安全研究 Safety research
本月Windows 10累积更新已发布:重点修复PrintNightmare高危漏洞https://netsecurity.51cto.com/art/202107/672058.htm Serv-U套件发现远程代码执行漏洞 SolarWinds敦促客户尽快打补丁https://netsecurity.51cto.com/art/202107/671872.htm 巨头公司中招!摩根士丹利披露黑客通过Accellion FTA 漏洞盗取客户数据https://netsecurity.51cto.com/art/202107/671845.htm 微软发现正被利用的 SolarWinds 0day 漏洞https://www.solidot.org/story?sid=68270 Armis披露施耐德电气Modicon PLC中的漏洞ModiPwnhttps://redqueen.tj-un.com/InfoDetails.html?id=3ce0248caf0e4d4e93ea19bb84f71b75
发布时间: 2021 - 07 - 15
一款全新的勒索病毒Hive来袭,已有企业中招https://netsecurity.51cto.com/art/202107/671452.htm Windows PrintNightmare 漏洞(CVE-2021-34527) 和补丁分析https://www.freebuf.com/vuls/279876.html Qualcomm SM8250和SXR2130 缓冲区错误漏洞 CVE-2020-3625https://redqueen.tj-un.com/IntelDetails.html?id=51f6e3f319474c7dbac0602e69981cec 多款Qualcomm产品资源管理错误漏洞 CVE-2020-3618https://redqueen.tj-un.com/IntelDetails.html?id=f0800c91baf642e2ac4ab9696369e813 中间件安全之WebLogic渗透https://www.freebuf.com/vuls/278228.html
发布时间: 2021 - 07 - 12
微软紧急发布带外更新 修复PrintNightmare高危打印漏洞https://netsecurity.51cto.com/art/202107/670833.htm 微软发出PowerShell 7代码执行漏洞预警信息https://netsecurity.51cto.com/art/202107/670812.htm 使用WinDBG调试分析CVE-2020-1206:SMBleed信息泄露漏洞https://www.freebuf.com/vuls/279751.html 新发现的Mirai Botnet正在操纵各类物联网设备进行DDoS攻击https://www.cnbeta.com/articles/tech/1149581.htm 利用EC-CUBE跨站脚本漏洞CVE-2021-20717的攻击https://redqueen.tj-un.com/IntelDetails.html?id=73c5fe8676b644a7a713281316fb708b
发布时间: 2021 - 07 - 08
微软确认所有Windows系统都存在PrintNightmare漏洞https://zhuanlan.51cto.com/art/202107/670386.htm Windows管理打印进程中又发现新漏洞https://netsecurity.51cto.com/art/202107/669979.htm Exim 缓冲区错误漏洞 CVE-2020-12783https://redqueen.tj-un.com/IntelDetails.html?id=fe18deff76bd44ac93441b80c871ab26 LG移动设备安全漏洞 CVE-2020-12754https://redqueen.tj-un.com/IntelDetails.html?id=3e1fe768e57b411a947866c3a5cc3982 西部数据 MyCloud 设备曝出 0day 漏洞https://www.solidot.org/story?sid=68189
发布时间: 2021 - 07 - 05
零日漏洞PrintNightmare曝光:可在Windows后台执行远程代码https://netsecurity.51cto.com/art/202107/669370.htm 西数:黑客利用远程漏洞抹除My Book用户数据 正研究潜在恢复方案https://www.cnbeta.com/articles/tech/1146417.htm SMB蠕虫Indexsinas利用EternalBlue漏洞传播矿工程序https://redqueen.tj-un.com/IntelDetails.html?id=a99974fe79c149c1b6a11f121f9b61ad 更新:Windows Print Spooler漏洞,微软补丁日通告:2021年6月版https://redqueen.tj-un.com/IntelDetails.html?id=6fe43ffcc0bc491a9fecd393d800079e 安全研究人员为ATM NFC读卡器中存在的漏洞敲响警钟https://www.cnbeta.com/articles/tech/1146159.htm
发布时间: 2021 - 07 - 02
