范围的扩大,负面影响有限的安全漏洞也能发挥出惊人的破坏力。
安全漏洞牵涉CVE序号:CVE-2021-22205
