腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单

长按二维码关注

腾讯安全威胁情报中心

腾讯安全攻防团队A&D Team

腾讯安全 企业安全运营团队

腾讯安全威胁情报中心推出2022年5月份必修安全漏洞清单，所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，不修复就意味着黑客攻击入侵后会造成十分严重的后果。

腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列为必修安全漏洞候选清单。

腾讯安全威胁情报中心定期发布安全漏洞必修清单，以此指引政企客户安全运维人员修复漏洞，从而避免重大损失。

以下是2022年5月份必修安全漏洞清单详情：

1.F5 BIG-IP身份认证绕过漏洞

概述：

2022年5月4日腾讯安全监测发现，F5官方发布一个关于BIG-IP身份验证绕过导致的远程代码执行漏洞公告，编号CVE-2022-1388。未经身份验证的攻击者可使用控制界面进行利用，通过BIG-IP管理界面或自身IP地址对iControl REST接口进行网络访问，实现执行任意系统命令，创建或删除文件以及禁用服务。

腾讯安全专家建议受影响用户尽快升级，CVSS评分9.8，漏洞威胁等级：高危。

F5 的 BIG-IP 是一系列产品，涵盖围绕应用程序可用性、访问控制和安全解决方案设计的软件和硬件。

漏洞状态：

风险等级：

影响版本：

BIG-IP 16.1.0 – 16.1.2

BIG-IP 15.1.0 – 15.1.5

BIG-IP 14.1.0 – 14.1.4

BIG-IP 13.1.0 – 13.1.4

BIG-IP 12.1.0 – 12.1.6

BIG-IP 11.6.1 – 11.6.5

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本:

BIG-IP 16.1.2.2

BIG-IP 15.1.5.1

BIG-IP 14.1.4.6

BIG-IP 13.1.5

【备注】：建议您在升级前做好数据备份工作，避免出现意外

参考链接：

https://support.f5.com/csp/article/K23605346

2.Fastjson 远程代码执行漏洞 

概述：

2022年5月，腾讯安全监测发现 Alibaba Fastjson发布安全公告，公告提示fastjson 1.2.80及以下存在新安全风险，漏洞编号CVE-2022-25845。可导致绕过现有防御反序列化的黑白名单，从而远程执行任意代码等危害。

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。

漏洞状态：

风险等级：

影响版本：

Fastjson =< 1.2.80（需要特定依赖存在）

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，参考官方升级说明，酌情升级至安全版本Fastjson >= 1.2.83，或升级到fastjson v2（不完全兼容1.x）

参考：https://github.com/alibaba/fastjson/wiki/security_update_20220523

临时缓解措施：

safeMode加固：

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）

开启方法参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.Windows MSDT 代码执行漏洞 

概述：

腾讯安全监测到微软发布安全公告，披露了一个Microsoft Support Diagnostic Tool(MSDT) 的代码执行漏洞(CVE-2022-30190)，CVSS评分7.8。

攻击者会制作恶意文档，然后通过电子邮件将其发送给他们的目标。通过利用此漏洞，攻击者可以使用打开恶意文档的应用程序的权限执行命令。

由于该漏洞已出现在野利用，腾讯安全专家建议受影响用户尽快升级，漏洞威胁等级：高危。

漏洞状态：

风险等级：

影响版本：

Windows Server, version 20H2 (Server Core Installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1 for x64-based systems 

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 11 for x64-based Systems

Windows 11 for ARM64-based Systems

Windows 10 for x64-based Systems 

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems 

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems 

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems 

Windows 10 Version 1809 for ARM64-based Systems 

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

修复建议：

目前微软官网已发布漏洞补丁及修复版本，请及时使用系统自带的升级程序升级至安全版本。

参考链接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

4.Django框架SQL注入漏洞

概述：

腾讯安全监测发现django官方发布安全通告，公告中修复了多个django安全漏洞，漏洞编号CVE-2022-28346/ CVE-2022-28347。攻击者可利用上述漏洞对特定的方法执行SQL 注入攻击。

Django 是用 Python 开发的一个免费开源的 Web 框架，几乎囊括了 Web 应用的方方面面，可以用于快速搭建高性能、优雅的网站，Django 提供了许多网站后台开发经常用到的模块，使开发者能够专注于业务部分。

漏洞状态：

风险等级：

影响版本：

4.0 <= Django < 4.0.4

3.2 <= Django < 3.2.13

2.2 <= Django < 2.2.28

修复建议：

官方已发布安全版本，请及时下载更新，下载地址:

【备注】：建议您在升级前做好数据备份工作，避免出现意外

参考链接：

https://docs.djangoproject.com/en/4.0/releases/security/ 

5.Active Directory Domain Services权限提升漏洞 

概述：

腾讯安全监测到微软发布安全公告，披露了一个Active Directory Domain Services权限提升漏洞(CVE-2022-26923)，CVSS评分8.8。

当Active Directory证书服务在域上运行时，经过身份验证的攻击者可以在证书请求中包含特制的数据，然后从Active Directory证书服务中获取允许提升权限的证书，并将域中普通用户权限提升为域管理员权限。

由于该漏洞已出现在野利用，腾讯安全专家建议受影响用户尽快升级，漏洞威胁等级：高危。

漏洞状态：

风险等级：

影响版本：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修复建议：

目前微软官网已发布漏洞补丁及修复版本，请及时使用系统自带的windows更新程序升级至安全版本。

参考链接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26923

腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞，推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。

具体操作步骤可参考以下文章指引：https://s.tencent.com/research/report/157

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按识别二维码获取第一手威胁情报