微软误签名 Windows 流氓驱动,可加载 rootkit 恶意软件https://netsecurity.51cto.com/art/202106/668559.htm 戴尔又现高危漏洞,近3000万台电脑面临被远程控制风险https://netsecurity.51cto.com/art/202106/668387.htm CVE-2021-23017:nginx DNS解析漏洞PoC公开https://www.freebuf.com/vuls/276543.html PyPI 软件包库发现恶意挖矿程序https://www.solidot.org/story?sid=68115 Microsoft Windows Graphics Component 信息泄露漏洞 CVE-2020-0987https://redqueen.tj-un.com/IntelDetails.html?id=4eb453797f474567b378e9c3b12ea79e
发布时间: 2021 - 06 - 28
1、TeamViewer曝漏洞 计算机浏览特定网页即可被无密码入侵https://www.cnbeta.com/articles/tech/1013319.htm2、人脸信息灰色产业链引发关注 信息泄露或导致财产重大损失https://www.cnbeta.com/articles/tech/1013265.htm3、研究人员发现加州医院的未加密系统导致COVID-19患者个人资料遭泄露 https://www.cnbeta.com/articles/tech/1013191.htm4、Solidot | 恶意 Tor 出口节点如何利用用户https://www.solidot.org/story?sid=652035、GuLoader恶意软件下载器:利用“新冠肺炎”钓鱼到“顺丰速运”钓鱼https://www.freebuf.com/articles/terminal/244117.html
发布时间: 2020 - 08 - 11
漏洞背景  近日,捷普安全实验室,监测到国外某安全团队披露了SaltStack存在认证绕过(CVE-2020-11651)和目录遍历(CVE-2020-11652)两个漏洞。具体分析如下。  影响版本  SaltStack SaltStack   漏洞分析  Ÿ   CVE-2020-11651(认证绕过漏洞):此漏洞由于ClearFuncs类没有正确地验证方法调用而导致。研究人员公布了_send_pub()、_prep_auth_info()利用方法,远程攻击者利用此漏洞无需认证即可调用_send_pub()及_prep_auth_info()方法。使用这些方法可以在Salt Master端服务器上检索到用户令牌,在Salt Minions端服务器上实现任意命令执行。Ÿ   CVE-2020-11652(目录遍历漏洞):此漏洞由于没有对访问路径进行正确过滤而导致,经过身份认证的攻击者利用此漏洞可以访问任意目录。  防御方案  使用捷普入侵防御系统(IPS)对漏洞进行检测;    使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。  缓解措施 SaltStack 官方已发布新版本修复上述漏洞,请手动升级至SaltStack2019.2.4及3000.2版本;https://repo.saltstack.com配置安全策略,禁止 Salt Master的监听端口(默认4505 和 4506)对公网开放或只允许可信IP访问监听端口;参考:https://labs.f-secure.com/advisories/saltstack-authorization-bypass
发布时间: 2020 - 05 - 06
漏洞背景  通达OA官方在4月17日发布了最新的通达OA11.5.200417版本该版本修复了若干安全问题。在对更新的补丁,对比分析发现此次更新主要重点是修复了用户可以通过构造UID=1等恶意请求,绕过认证进行任意用户登录,甚至可通过构造恶意攻击代码,成功登录系统管理员账户,对后台系统进行任意操作。根据网络空间搜索引擎进行数据统计,国内使用通达OA系统的用户统计如下表:  影响版本  通达OA系统Ver.  漏洞分析  在分析官方的的补丁时发现此次更新主要针对用户登录逻辑相关处理部分,在对源文件使用Zend5.4解密后发现。在对代码跟踪后发现,用户在进行进行认证时,首先进行CODEUID的逻辑判断,如存在继续进行UID的判断,此处UID可直接使用POST方法进行构造,默认1为Admin用户,以上两处均进行库操作。跟进代码,此处的CODEUID在访问某文件后可进行直接打印。此处可利用POST将UID进行传入。  防御方案 使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。升级补丁,参考通达OA系统官网发布的补丁进行升级https://www.tongda2000.com/download/sp2019.php参考:https://www.tongda2000.com/download/sp2019.php
发布时间: 2020 - 04 - 24
漏洞背景  近日,有消息称某黑客组织利用国内深信服SSL VPN设备漏洞,利用客户端升级漏洞下发恶意文件到用户客户端,威胁用户安全。对此,捷普安全实验室第一时间进行响应,并对相关攻击事件进行跟踪。2020年4月5日晚,深信服官方针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复。内容详见:https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw  漏洞分析   针对此次事件的相关设备——深信服SSL VPN,在对事件跟踪分析中发现,该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。样本分析在对样本分析过程中,利用公开威胁情报获取到多个相关病毒样本SangforUD.exe,分析发现投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息。其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:恶意文件最终循环从C2服务器获取数据,并且保存文件到” \Ap...
