绿盟安全事件响应观察漏洞频繁爆发-Toy模板网

这篇具有很好参考价值的文章主要介绍了绿盟安全事件响应观察漏洞频繁爆发。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

漏洞频繁爆发

系统或应用的安全疏漏、安全人员对利用方式的公开、黑客对 PoC 恶意散播等均有可能导致 0day
漏洞的爆发。2019 年，绿盟科技监测到网络上出现较多的 0day 漏洞公开信息，根据众多漏洞的影响面，在此列出目前依然值得关注的几个漏洞：#### 再爆漏洞
2019 年中，Sandb
oxEscaper 再次爆出多个 Windows 0day 漏洞。在一年多的时间内，这名安全研究员在没有给出 90 天的预备披露时间的情况下，已经披露了 9 个 Windows 0day 漏洞，且均附带 PoC。SandboxEsca
per 披露的漏洞涉及任务计划程序、Windows Installer、Windows 错误报告服务、IE 11 等多个 Windows 组件，且多为本地提权漏洞：- Windows Task Scheduler 进程本地提权漏洞

IE 11 沙箱逃逸漏洞
Windows 错误报告服务本地提权漏洞（在 SandboxEscaper 发布演示 PoC 之前，微软已 2019 年 5 月安全更新中将其修复 , 漏洞编号 CVE-2019-0863.）
高阶本地程序调用 (ALPC) 本地提权漏洞
Microsoft Data Sharing (dssvc.dll) 本地提权漏洞
ReadFile 本地提权漏洞
Windows Error Reporting (WER) system 本地提权漏洞 AngryPolarBearBug2
Windows AppX Deployment Service (AppXSVC) 本地提权漏洞（CVE-2019-0841 绕过）
Windows Installer 文件夹本地提权漏洞
微软官方已对其公开的漏洞进行了修复，目前暂未发现在野利用的情况。微软官方在每个月第二周的星期二（北京时间星期三）发布当月的安全更新。用户可及时关注官方安全更新，及时安装修复补丁，官方安全漏洞更新链接如下：
由于网络故障、操作系统环境等原因，Windows Update 补丁更新可能失败。用户在安装补丁后，应及时检查补丁是否安装成功。

文件解析漏洞

2019 年 2 月 28 日，国外安全公司发现 Chrome 浏览器存在 0day 漏洞，可导致用户使用 Chrome 打开恶意 PDF 文件时发生信息泄露。根据监测，已发现多个针对该漏洞的在野利用样本。
此漏洞存在于 Chrome 浏览器使用的 PDF JavaScript API 中，影响所有使用 Chrome 浏览 PDF 文件的用户，攻击者只需在 PDF 中加入一条特定 API调用，即可导致用户的 Chrome 将个人信息发送至攻击者指定位置。
可能泄露的个人信息包括：

用户的公网 IP 地址；
操作系统版本、Chrome 版本信息；
用户计算机上 PDF 文件的完整路径。
攻击者利用该漏洞可进行攻击前期的信息搜集，以实施下一步有针对性的攻击。如通过 PDF 文件完整路径，攻击者可获取主机有效目录，再结合上述 WinRAR代码执行漏洞，构造恶意文件释放到特定用户名下的自启动目录，可能会造成更大的威胁。
目前 Chrome 74.0.3729.108 及以上版本已对此漏洞进行修复，建议相关用户及时升级 Chrome 至最新版本以确保终端安全性。
同时，绿盟科技网络入侵防护系统（IPS）已具有此漏洞的防护能力，部署有该设备的用户可升级规则库至最新，实现对该漏洞的有效防护。
参考链接：
Fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean，由于具有执行效率高的特点，应用范围广泛。
2019 年 7 月，Fastjson 出现高危远程代码执行漏洞，该漏洞是 Fastjson 于 2017 年爆出的远程代码执行漏洞新的绕过利用方式，攻击者可通过此漏洞远程执行恶意代码来获取目标主机权限。官方发布 1.2.58 版本，以补充 autoType 黑名单的方式对此漏洞进行了临时修复。
2019 年 9 月，官方添加的 autoType 黑名单限制在一些特定场景下被绕过，目前官方已发布新版本对 autoType 黑名单进行优化。不需要使用 autoType 的用户只需保持 autoType 处于关闭状态，并升级 Fastjson 至 1.2.60 版本，即可防护此漏洞。
针对该漏洞的检测与防护可参考以下链接：

