查看原文
其他

腾讯安全威胁情报中心推出2021年12月必修安全漏洞清单

长按二维码关注

腾讯安全威胁情报中心


腾讯安全攻防团队A&D Team

腾讯安全 企业安全运营团队


腾讯安全威胁情报中心推出2021年12月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。

 

腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列为必修安全漏洞候选清单。

 

腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。

 

以下是2021年12月份必修安全漏洞清单:


一、Apache Log4j安全漏洞


概述:
腾讯安全检测发现自2021年12月09日开始,Apache官方发布通告,披露了多个安全漏洞(CVE-2021-44228/CVE-2021-4104/CVE-2021-45046/ CVE-2021-45105/ CVE-2021-44832),目前漏洞细节已被公开,攻击者可利用该系列漏洞在目标服务器上执行任意代码或对其进行拒绝服务攻击。


因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

Apache Log4j是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

已公开

在野利用

已发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

简单

漏洞评分

10.0


影响版本:
CVE-2021-44228:

  • 2.0-beta9 <= Apache Log4j <= 2.3

  • 2.4 <= Apache Log4j <= 2.12.1

  • 2.13.0<= Apache Log4j <= 2.15.0-rc1


CVE-2021-45046:

  • 2.0-beta9 <= Apache Log4j <= 2.3

  • 2.4 <= Apache Log4j <= 2.12.1

  • 2.13.0<= Apache Log4j <= 2.15.0-rc2(2.15.0稳定版)


CVE-2021-45105:

  • 2.0-alpha1 <= Apache Log4j <=2.3

  • 2.4 <= Apache Log4j <= 2.12.2-rc1(2.12.2稳定版)

  • 2.13.0<= Apache Log4j <= 2.16.0


CVE-2021-4104:

  • Apache Log4j =1.2.x


CVE-2021-44832:

  • 2.0-beta7 <= Apache Log4j <=2.3.1

  • 2.4 <= Apache Log4j <= 2.12.3-rc1(2.12.3稳定版)

  • 2.13.0<= Apache Log4j <= 2.17.0


修复建议:
根据影响版本中的信息,排查并升级到安全版本:Apache Log4j 2.17.1(稳定版)。


官方下载链接为:https://github.com/apache/logging-log4j2/tags
https://logging.apache.org/log4j/2.x/download.html


二、Grafana 任意文件读取漏洞


概述:
2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,可任意读取系统文件,漏洞威胁等级:高危。


腾讯安全专家对该漏洞进行复现验证,Grafana的任意插件都可以触发,官方已发布补丁,腾讯安全专家建议受影响用户尽快升级。

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

已公开

在野利用

已发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

简单

漏洞评分

7.5


影响版本:
Grafana 8.x的版本受影响


修复建议:
根据影响版本中的信息,排查并升级到安全版本Grafana 8.3.1、8.2.7、8.1.8 和 8.0.7 版本。


补丁下载链接:
https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


三、Windows Active Directory域服务权限提升漏洞


概述:
2021年12月13日,国外安全研究人员披露了Active Directory Domain Services权限提升漏洞(CVE-2021-42287、CVE-2021-42278)的 POC和漏洞细节,攻击者利用该漏洞可以从域内普通用户权限提升到域管理员权限。


微软已于2021年11月发布该漏洞的补丁,腾讯安全专家建议受影响用户尽快升级。


漏洞等级:高危。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

已公开

在野利用

已发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

中等

漏洞评分

8.8


影响版本:
CVE-2021-42287:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019


CVE-2021-42278:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019


修复建议:
微软已发布相关补丁,使用Windows自动更新修复以上漏洞,官方链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278


四、Apache APISIX Dashboard 未授权访问漏洞


概述:
腾讯安全近期监测发现Apache官方披露了Apache APISIX Dashboard 未授权访问漏洞(CVE-2021-45232)的风险通告,利用此漏洞攻击者无需登录Apache APISIX Dashboard即可访问某些接口,从而进行未经授权的更改或获取Apache APISIX Route、Upstream、Service等相关配置信息,导致SSRF、攻击者构建的恶意流量代理等问题任意代码执行。漏洞CVSS评分:8.5。


