欢迎关注
腾讯安全威胁情报中心
腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年10月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2023年10月份必修安全漏洞清单详情:
一、Atlassian Confluence Data Center & Server 权限提升漏洞(CVE-2023-22515)
概述:
腾讯安全近期监测到Atlassian 官方发布了关于Confluence Data Center & Server的风险公告,漏洞编号为CVE-2023-22515 (CNNVD编号: CNNVD-202310-278)。成功利用此漏洞的攻击者,可以创建Confluence管理员帐户并访问 Confluence 实例。攻击者利用此漏洞进入后台之后,可以结合其他攻击利用方式远程执行任意命令。
Atlassian Confluence Data Center & Server 是 Atlassian 公司提供的一款企业级团队协作和知识管理软件。它旨在帮助团队协同工作、共享知识、记录文档和协作编辑等。
据描述,该漏洞由Confluence Data Center & Server 中的/setup端点的访问控制不当造成。通过利用此漏洞,攻击者可以获得 Confluence 实例的管理员访问权限。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
8.0.0 <= Confluence Data Center & Server < 8.3.3
8.4.0 <= Confluence Data Center & Server < 8.4.3
8.5.0 <= Confluence Data Center & Server < 8.5.2
修复建议:
1. 通过阻止对 Confluence 实例上的 /setup/* 端点的访问来缓解,参考:
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
2. Atlassian Cloud不受此漏洞的影响,如果Confluence 站点是通过 atlassian.net 域访问的,则该站点由 Atlassian 托管,不受此漏洞影响。
3. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html
二、Atlassian Confluence Data Center & Server 权限绕过漏洞(CVE-2023-22518)
概述:
腾讯安全近期监测到Atlassian 官方发布了关于Confluence Data Center & Server的风险公告,漏洞编号为CVE-2023-22518 (CNNVD编号: CNNVD-202310-2667)。成功利用此漏洞的攻击者进入后台之后,可以结合其他攻击利用方式远程执行任意命令。
P.S. 注意!该漏洞利用可能会导致Confluence原数据丢失,造成严重的数据破坏。
据描述,该漏洞源于Confluence Data Center & Server子组件Struts2继承关系处理不当,攻击者可利用/json/setup-restore.action接口,通过数据备份恢复的方式覆盖已有数据(包含后台密码),最后使用自定义的密码登录后台。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
1.0.0 <= Confluence Data Center & Server < 7.19.16
7.20.0 <= Confluence Data Center & Server < 8.3.4
8.4.0 <= Confluence Data Center & Server < 8.4.4
8.5.0 <= Confluence Data Center & Server < 8.5.3
8.6.0 <= Confluence Data Center & Server < 8.6.1
修复建议:
1. 备份实例,参考:
https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html
2. 限制可访问公共互联网的实例(包括具有用户身份验证的实例)的外部网络访问权限。
3. 阻止对 Confluence 实例上以下端点的访问:
/json/setup-restore.action
/json/setup-restore-local.action
/json/setup-restore-progress.action
4. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
三、Apache ActiveMQ远程代码执行漏洞
概述:
腾讯安全近期监测到Apache 官方发布了关于ActiveMQ的风险公告,漏洞编号为CVE-2023-46604 (CNNVD编号: CNNVD-202310-2332)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
ActiveMQ是一个开源的、跨语言的消息中间件,它实现了JMS(Java消息服务)规范,支持多种协议和编程语言,包括Java、C、C 、Python、Ruby等。ActiveMQ提供了可靠的、高性能的消息传递机制,支持点对点和发布-订阅模式,可以实现异步通信、解耦、负载均衡等功能,被广泛应用于企业级应用系统中。
据描述,由于ActiveMQ安装启动后默认开放61613、61614、61616端口,且TcpTransport函数未对数据进行必要的检查,当攻击者可访问Apache ActiveMQ的61616端口时可通过构造恶意数据包加载外部XML文件的方式,进行远程代码执行,从而完全控制Apache ActiveMQ服务器。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
