腾讯安全威胁情报中心推出2023年3月必修安全漏洞清单
欢迎关注
腾讯安全威胁情报中心
腾讯安全近期监测到MinIO官方发布了关于MinIO的风险公告,漏洞编号为:CVE-2023-28432(CNNVD编号:CNNVD-202303-1795)。成功利用此漏洞的攻击者,最终可获取部分环境变量信息,攻击者可利用其中的某些敏感信息以管理员身份登录后台。
MinIO是一款高性能的对象存储服务器,它兼容Amazon S3 API。它的设计目的是为了提供云存储服务的性能和可扩展性,同时还保持着本地存储的简单性和易用性。
据描述,当MinIO挂载4个及以上盘符时(集群模式默认满足条件),攻击者可以通过发送特制的请求获取MinIO的部分环境变量,其中包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD。当攻击者获取到上述数据时,就能以管理员身份登录后台,从而获得整个应用的控制权限。
P.S. 攻击者获取管理员权限后,可通过自更新等方式实现远程命令执行,从而获得系统权限。
风险等级:
影响版本:
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
修复建议:
1. 官方已发布漏洞补丁及修复版本,可以评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/minio/minio/releases
2. 如果您无法升级软件到最新版本,建议您采取以下措施来保护自己的设备:
配置网络安全设备以阻止攻击流量。
实施访问控制策略,限制对受影响系统的访问。
监视网络流量以检测潜在的攻击行为。
定期备份数据并将其存储在安全位置。
腾讯安全近期监测到Nacos官方发布了关于Nacos的风险公告。成功利用此漏洞的攻击者,最终可以绕过身份验证进入后台。
Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计,可以帮助用户轻松构建云原生应用程序和微服务平台,能够无缝对接Springcloud、Spring、Dubbo等流行框架。
据描述, 开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
漏洞状态:
风险等级:
影响版本:
0.1.0 <= Nacos <=2.2.0
1. 检查application.properties文件中的token.secret.key属性,若为默认值,可参考官方文档https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。
2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
腾讯安全近期监测到Apache官方发布关于Dubbo的风险公告,漏洞编号为:CVE-2023-23638(CNNVD编号: CNNVD-202303-617)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache Dubbo 是一款开源的高性能的 Java RPC 框架,致力于提供高性能透明化的 RPC 远程服务调用方案,常用于开发微服务和分布式架构相关的需求。
据描述,由于Dubbo泛型调用中存在反序列化漏洞,未经身份验证的攻击者可以通过构造特殊的请求利用此漏洞,造成远程代码执行,从而获取远程服务器的权限。
漏洞状态:
风险等级:
影响版本:
2.7.0 <= Apache Dubbo <= 2.7.21
3.0.0 <= Apache Dubbo <= 3.0.13
3.1.0 <= Apache Dubbo <= 3.1.5
修复建议:
https://github.com/apache/dubbo/releases
2. 限制用户输入,过滤恶意数据,可以减少攻击者利用反序列化漏洞的可能性。
3. 配置黑白名单,限制可序列化的类集合。
4. 使用Java的安全管理器(SecurityManager)来限制反序列化操作的权限,例如限制访问文件系统、网络等操作。
概述:
2023年3月,微软发布了2023年3月安全更新补丁,此次共发布了83个漏洞的补丁程序,其中包含9个严重漏洞。本次发布涉及多个软件的安全更新,包括Windows Hyper-V、Microsoft Outlook、Microsoft Excel等产品。上述漏洞中危害性较高的是Microsoft Outlook 权限提升漏洞,漏洞编号为CVE-2023-23397(CNNVD编号:CNNVD-202303-1036)。成功利用此漏洞的攻击者,最终可以获取受害者的用户权限。
Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。
据描述,攻击者可以发送特制的电子邮件,使受害者与攻击者控制的外部 UNC 位置建立连接,这将使得攻击者获得受害者的 Net-NTLMv2 哈希,最终攻击者将其转发给另一个服务并作为受害者进行身份验证。
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
修复建议:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
2. 对于无法立即进行漏洞修补的用户,专家建议管理员应该使用边界防火墙、本地防火墙和VPN设置来阻止TCP 445/SMB出站流量。这一操作可以防止NTLM身份验证消息传输到远端文件共享,有助于缓解CVE-2023-23397问题。
概述:
腾讯安全近期监测到3CX官方发布了关于3CXDesktop App的风险公告,漏洞编号为:CVE-2023-29059(CNNVD编号:CNNVD-202303-2681)。3CX Desktop App部分版本遭受供应链攻击,攻击者最终可远程在目标系统上执行任意代码。
3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。3CX在全球190多个国家和地区提供服务,拥有超过1200万日活用户和60万以上的客户群体。其网站上列出的客户包括汽车、航空航天、金融、食品饮料、政府、酒店和制造等多个行业的知名企业。
据描述,3CXDesktop App部分版本遭受供应链攻击,受影响的Desktop App安装包内包含了两个恶意 DLL 文件:ffmpeg.dll 和 d3dcompiler_47.dll。上述两个文件在用户安装时加载并执行,攻击者通过该恶意文件执行远程代码并窃取用户敏感信息。
漏洞状态:
风险等级:
影响版本:
Mac 3CXDesktop App 18.11.1213
Mac 3CXDesktop App 18.12.402
Mac 3CXDesktop App 18.12.407
Mac 3CXDesktop App 18.12.416
Windows 3CXDesktop App 18.12.407
修复建议:
https://www.3cx.com/blog/news/desktopapp-security-alert/
腾讯安全近期监测到Adobe官方发布了关于Adobe ColdFusion的风险公告,漏洞编号为:CVE-2023-26360(CNNVD编号:CNNVD-202303-1239)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Adobe ColdFusion是美国 Adobe 公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。
据描述,Adobe ColdFusion存在访问控制不当漏洞,攻击者可在未经身份验证的情况下利用该漏洞执行任意代码,且无需用户交互。
2018 <= Adobe Coldfusion <= 2018 update15
2021 <= Adobe Coldfusion <= 2021 update5
2. 限制访问ColdFusion服务的IP地址,只允许受信任的IP地址访问。
概述:
腾讯安全近期监测到pfSense官方发布了关于pfSense的风险公告,漏洞编号为:CVE-2023-27100(CNNVD编号:CNNVD-202303-1811)。成功利用此漏洞的攻击者,最终可绕过pfSense的防爆破机制暴力破解密码。
pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称,且提供往往只存在于昂贵商业防火墙的特性。它可以通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙,路由器,无线接入点,DHCP服务器,DNS服务器和VPN端点。
据描述,该漏洞源于pfSense的SSHGuard 组件对过度身份验证尝试的不当限制,攻击者可以通过精心设计的Web请求绕过防爆破机制。
漏洞状态:
风险等级:
影响版本:
pfSense Plus v22.05.1
pfSense CE v2.6.0
修复建议:
https://redmine.pfsense.org/issues/13574
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全威胁情报中心
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单