发布时间: 2020 - 04 - 07
漏洞背景  2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞)。 2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞),经捷普攻防实验室,验证测试发现漏洞真实存在,该漏洞相关信息可参考CVE-2020-1938 (Tomcat-Ajp协议任意文件读取漏洞&文件包含漏洞)。  漏洞描述  此次漏洞与CVE-2020-1938漏洞原因一致与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。构造特定的数据包,进行测试发送即可。影响版本ColdFusion 2016 ColdFusion 2018 防御建议使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。缓解措施升级补丁,参考Adobe官网发布的补丁进行升级:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html备注:(在管理控制台内也可完成对其升级操作)。参考:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
发布时间: 2020 - 03 - 23
漏洞背景  通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两个漏洞(文件上传漏洞,文件包含漏洞)所导致。  漏洞描述  通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两个漏洞(文件上传漏洞,文件包含漏洞)所导致。该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php代码文件,组合文件包含漏洞最终造成远程代码执行漏洞,从而导致可以控制服务器system权限。影响版本V11版(存在文件包含)2017版(根据测试,部分2017年官方更新补丁后也存在文件包含漏洞)2016版2015版2013增强版2013版 风 险 分 析在分析官方的的补丁时发现对V11以下的版本只更新了Update.php文件,在进行分析过程中,源文件经过Zend5.4加密,在进行分析时需进行相关解密操作。文件上传:auth.php为登入验证这里只要设置了P参数就不需要登入。完成登录绕过后,即可进行任意文件上传,构造相关数据包进行发送。文件包含漏洞位于ispirit/interface/gateway.php,具体的利用原理与文件上传处的认证恰好相反。利 用 过 程构造特定的上传数据包,进行文件上传即可,待上传成功后进行文件包含即可。防御建议使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。缓解措施升级补丁,参考通达OA系统官网发布的补丁进行升级http://www.tongda2000.com/news/673.php具体操作:请根据当前OA版本号,选择压缩包中所对应的程序文件,覆盖到MYOA\webroot目录下。如不确定,请联系我们...
发布时间: 2020 - 03 - 20
漏洞背景  反序列化漏洞已经逐渐成为攻击者/研究人员在面对Java Web应用安全研究侧重点。这些漏洞通常能进行远程代码执行(RCE),并且修复起来比较困难。在本文中,我们将分析CVE-2020-2555漏洞影响,并提供相应的解决方案。该漏洞存在于Oracle Coherence库中,从而影响使用该库的Oracle WebLogic服务器等常见产品(涉及多个Weblogic版本)。  漏洞描述  2020年3月5日,Zero0day公布了关于Weblogic(CVE-2020-2555)详细分析文章,Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,攻击者通过t3协议发送构造的序列化数据,能过造成命令执行的效果。  影响版本  影响版本(包含Coherence包):Oracle Coherence 3.7.1.17Oracle Coherence 12.1.3.0.0Oracle Coherence 12.2.1.3.0Oracle Coherence 12.2.1.4.0  影响版本      在分析CVE-2020-2555的补丁引入了一处修改,涉及LimitFilter类的toString()方法:下图为打补丁前的相关代码补丁在toString()中会将this.m_oAnchorTop和this.m_oAnchorBottom作为参数传入ValueExtractor.extract(),补丁移除了extractor.extract()操作,跟进extract()看下,发现extract()只是一个抽象方法,并没有实现,那说明extract()在Val...
