2020 年一季度(1 月-3 月),安恒应急响应中心公众号共发了 15 篇高危漏洞风 险提示,其中 3 篇提供了漏洞验证截图,3 篇提供了全球网络空间受影响资产测绘数 据。年初,由于新冠疫情(COVID-19)因素,网络上出现多起恶意攻击者利用社交 网络上的,新冠病毒疫情讨论群组传播恶意附件的行为,应急响应中心监测发现Telegram 上相关疫情、新冠病毒等交流讨论群里,有人恶意投放包含这些关键词的文 件附件,诱骗用户打开从而感染电脑病毒和植入木马程序。安恒威胁情报中心和应急 响应中心及时对截获的恶意样本进行了分析并发布预警,同时提供了专用邮箱便于接 收用户反馈的恶意和可疑文件。
漏洞方面,一季度验证可利用的漏洞主要包括:
Citrix ADC(Application Delivery Controller)和 NetScaler (Citrix Gateway) 10.*到 13.*的版本存在远程代码执行漏洞,该漏洞能实现路径遍历效果,导致信息泄 露;
Apache Tomcat AJP 协议存在不安全权限控制,可通过 AJP Connector 直接操作内 部数据从而触发的文件包含漏洞,该漏洞能获取目标系统敏感文件,或在控制可上传 文件的情况下执行恶意代码获取管理权限;
Apache ShardingSphere 未限制的 YAML解析可能导致不安全反序列化漏洞,恶意 攻击者可以通过默认用户名和密码:admin/admin 登录后,构造特定的 YAML语句达到 命令执行的效果。
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,一季度发布的其他漏洞预警包括:
月份预警公告漏洞验证说明资产影响范围统计Citrix ADC 和 NetScaler 漏洞风险提示有有1 月Windows CryptoAPI ECC欺骗漏洞修复提示无无Oracle WebLogic 多个安全漏洞提示无无利用新冠病毒疫情讨论群组传播恶意附件风险提示无无Cisco 2 月安全公告修复多个漏洞风险提示无无SQL Server Reporting Services 高危漏洞风险提示无无2 月Apache Tomcat AJP 协议高危漏洞风险提示有有VMware vRealize Operations for Horizon Adapter 提示高危安全漏洞风险无无pppd 使用的 EAP协议高危漏洞风险提示无无Apache ShardingSphere 高危漏洞风险提示有无Windows 10和 Server 版本 SMBv3协议高危漏洞风险提示无无3 月VMware Workstation 等多个产品高危漏洞风险提示无无通达 OA高危漏洞可能感染勒索病毒的风险提示无有Fastjson 高危漏洞风险提示无无Windows字体解析高危漏洞风险提示无无 第二季度2020 年二季度(4 月-6 月),安恒应急响应中心公众号共发了 22 篇高危漏洞风 险提示,其中 8 篇提供了漏洞验证截图,6 篇提供了全球网络空间受影响资产测绘数 据。4 月,网络上有多个用户反馈中了名为“WannaRen”勒索病毒,加密后的文件 扩展名为*.WannaRen,并索要比特币才能解密,安恒应急响应中心和威胁情报中心 对抓取的勒索病毒样本进行了综合分析,发现黑产团伙此次攻击链如下:
当用户使用了非官方渠道下载精心打包的恶意程序,恶意程序即执行捆绑的 PowerShell 脚本进一步下载后续恶意文件包,其中使用了白加黑技术加载恶意的加密模块 wwlib.dll,并设置服务态启动,使得勒索实际过程在重启之后触发,重启之后 加密勒索程序被注入到 cmd.exe(mmc.exe、svchost.exe 等),等待加密完成后, 释放解密器和勒索信,针对该恶意攻击样本,安恒应急响应中心根据分析结果第一时 间发布风险提示,提醒用户注意规避和防范。
漏洞方面,二季度验证可利用的漏洞主要包括:
Oracle WebLogic Server 的 Core 组件、T3协议远程代码执行高危漏洞,成功利 用该漏洞可以达到命令执行的效果,甚至获取 WebLogic Server 的服务运行权限;
vBulletin 前台 SQL注入漏洞,该漏洞由安恒 Zionlab 团队分析报告并提供验证;
Apache Tomcat 反序列化漏洞,Tomcat 在开启 Session 持久化配置和业务系统存 在上传漏洞等场景下,恶意攻击者可以通过反序列化漏洞实现远程代码执行攻击,从 而获取系统权限;
spring-cloud-config-server 模块的目录遍历漏洞,可以直接通过构造 URL触发, 读取配置文件获取到配置敏感信息;
用友 NC产品反序列化漏洞,通过 JNDI注入利用成功后,恶意攻击者可获取目标 系统管理权限;
Apache Dubbo Provider 默认使用的反序列化工具和补丁绕过漏洞,攻击者通过发 送精心构造的恶意 RPC 请求来触发漏洞,当传入的恶意参数被反序列化时,达到代 码执行效果。
安恒应急响应中心在产品厂商漏洞公告后,第一时间验证漏洞的可利用性并发布 预警,二季度发布的其他漏洞预警包括:
月份预警公告漏洞验证说明资产影响范围统计深信服 SSL VPN设备被 APT攻击利用风险提示无有通过捆绑 PowerShell 脚本和污染下载站点传播恶意软件风险提示有无4 月Oracle WebLogic 多个高危安全漏洞风险提示有无微软 4 月安全更新补丁和高危漏洞风险提示无无Autodesk FBX-SDK库高危漏洞风险提示无无Juniper HTTP HTTPS 高危漏洞风险提示.无有SaltStack 高危安全漏洞风险提示无无VMware vRealize Operations Manager 高危安全漏洞风险提示无无5 月vBulletin5 _=5.6.1 SQL 注入漏洞风险提示有无Apache Tomcat 反序列化漏洞风险提示有无Fastjson 高危漏洞风险提示无无6 月Fastjson(autoType 绕过)漏洞风险提示无无 Spring-Cloud-Config 目录遍历漏洞风险提示有无用友 NC远程命令执行漏洞风险提示有有WebSphere远程代码执行漏洞风险提示无无微软 6 月安全更新补丁和 SMB高危漏洞风险提示无无Apache Spark 高危漏洞风险提示无无Apache Dubbo 高危漏洞风险提示有有Treck TCP IP 协议库高危漏洞风险提示无无VMware多个产品高危漏洞风险提示无无Apache Dubbo 补丁绕过高危漏洞风险提示有有PAN-OS(Palo Alto)SAML 身份验证漏洞风险提示无有 参考资料奇安信 2020年中国实战化白帽人才能力白皮书.pdf
