查看原文
其他

腾讯安全威胁情报中心推出2022年11月必修安全漏洞清单

腾讯威胁情报中心 腾讯安全威胁情报中心 2022-12-22

欢迎关注

腾讯安全威胁情报中心


腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队

腾讯安全威胁情报中心推出2022年11月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2022年11月份必修安全漏洞清单详情:

一、YApi接口管理平台远程命令执行漏洞
概述:

腾讯安全近期监测到互联网上某安全研究人员发布了关于YApi的风险公告,漏洞编号为CNVD-2022-77758。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

YApi 是高效、易用、功能强大的 api 管理平台,使用mock数据/脚本作为中间交互层,为前端、后台开发与测试人员提供更优雅的接口管理服务。该系统被国内较多知名互联网企业所采用。

据描述,由于Yapi中的base.js没有正确对token参数进行过滤,攻击者可通过 MongoDB注入获取用户token(包括用户 ID、项目 ID 等),进而使用自动化测试API 接口写入待执行命令,并利用沙箱逃逸触发命令执行。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Yapi < 1.11.0

P.S. Yapi在1.11.0版本修复Mongo注入漏洞,1.12.0版本默认关闭Pre-request Script 和 Pre-response Script。

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/YMFE/yapi/commit/59bade3a8a43e7db077d38a4b0c7c584f30ddf8c


二、OpenSSL缓冲区溢出漏洞 
概述:

腾讯安全近期监测到OpenSSL发布安全公告,修复了2个存在于OpenSSL中的缓冲区溢出漏洞,漏洞编号分别为:CVE-2022-3602、CVE-2022-3786(CNVD编号:CNVD-2022-73348 / CNVD-2022-73349)。此漏洞可导致目标系统拒绝服务或远程代码执行等危害。

OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

据描述,在X.509 证书验证过程中(特别是在名称约束检查中)会触发缓冲区溢出。缓冲区溢出发生在证书链签名验证之后,需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址触发溢出,导致拒绝服务或命令执行等危害。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.5

影响版本:

3.0.0 <= OpenSSL < 3.0.7


修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://github.com/openssl/openssl/tags


三、Quarkus 远程命令执行漏洞
概述:

腾讯安全近期监测到RedHat官方发布了关于Quarkus的风险公告,漏洞编号为:CVE-2022-4116(CNVD编号:CNVD-2022-86318)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

Quarkus 是一个为 Java 虚拟机(JVM)和原生编译而设计的全堆栈 Kubernetes 原生 Java 框架,用于专门针对容器优化 Java,并使其成为无服务器、云和 Kubernetes 环境的高效平台。

据描述,漏洞发生在 Dev UI Config Editor 中,该编辑器容易受到 drive-by localhost 攻击,从而导致远程代码执行。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Quarkus version < 2.13.5.Final
2.14.0 <= Quarkus version < 2.14.2.Final



修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://quarkus.io/blog/quarkus-2-14-2-final-released/

https://joebeeton.github.io/

https://github.com/JoeBeeton/simple-request-attacks


四、Apache Airflow 远程代码执行漏洞

概述:

腾讯安全近期监测到Apache官方发布了关于Airflow组件的风险公告,漏洞编号为:CVE-2022-40127(CNVD编号:CNVD-2022-78862)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。

据描述,当攻击者可访问到Apache Airflow的后台UI,且环境中存在默认dag时,可构造恶意请求借助run_id 执行任意命令。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Airflow < 2.4.0

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://github.com/apache/airflow/releases/


五、Bitbucket Server and Data Center 远程命令执行漏洞 

概述:

腾讯安全近期监测到atlassian官方发布了关于Bitbucket Server and Data Center的风险公告,漏洞编号为:CVE-2022-43781(CNNVD编号:CNNVD-202211-2958)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

Atlassian Bitbucket是 Atlassian 推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。

据描述,Bitbucket Server 和 Data Center中存在使用环境变量的命令注入漏洞。具有控制用户名权限的攻击者可以利用此问题在系统上执行代码。Bitbucket Server 和 Data Center 7.0版中引入了此漏洞。在开启了注册功能的情况下,攻击者可通过注册用户前台执行任意命令。若Bitbucket Server/Data Center 使用PostgreSQL 作为数据库,则不受该漏洞影响。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