发布时间: 2020 - 03 - 11
漏洞背景  Apache Tomcat是美国Apache软件基金会的Jakarta项目的一款轻量级免费的开放源代码的Web应用服务器,主要用于开发和调试JSP程序,在世界范围内被广泛使用。近日,CNVD公开了一个Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487),该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受影响,攻击者可以利用该漏洞通过Tomcat AJP Connector读取或包含Web应用根目录下的任意文件,甚至造成任意代码执行。目前网上已出现了利用脚本,而Apache Tomcat在我国用户众多,且大部分使用Apache Tomcat的网站都还没及时修补,因此本次通告的漏洞影响范围较大,捷普建议用户及时修补,做好相关防护措施。  漏洞描述  默认情况下,Apache Tomcat配置开启了HTTP Connector(默认监听端口为8080)和AJP Connector(默认监听端口为8009),一个用于处理对外提供的HTTP协议的请求,另一个用于处理AJP协议的请求。当攻击者可以访问到受影响网站的AJP Connector时,就可以利用该漏洞读取或包含Web应用根目录下的任意文件,如果受影响的网站上存在文件上传点,攻击者可以通过上传一个恶意的JSP脚本文件,然后利用该漏洞造成任意代码执行。影响版本漏洞影响的产品版本包括:Tomcat 6 全版本Tomcat 7在7.0.100前的全版本Tomcat 8在8.5.51前的全版本Tomcat 9在9.0.31前的全版本漏洞检测捷普安全实验室根据已公开的漏洞详情信息,编写了Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)检测脚本,可用于验证漏洞是否能被利用。版本检测安全技...
发布时间: 2020 - 02 - 22
漏洞描述  北京时间2020年1月15日,Oracle发布2020年1月关键补丁更新(Critical Patch Update,简称CPU),此次更新修复了333个危害程度不同的安全漏洞。其中196个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。此次发布的补丁,修复了Weblogic的两个高危漏洞(CVE-2020-2546、CVE-2020-2551)。   漏洞编号   CVE-2020-2551CVE-2020-2546   漏洞等级   高 危   受影响版本  CVE-2020-255110.3.6.0.012.1.3.0.012.2.1.3.012.2.1.4.0CVE-2020-254610.3.6.0.012.1.3.0.0   修复建议   CVE-2020-2546用户可通过禁用T3协议,对此漏洞进行临时缓解,具体操作可参考下文临时禁用T3协议:(1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;(2)在链接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议只允许...
发布时间: 2020 - 01 - 17
2020 年1月15日,微软例行公布了1月的安全更新,其中包含Windows核心加密库 CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过的漏洞,编号为CVE-2020-0601,同时紧随其后的是美国NSA发布的相关漏洞预警通告。其中通告显示,该漏洞由NSA独立发现,并汇报给微软。漏洞位于Windows的加密组件CryptoAPI。CryptoAPI是微软提供给开发人员的Windows安全服务应用程序接口,可用于加密的应用程序,实现数据加密、解密、签名及验证等功能。攻击者可以通过构造恶意的签名证书,并以此签名恶意文件来进行攻击。此外由于ECC证书还广泛的应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。   受影响版本  受影响的版本:Windows 10Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序注:于今年1月14日停止安全维护的Win7、Windows Server 2008由于不支持带参数的ECC密钥,因此不受相关影响。   修复建议   目前软件厂商微软已经发布了漏洞相应的补丁,建议及时下载进行相关升级。相关链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 如果无法在企业范围内修补漏洞,NSA建议“优先修补执行传输层安全验证的系统,或主机关键基础设施,如域控制器、域名系统服务器、虚拟专用网络服务器等。”此外,捷普安全专家建议修补直接暴露于互联网或特权用户经常使用的系统的端点。  检测方法  捷普入侵防御系统、入侵检测系统的V3.0.16版本可通过高级威胁防御模块...
发布时间: 2020 - 01 - 17
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。危险等级:高危CVE编号:CVE-2019-0708【参考链接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影响版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
发布时间: 2019 - 05 - 15
WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
发布时间: 2019 - 03 - 15
2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
发布时间: 2019 - 03 - 09
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务