盘点 2021 年十大安全漏洞
上星期,我们以“创宇资讯”角度发布了2021年最受关注的十大 *** 安全事件。
以下为创宇资讯整理并总结出的2021年十大安全漏洞,希望以此为 *** 安全建设提供参考。
(转载本文请注明出处:https://hackernews.cc/archives/37322)
一.Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。
Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷,就可以实现目标服务器任意命令执行,获取目标服务器权限。
由于日志记录存在的普遍性,所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见,未来数月甚至数年该漏洞才能得到比较全面的修补。
漏洞涉及CVE编号: CVE-2021-44228
漏洞影响版本: Apache log4j2 2.0 至 2.14.1 版本
二.QNAP NAS Roon Server套件认证绕过、命令注入漏洞
威联通科技股份有限公司(QNAP Systems, Inc.),是极少数以商用服务器获得世界认同的中国台湾省跨国企业,致力于研发并提供高质量 *** 储存设备及专业 *** 监控录像设备 给家庭、SOHO 族、以及中小企业用戶。
2021年6月11日,CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相关的细节,并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中,QNAP官方于2021年6月4日重新发布修复后的应用。
在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。
勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是之一个也不会是最后一个。
漏洞涉及CVE编号:CVE-2021-28810、CVE-2021-28811
三.Microsoft Exchange高危攻击链
2021年3月3日微软紧急发布了Exchange更新补丁,披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用,其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证,可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下:
CVE-2021-26855 服务端请求伪造漏洞,可以绕过Exchange Server的身份验证。
CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞,需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。
漏洞涉及CVE编号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065
四.VMware vCenter Server 未授权远程命令执行漏洞
Vmware vCenter Server是ESXi的控制中心,可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。
2021年5 月 25 日,VMware 官方发布安全公告,修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞(CVE-2021-21985)和身份验证漏洞(CVE-2021-21986)。其中 CVE-2021-21985 漏洞攻击复杂度低,且不需要用户交互,攻击者可利用该漏洞在目标系统上执行任意命令,从而获得目标系统的管理权限。
漏洞涉及CVE编号:CVE-2021-21985
漏洞影响版本:
Vmware vCenter Server 7.0 系列 < 7.0.U2b
Vmware vCenter Server 6.7系列 < 6.7.U3n
Vmware vCenter Server 6.5 系列 < 6.5.U3p
Vmware Cloud Foundation 4.x 系列 < 4.2.1
Vmware Cloud Foundation 3.x 系列 < 3.10.2.1
五.Zyxel NAS FTP 服务未授权远程命令执行漏洞
Zyxel(合勤科技)是国际知名品牌的 *** 宽带系统及解决方案的供应商。
2020 年,Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞(CVE-2020-9054 ),该漏洞被用于地下黑市售卖,其价值高达 20000 美元,漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞,未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。
经过验证,Zyxel官方只修复了漏洞的入口点,对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复,这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。
漏洞涉及CVE编号:CVE-2020-9054 补丁绕过
六.Windows Print Spooler 远程代码执行漏洞
Windows Print Spooler 是 Windows 的打印机后台处理程序,广泛的应用于各种内网 中。
2021年6 月 29 日,有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp,也被称为PrintNightmare。后经过验证,微软为该漏洞分配了一个新的CVE编号:CVE-2021-34527。利用该exp,攻击者 能够以 SYSTEM 权限控制域控主机,微软在7月7日紧急修复了该漏洞。
攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证,并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到 DC 中的 Spooler 服务,并利用该漏洞在 DC 中安装恶意的驱动程序,完整的控制整个域环境。
漏洞涉及CVE编号:CVE-2021-34527
七.Apache HTTPd 路径穿越和远程命令执行漏洞
2021年9 月 29 日,国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773),官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。
2021年10 月 5 日,Github 上开始出现漏洞 CVE-2021-41773 的 POC,经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取,甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过,于是 10 月 7 日,Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。
漏洞涉及CVE编号:CVE-2021-41773,CVE-2021-42013
八.Confluence Webwork OGNL表达式注入漏洞
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。
2021年8月25日,Confluence发布漏洞公告,Confluence Webwork OGNL 存在表达式注入漏洞,编号为:CVE-2021-26084。
经过分析,2021年9月1日,国外安全研究人员公开了该漏洞细节,未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证,无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题,这也使得该漏洞的影响面和危害进一步扩大。
漏洞涉及CVE编号:CVE-2021-26084
漏洞影响版本:
Confluence Server & Confluence Data Center < 6.13.23
Confluence Server & Confluence Data Center < 7.11.6
Confluence Server & Confluence Data Center < 7.12.5
Confluence Server & Confluence Data Center < 7.4.11
九.锐捷网关未授权远程命令执行漏洞
锐捷⽹络成⽴于2000年1⽉,是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇,⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入,直接拼接到命令执行,未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。
该漏洞影响范围比较广,通过ZoomEye *** 空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录(数据查询日期:2021年1月19日),主要分布在中国。
十.GitLab未授权远程命令执行漏洞
GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。
2021年4⽉14⽇,GitLab 官⽅发布安全通告,GitLab CE/EE 中存在认证 RCE 漏洞,并分配漏洞编号CVE-2021-22205,随后也有相关的POC公布,但由于需要认证,该漏洞影响范围有限。
2021年10月25日,HN Security 发文称,有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞,并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低,带来的是漏洞影响范围的扩大,影响有限的漏洞也能发挥出惊人的破坏力。
漏洞涉及CVE编号:CVE-2021-22205
“盘点 2021 年十大安全漏洞” 的相关文章
乌克兰安全研究人员吐槽 HackerOne 漏洞赏金平台不让提取资金
在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 Hacker...
跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...
BlackMatter 勒索软件营运者称因地方当局压力而停业
BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务,理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划,其他犯罪集团通常在这里注册,以获得BlackMatter勒索软件的使用权。 这条消息是由vx-underground信息安全小组的一名成员...
疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...
黑掉微软英伟达三星 黑客组织 Lapsus$ 主谋疑似 16 岁英国少年
据报道,日前,微软、英伟达等科技公司遭到一系列黑客攻击,而网络安全人员在调查中,把目标锁定在了英国英格兰牛津一位16岁少年。四名网络安全专家目前正代表微软等被攻击公司展开调查,对名为“Lapsus$”的黑客组织进行调查,专家们判断,上述16岁少年是这个黑客组织的主谋。 这个黑客组织过去进行了多次高调...
跨越多代:三星修复影响上亿 Android 设备的硬件密钥安全漏洞
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...
评论列表
发表评论