国内商用软件安全状况堪忧

2019 年中开始，国内商用软件漏洞频繁爆发。多家厂商被爆出存在远程代码执行、SQL注入、未授权访问等高风险漏洞，使得这些软件成为攻击者对企业攻击的入口。商用软件的安全问题引起了安全研究人员的重视。
从国家信息安全漏洞共享平台（CNVD）收录的漏洞情况来看，2019 年国内商用软件漏洞收录数量明显增多。尤其 2019 年后半年，个别厂商漏洞数量呈激增型增长。
2016年 2017年 2018年 2019年绿盟安全事件响应观察漏洞频繁爆发某OA 甲某OA 乙某OA 丙某OA 丁某邮件系统
图 3.4 CNVD 国内厂商漏洞收录情况
安全人员的漏洞研究可以更好的协助厂商发现自身产品的安全问题。在对产品漏洞进行研究、修复的过程中，也间接提升了商业软件用户的安全防护能力。

反序列化漏洞补丁绕过

WebLogic 是 Oracle 公司出品，基于 J2EE 架构的中间件，是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。拥有可扩展、快速开发、部署灵活、安全可靠等优点，被开发人员广泛应用。
根据绿盟科技威胁情报中心（NTI）统计结果，全球范围内对互联网开放 WebLogic 服务的资产数量多达 19229 个，其中归属中国地区的资产数量为 1787 个。
WebLogic 在 2015 年被发现第一个 Java 反序列化漏洞，漏洞编号为 CVE-2015-4852, 存在于 Apache Commons Collections 基础库的 TransformedMap 类中，通过反序列化恶意构造的 TransformedMap 对象，攻击者可执行任意命令。WebLogic 官方采用阻止恶意反序列化的黑名单方式，修复了此漏洞（CVE-2015-4852）。自此，WebLogic 踏上了反反复复的漏洞修补和补丁被绕过之路。
图 3.5 WebLogic Java 反序列化漏洞发展史
2019 年 4 月 17 日，国家信息安全漏洞共享平台（CNVD）发布了关于 WebLogic 反序列化远程代码执行漏洞（CNVD-C-2019-48814）的安全通告。WebLogic Java 反序列化远程代码执行漏洞再一次引起安全研究人员的关注，此次分配的 CVE编号为 CVE-2019-2725，此漏洞存在于 WebLogic 自带的 wls9_async_response 及 wls-wsat 组件中，由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程代码执行。官方于 4 月 27 日针对此漏洞发布了补丁，再次以黑名单的方式对漏洞进行修复。
2019 年 6 月 15 日，网上爆出 CVE-2019-2729 修复补丁的绕过方式。攻击者通过构造特定的 HTTP 请求，绕过 WebLogic 在四月份发布针对 CVE-2019-2725 补丁的黑名单策略，并远程执行命令。官方于 6 月 19 日发布了修复补丁。
2019 年 10 月，Oracle 官方在 CPU 中修复了 WebLogic 反序列化漏洞（CVE-2019-2890），该漏洞绕过了 WebLogic 当时已有的黑名单限制，使攻击者可以通过 T3 协议对 WebLogic 组件实施远程攻击。
至此，WebLogic Java 反序列化漏洞的修补史暂时告一段落，但由于官方仍以黑名单的方式修复漏洞，不排除还会出现补丁被绕过风险。目前 WebLogic 反序列化漏洞经常被攻击者用于虚拟挖矿、勒索软件的传播，相关用户需及时关注官方补丁更新情况。
WebLogic 反序列化漏洞检测及防护方案可参考以下链接：

WebLogic T3 协议相关漏洞

结语

在企业安全建设过程中，加强漏洞管理并有效运营是不可或缺的重要环节。除了日常对业务系统通过安全测试、代码审计发现漏洞外，企业运营过程中使用的软件、服务、系统的自身通用漏洞同样也需要重点关注。
在此我们给出几条漏洞管理的建议：

建立企业内的漏洞风险等级体系：从影响面（是否为核心业务系统）、危害性（利用难度、造成危害）等维度对漏洞进行定级，并对不同等级漏洞制定相应的处置响应时间。
制定漏洞处置流程：在发现漏洞并完成定级后，分发至对应负责人员进行漏洞修复，并定期跟进漏洞修复情况，对无法按时修复的漏洞进行说明。（部分漏洞修复方案可能会对业务造成影响，对于重要业务系统，在正式实施修复方案前，需对业务影响情况进行评估，建议先在测试环境中完成修复。）
建立企业内部漏洞知识库：收录已处置的漏洞信息，记录漏洞修复过程，便于事后查阅及回退。