盘点 2021 年十大安全漏洞
上星期,我们以“创宇资讯”角度发布了2021年最受关注的十大 *** 安全事件。
以下为创宇资讯整理并总结出的2021年十大安全漏洞,希望以此为 *** 安全建设提供参考。
(转载本文请注明出处:https://hackernews.cc/archives/37322)
一.Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。
Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷,就可以实现目标服务器任意命令执行,获取目标服务器权限。
由于日志记录存在的普遍性,所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见,未来数月甚至数年该漏洞才能得到比较全面的修补。
漏洞涉及CVE编号: CVE-2021-44228
漏洞影响版本: Apache log4j2 2.0 至 2.14.1 版本
二.QNAP NAS Roon Server套件认证绕过、命令注入漏洞
威联通科技股份有限公司(QNAP Systems, Inc.),是极少数以商用服务器获得世界认同的中国台湾省跨国企业,致力于研发并提供高质量 *** 储存设备及专业 *** 监控录像设备 给家庭、SOHO 族、以及中小企业用戶。
2021年6月11日,CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相关的细节,并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中,QNAP官方于2021年6月4日重新发布修复后的应用。
在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。
勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是之一个也不会是最后一个。
漏洞涉及CVE编号:CVE-2021-28810、CVE-2021-28811
三.Microsoft Exchange高危攻击链
2021年3月3日微软紧急发布了Exchange更新补丁,披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用,其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证,可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下:
CVE-2021-26855 服务端请求伪造漏洞,可以绕过Exchange Server的身份验证。
CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞,需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。
漏洞涉及CVE编号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065
四.VMware vCenter Server 未授权远程命令执行漏洞
Vmware vCenter Server是ESXi的控制中心,可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。
2021年5 月 25 日,VMware 官方发布安全公告,修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞(CVE-2021-21985)和身份验证漏洞(CVE-2021-21986)。其中 CVE-2021-21985 漏洞攻击复杂度低,且不需要用户交互,攻击者可利用该漏洞在目标系统上执行任意命令,从而获得目标系统的管理权限。
漏洞涉及CVE编号:CVE-2021-21985
漏洞影响版本:
Vmware vCenter Server 7.0 系列 < 7.0.U2b
Vmware vCenter Server 6.7系列 < 6.7.U3n
Vmware vCenter Server 6.5 系列 < 6.5.U3p
Vmware Cloud Foundation 4.x 系列 < 4.2.1
Vmware Cloud Foundation 3.x 系列 < 3.10.2.1
五.Zyxel NAS FTP 服务未授权远程命令执行漏洞
Zyxel(合勤科技)是国际知名品牌的 *** 宽带系统及解决方案的供应商。
2020 年,Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞(CVE-2020-9054 ),该漏洞被用于地下黑市售卖,其价值高达 20000 美元,漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞,未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。
经过验证,Zyxel官方只修复了漏洞的入口点,对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复,这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。
漏洞涉及CVE编号:CVE-2020-9054 补丁绕过
六.Windows Print Spooler 远程代码执行漏洞
Windows Print Spooler 是 Windows 的打印机后台处理程序,广泛的应用于各种内网 中。
2021年6 月 29 日,有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp,也被称为PrintNightmare。后经过验证,微软为该漏洞分配了一个新的CVE编号:CVE-2021-34527。利用该exp,攻击者 能够以 SYSTEM 权限控制域控主机,微软在7月7日紧急修复了该漏洞。
攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证,并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到 DC 中的 Spooler 服务,并利用该漏洞在 DC 中安装恶意的驱动程序,完整的控制整个域环境。
漏洞涉及CVE编号:CVE-2021-34527
七.Apache HTTPd 路径穿越和远程命令执行漏洞
2021年9 月 29 日,国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773),官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。
2021年10 月 5 日,Github 上开始出现漏洞 CVE-2021-41773 的 POC,经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取,甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过,于是 10 月 7 日,Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。
漏洞涉及CVE编号:CVE-2021-41773,CVE-2021-42013
八.Confluence Webwork OGNL表达式注入漏洞
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。
2021年8月25日,Confluence发布漏洞公告,Confluence Webwork OGNL 存在表达式注入漏洞,编号为:CVE-2021-26084。
经过分析,2021年9月1日,国外安全研究人员公开了该漏洞细节,未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证,无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题,这也使得该漏洞的影响面和危害进一步扩大。
漏洞涉及CVE编号:CVE-2021-26084
漏洞影响版本:
Confluence Server & Confluence Data Center < 6.13.23
Confluence Server & Confluence Data Center < 7.11.6
Confluence Server & Confluence Data Center < 7.12.5
Confluence Server & Confluence Data Center < 7.4.11
九.锐捷网关未授权远程命令执行漏洞
锐捷⽹络成⽴于2000年1⽉,是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇,⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入,直接拼接到命令执行,未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。
该漏洞影响范围比较广,通过ZoomEye *** 空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录(数据查询日期:2021年1月19日),主要分布在中国。
十.GitLab未授权远程命令执行漏洞
GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。
2021年4⽉14⽇,GitLab 官⽅发布安全通告,GitLab CE/EE 中存在认证 RCE 漏洞,并分配漏洞编号CVE-2021-22205,随后也有相关的POC公布,但由于需要认证,该漏洞影响范围有限。
2021年10月25日,HN Security 发文称,有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞,并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低,带来的是漏洞影响范围的扩大,影响有限的漏洞也能发挥出惊人的破坏力。
漏洞涉及CVE编号:CVE-2021-22205
“盘点 2021 年十大安全漏洞” 的相关文章
Facebook 因算法漏洞连推糟糕内容 一直持续半年
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处...
可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
未打补丁的 Exchange 服务器遭 Hive 勒索攻击 逾期就公开数据
虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerSh...
Android 被爆安全漏洞 根源是苹果的无损音频编解码器
近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...
新加坡和美国将在网络安全方面进行更紧密的合作
据ZDNet报道,新加坡政府与美国政府签署了几份谅解备忘录,以扩大他们在国防、银行和研究与开发等领域的网络安全合作。这些活动包括增加信息共享、团队建设、培训和技能发展。 在美国副总统卡马拉·哈里斯为期三天的访问中的周一签署了三份谅解备忘录。其中一个是新加坡和美国网络安全和基础设施安全局之间的协议,...
所有 Windows 版本均受影响 Cisco Talos 发现一个高危提权漏洞
计算机安全组织 Cisco Talos 发现了一个新的漏洞,包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中,允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后,Cisco Tal...
评论列表
发表评论