7.0.0 ≤ version < 7.6.19

7.7.0 ≤ version < 7.17.12

7.18.0 ≤ version < 7.21.6

7.22.0 ≤ version < 8.0.5

8.1.0 ≤ version < 8.1.5

8.2.0 ≤ version < 8.2.4

8.3.0 ≤ version < 8.3.3

8.4.0 ≤ version < 8.4.2


修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html

https://petrusviet.medium.com/cve-2022-43781-32bc29de8960


六、Windows Scripting Languages(JScript9)远程代码执行漏洞
概述:

2022年11月,微软发布了2022年11月的例行安全更新公告,共涉及漏洞数86 个,其中严重级别漏洞13个。本次发布涉及 Microsoft Windows、Windows Offices、及 Visual Studio、Microsoft Exchange等多个软件的安全更新。上述漏洞中危害性较高的Windows Scripting Languages (JScript9)远程代码执行漏洞,漏洞编号为:CVE-2022-41128(CNNVD编号:CNNVD-202211-2240)攻击者可利用该漏洞在目标主机上执行任意代码。

Microsoft Windows是美国微软公司以图形用户界面为基础研发的操作系统,主要运用于计算机、智能手机等设备,是全球应用最广泛的操作系统之一。

JScript是由微软公司开发的动态脚本语言,是微软对ECMAScript规范的实现。

据描述,攻击者通常是通过电子邮件或聊天消息中的内容等,诱导用户访问一个特制的服务器共享或网站。成功利用该漏洞的攻击者可以远程执行任意代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值

利用难度

漏洞评分
8.8

影响版本:

Microsoft Microsoft Windows RT 8.1

Microsoft Microsoft Windows 8.1 for x64-based systems

Microsoft Microsoft Windows 8.1 for 32-bit systems

Microsoft Microsoft Windows 7 for x64-based Systems SP1

Microsoft Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Microsoft Windows 10 for x64-based Systems

Microsoft Microsoft Windows 10 for 32-bit Systems

Microsoft Microsoft Windows 10 22H2 for x64-based Systems

Microsoft Microsoft Windows 10 22H2 for ARM64-based Systems

Microsoft Microsoft Windows 10 22H2 for 32-bit Systems

Microsoft Microsoft Windows 10 21H2 for x64-based Systems

Microsoft Microsoft Windows 10 21H2 for ARM64-based Systems

Microsoft Microsoft Windows 10 21H2 for 32-bit Systems

Microsoft Microsoft Windows 10 21H1 for x64-based Systems

Microsoft Microsoft Windows 10 21H1 for ARM64-based Systems

Microsoft Microsoft Windows 10 21H1 for 32-bit Systems

Microsoft Microsoft Windows 10 20H2 for x64-based Systems

Microsoft Microsoft Windows 10 20H2 for ARM64-based Systems

Microsoft Microsoft Windows 10 20H2 for 32-bit Systems

Microsoft Microsoft Windows 10 1809 for x64-based Systems

Microsoft Microsoft Windows 10 1809 for ARM64-based Systems

Microsoft Microsoft Windows 10 1809 for 32-bit Systems

Microsoft Microsoft Windows 10 1607 for x64-based Systems

Microsoft Microsoft Windows 10 1607 for 32-bit Systems

Microsoft Microsoft Windows 11 for x64-based Systems

Microsoft Microsoft Windows 11 for ARM64-based Systems

Microsoft Microsoft Windows 11 22H2 for x64-based Systems

Microsoft Microsoft Windows 11 22H2 for ARM64-based Systems

Microsoft Microsoft Windows Server 2022

Microsoft Microsoft Windows Server 2019

Microsoft Microsoft Windows Server 2016

Microsoft Microsoft Windows Server 2012 R2

Microsoft Microsoft Windows Server 2012

Microsoft Microsoft Windows Server 2008 R2 for x64-based Systems


修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41128


七、Parse Server 远程代码执行漏洞 

概述:

腾讯安全近期监测到Parse Server官方发布了关于Parse Server的风险公告,漏洞编号为:CVE-2022-39396(CNNVD编号:CNNVD-202211-2511)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Parse-Server 是一款开源的、基于nodejs的后端框架 , 可以基于它进行产品的后端restful api的开发 ,用于提高中小型应用的开发效率。

据描述,Parse Server存在安全漏洞,该漏洞源于攻击者可以使用原型污染接收器通过MongoDB BSON解析器触发远程代码执行。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Parse Server < 4.10.18

5.0.0 <= Parse Server < 5.3.1


修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://github.com/parse-community/parse-server/security/advisories/GHSA-prm5-8g2m-24g


* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。




通用的漏洞修复、防御方案建议


腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。

具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157






腾讯安全威胁情报中心




腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报



往期企业必修漏洞清单

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存