第一季度
2020 年一季度(1 月-3 月),安恒应急响应中心公众号共发了 15 篇高危漏洞风 险提示,其中 3 篇提供了漏洞验证截图,3 篇提供了全球网络空间受影响资产测绘数 据。年初,由于新冠疫情(COVID-19)因素,网络上出现多起恶意攻击者利用社交 网络上的,新冠病毒疫情讨论群组传播恶意附件的行为,应急响应中心监测发现Telegram 上相关疫情、新冠病毒等交流讨论群里,有人恶意投放包含这些关键词的文 件附件,诱骗用户打开从而感染电脑病毒和植入木马程序。安恒威胁情报中心和应急 响应中心及时对截获的恶意样本进行了分析并发布预警,同时提供了专用邮箱便于接 收用户反馈的恶意和可疑文件。
漏洞方面,一季度验证可利用的漏洞主要包括:
Citrix ADC(Application Delivery Controller)和 NetScaler (Citrix Gateway) 10.*到 13.*的版本存在远程代码执行漏洞,该漏洞能实现路径遍历效果,导致信息泄 露;
Apache Tomcat AJP 协议存在不安全权限控制,可通过 AJP Connector 直接操作内 部数据从而触发的文件包含漏洞,该漏洞能获取目标系统敏感文件,或在控制可上传 文件的情况下执行恶意代码获取管理权限;
Apache ShardingSphere 未限制的 YAML解析可能导致不安全反序列化漏洞,恶意 攻击者可以通过默认用户名和密码:admin/admin 登录后,构造特定的 YAML语句达到 命令执行的效果。
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,一季度发布的其他漏洞预警包括:
| 月份 | 预警公告 | 漏洞验证说明 | 资产影响范围统计 | ||
|---|---|---|---|---|---|
| Citrix ADC 和 NetScaler 漏洞风险提示 | 有 | 有 | |||
| 1 月 | Windows CryptoAPI ECC欺骗漏洞修复提示 | 无 | 无 | ||
| Oracle WebLogic 多个安全漏洞提示 | 无 | 无 | |||
| 利用新冠病毒疫情讨论群组传播恶意附件风险提示 | 无 | 无 | |||
| Cisco 2 月安全公告修复多个漏洞风险提示 | 无 | 无 | |||
| SQL Server Reporting Services 高危漏洞风险提示 | 无 | 无 | |||
| 2 月 | Apache Tomcat AJP 协议高危漏洞风险提示 | 有 | 有 | ||
| VMware vRealize Operations for Horizon Adapter 提示 | 高危安全漏洞风险 | 无 | 无 | ||
| pppd 使用的 EAP协议高危漏洞风险提示 | 无 | 无 | |||
| Apache ShardingSphere 高危漏洞风险提示 | 有 | 无 | |||
| Windows 10和 Server 版本 SMBv3协议高危漏洞风险提示 | 无 | 无 | |||
| 3 月 | VMware Workstation 等多个产品高危漏洞风险提示 | 无 | 无 | ||
| 通达 OA高危漏洞可能感染勒索病毒的风险提示 | 无 | 有 | |||
| Fastjson 高危漏洞风险提示 | 无 | 无 | |||
| Windows字体解析高危漏洞风险提示 | 无 | 无 |
第二季度
2020 年二季度(4 月-6 月),安恒应急响应中心公众号共发了 22 篇高危漏洞风 险提示,其中 8 篇提供了漏洞验证截图,6 篇提供了全球网络空间受影响资产测绘数 据。4 月,网络上有多个用户反馈中了名为“WannaRen”勒索病毒,加密后的文件 扩展名为*.WannaRen,并索要比特币才能解密,安恒应急响应中心和威胁情报中心 对抓取的勒索病毒样本进行了综合分析,发现黑产团伙此次攻击链如下:
当用户使用了非官方渠道下载精心打包的恶意程序,恶意程序即执行捆绑的 PowerShell 脚本进一步下载后续恶意文件包,其中使用了白加黑技术加载恶意的加密模块 wwlib.dll,并设置服务态启动,使得勒索实际过程在重启之后触发,重启之后 加密勒索程序被注入到 cmd.exe(mmc.exe、svchost.exe 等),等待加密完成后, 释放解密器和勒索信,针对该恶意攻击样本,安恒应急响应中心根据分析结果第一时 间发布风险提示,提醒用户注意规避和防范。
漏洞方面,二季度验证可利用的漏洞主要包括:
Oracle WebLogic Server 的 Core 组件、T3协议远程代码执行高危漏洞,成功利 用该漏洞可以达到命令执行的效果,甚至获取 WebLogic Server 的服务运行权限;
vBulletin 前台 SQL注入漏洞,该漏洞由安恒 Zionlab 团队分析报告并提供验证;
Apache Tomcat 反序列化漏洞,Tomcat 在开启 Session 持久化配置和业务系统存 在上传漏洞等场景下,恶意攻击者可以通过反序列化漏洞实现远程代码执行攻击,从 而获取系统权限;
spring-cloud-config-server 模块的目录遍历漏洞,可以直接通过构造 URL触发, 读取配置文件获取到配置敏感信息;
用友 NC产品反序列化漏洞,通过 JNDI注入利用成功后,恶意攻击者可获取目标 系统管理权限;
Apache Dubbo Provider 默认使用的反序列化工具和补丁绕过漏洞,攻击者通过发 送精心构造的恶意 RPC 请求来触发漏洞,当传入的恶意参数被反序列化时,达到代 码执行效果。
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,二季度发布的其他漏洞预警包括:
| 月份 | 预警公告 | 漏洞验证说明 | 资产影响范围统计 | ||
|---|---|---|---|---|---|
| 深信服 SSL VPN设备被 APT攻击利用风险提示 | 无 | 有 | |||
| 通过捆绑 PowerShell 脚本和污染下载站点传播恶意软件风险提示 | 有 | 无 | |||
| 4 月 | Oracle WebLogic 多个高危安全漏洞风险提示 | 有 | 无 | ||
| 微软 4 月安全更新补丁和高危漏洞风险提示 | 无 | 无 | |||
| Autodesk FBX-SDK库高危漏洞风险提示 | 无 | 无 | |||
| Juniper HTTP HTTPS 高危漏洞风险提示. | 无 | 有 | |||
| SaltStack 高危安全漏洞风险提示 | 无 | 无 | |||
| VMware vRealize Operations Manager 高危安全漏洞风险提示 | 无 | 无 | |||
| 5 月 | vBulletin5 _=5.6.1 SQL 注入漏洞风险提示 | 有 | 无 | ||
| Apache Tomcat 反序列化漏洞风险提示 | 有 | 无 | |||
| Fastjson 高危漏洞风险提示 | 无 | 无 | |||
| 6 月 | Fastjson(autoType 绕过)漏洞风险提示 | 无 | 无 |
| Spring-Cloud-Config 目录遍历漏洞风险提示 | 有 | 无 | ||
|---|---|---|---|---|
| 用友 NC远程命令执行漏洞风险提示 | 有 | 有 | ||
| WebSphere远程代码执行漏洞风险提示 | 无 | 无 | ||
| 微软 6 月安全更新补丁和 SMB高危漏洞风险提示 | 无 | 无 | ||
| Apache Spark 高危漏洞风险提示 | 无 | 无 | ||
| Apache Dubbo 高危漏洞风险提示 | 有 | 有 | ||
| Treck TCP IP 协议库高危漏洞风险提示 | 无 | 无 | ||
| VMware多个产品高危漏洞风险提示 | 无 | 无 | ||
| Apache Dubbo 补丁绕过高危漏洞风险提示 | 有 | 有 | ||
| PAN-OS(Palo Alto)SAML 身份验证漏洞风险提示 | 无 | 有 |
参考资料
奇安信 2020年中国实战化白帽人才能力白皮书.pdf