Apache APISIX是一个开源API网关,Apache APISIX Dashboard设计的目的是让用户通过前端界面尽可能轻松地操作Apache APISIX。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

已公开

在野利用

已发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

简单

漏洞评分

8.5


影响版本:
Apache APISIX Dashboard versions 2.7 - 2.10
 
修复建议:
根据影响版本中的信息,排查并升级到Apache APISIX Dashboard version 2.10.1及以上版本。


五、Apache HTTP Server安全漏洞


概述:
腾讯安全监测发现Apache官方发布安全公告披露了Apache HTTP Server服务器端请求伪造漏洞(CVE-2021-44224)和Apache HTTP Server缓冲区溢出漏洞(CVE-2021-44790),漏洞威胁等级:高危,CVSS评分8.2。


Apache HTTP Server服务器端请求伪造漏洞(CVE-2021-44224):攻击者利用此漏洞可能导致远程服务器触发空指针引用或SSRF。


Apache HTTP Server缓冲区溢出漏洞(CVE-2021-44790):攻击者可构造特殊的数据包触发服务器中mod_lua解析器的缓冲区溢出漏洞,攻击者可能通过该漏洞实现任意代码执行。


Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器软件,可以在大多数电脑操作系统中运行。由于其跨平台和安全性,被广泛使用,是最流行的Web服务器软件之一。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

未公开

在野利用

未发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

困难

漏洞评分

8.2


影响版本:
CVE-2021-44224: Apache HTTP Server >=2.4.7, <=2.4.51
CVE-2021-44790: Apache HTTP Server <=2.4.51


修复建议:
根据影响版本中的信息,排查并升级到安全版本:
Apache HTTP Server 2.4.52
https://httpd.apache.org/download.cgi#apache24


六、Chromium远程代码执行漏洞


概述:
腾讯安全监测发现微软/谷歌官方发布公告披露了Chromium V8引擎存在UAF漏洞(CVE-2021-4102),攻击者可利用此漏洞在未开启沙箱的程序里实现任意代码执行。


V8是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

未公开

在野利用

未发现


风险等级:

评定方式

等级

威胁等级

中危

影响面

攻击者价值

利用难度

困难

漏洞评分

8.5


影响版本:
Chromium版本 < 96.0.4664.110

修复建议:
根据影响版本中的信息,排查并升级到安全版本:
Chromium版本: 96.0.4664.110


七、MinIO 权限提升漏洞


概述:
腾讯安全监测发现MinIO官方发布安全通告,披露了MinIO存在权限提升漏洞(CVE-2021-43858),攻击者可利用此漏洞完成特权提升,漏洞威胁等级:高危,CVSS评分8.8。


MinIO是根据GNU Affero通用公共许可证v3.0发布的高性能对象存储。它与Amazon S3云存储服务兼容的API。它可以处理最大支持对象大小为5TB的非结构化数据,例如照片,视频,日志文件,备份和容器映像。


漏洞状态:

评定方式

等级

威胁等级

中危

影响面

攻击者价值

利用难度

困难

漏洞评分

8.5


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

简单

漏洞评分

8.8


影响版本:
MinIO < RELEASE.2021-12-27T07-23-18Z


修复建议:
根据影响版本中的信息,排查并升级到安全版本:
MinIO >= RELEASE.2021-12-27T07-23-18Z


八、Windows Installer特权提升漏洞


概述:
12月16日,腾讯安全监测发现微软官网发布公告已完成Windows Installer特权提升0day(CVE-2021-43883)的安全补丁,由于该漏洞已被国外安全研究人员公开相关细节及漏洞利用代码,利用此漏洞可以完成权限提升。腾讯安全专家建议所有用户尽快升级到安全版本。漏洞威胁等级:高危,CVSS评分7.8。


漏洞状态:

类别

状态

安全补丁

已公开

漏洞细节

已公开

poc

已公开

在野利用

已发现


风险等级:

评定方式

等级

威胁等级

高危

影响面

攻击者价值

利用难度

简单

漏洞评分

7.8


影响版本:

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems


修复建议:
微软已发布相关补丁,使用Windows自动更新修复以上漏洞,官方链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43883





通用的漏洞修复、防御方案建议




腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157



关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按识别二维码获取第一手威胁情报

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存