Apache ActiveMQ < 5.15.16
5.16.0 <= Apache ActiveMQ < 5.16.7
5.17.0 <= Apache ActiveMQ < 5.17.6
5.18.0 <= Apache ActiveMQ < 5.18.3
修复建议:
1. 严格限制Apache ActiveMQ服务端口(默认61616,且是默认监听0.0.0.0)的访问权限,不对公网开放。
2. 在确认不影响业务的情况下,可以临时禁止Apache ActiveMQ服务器出网。
3. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/activemq/tags
四、F5 BIG-IP 远程代码执行漏洞
概述:
腾讯安全近期监测到F5 官方发布了关于F5 BIG-IP的风险公告,漏洞编号为CVE-2023-46747 (CNNVD编号: CNNVD-202310-2269)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
F5-BIG IP是一款高性能、可扩展的应用交付控制器,它可以提供应用负载均衡、应用安全、应用加速、应用智能等一系列功能,帮助企业实现高可用性、高性能的应用交付。F5-BIG IP支持多种应用协议,如HTTP、HTTPS、TCP、UDP等,可以通过多种负载均衡算法实现流量分发,支持会话保持、健康检查等功能,可以有效地提升应用的可用性和性能。同时,F5-BIG IP还提供了多种应用安全功能,如DDoS防护、Web应用防火墙、SSL VPN等,可以保护企业应用不受攻击和恶意访问。F5-BIG IP还提供了灵活的管理和监控功能,可以帮助企业实现应用的可视化管理和实时监控。
据描述,该漏洞源于F5 BIG-IP中的Apache HTTP受请求走私影响,攻击者可以通过AJP请求走私进行权限绕过并添加管理员账户,最终在流量管理用户界面(TMUI)执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
13.1.0 <= BIG-IP <= 13.1.5
14.1.0 <= BIG-IP <= 14.1.5
15.1.0 <= BIG-IP <= 15.1.10
16.1.0 <= BIG-IP <= 16.1.4
17.1.0 <= BIG-IP <= 17.1.1
修复建议:
1. 可以通过执行官方的脚本进行缓解,具体参考: https://my.f5.com/manage/s/article/K000137353
2. 阻止通过自身 IP 地址访问配置实用程序。
3. 通过管理界面阻止配置实用程序访问。
4. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://my.f5.com/manage/s/article/K000137353
五、curl socks5 堆缓冲区溢出漏洞
概述:
腾讯安全近期监测到curl官方发布了关于curl的风险公告,漏洞编号为CVE-2023-38545 (CNNVD编号: CNNVD-202310-2269)。成功利用此漏洞的攻击者,最终可导致目标服务器缓冲区溢出,甚至在目标系统上执行任意命令。
curl是一个跨平台的开源网络工具,支持多种协议(如HTTP、FTP、SMTP等)和数据传输方式,可以通过命令行或代码进行使用。curl提供了丰富的功能和选项,包括数据传输、文件上传、下载、代理支持、cookie管理、SSL/TLS加密等,可以满足各种网络传输需求。
据描述,当 curl使用 SOCKS5 代理解析地址时,主机名的最大长度为 255 字节。如果检测到主机名超过255字节,Curl将切换到本地主机解析地址,并将解析后的地址传递给代理。curl在建立延迟较高的SOCKS5 链接过程中,主机解析地址可能会获取错误的值,将过长的主机名复制到缓冲区中,造成缓冲区溢出。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 9.8 |
影响版本:
7.69.0 <= libcurl < 8.4.0
修复建议:
1. 如不方便升级版本,可通过如下缓解措施避免被攻击:
- 不要将CURLPROXY_SOCKS5_HOSTNAME代理与curl一起使用
- 不要将代理环境变量设置为socks5h://
2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
- 固定版本获取链接参考:
https://curl.se/download.html
- 旧版本的补丁集合参考链接:
https://curl.se/docs/CVE-2023-38545_patches.zip
六、HTTP/2 协议拒绝服务漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于HTTP/2的风险公告,漏洞编号为CVE-2023-44487 (CNNVD编号: CNNVD-202310-667)。成功利用此漏洞的攻击者,最终可导致目标拒绝服务。
HTTP/2是HTTP协议的最新版本,它是HTTP/1.1的升级版,旨在提高Web应用的性能和安全性。HTTP/2采用二进制协议,支持多路复用,可以在一个TCP连接上同时传输多个请求和响应,避免了HTTP/1.1中的队头阻塞问题,提高了网络传输的效率。HTTP/2还支持头部压缩、服务器推送等新特性,可以减少网络传输的数据量和延迟,提高了Web应用的性能。同时,HTTP/2还提供了更加安全的传输方式,支持TLS加密和服务器证书验证,可以保护Web应用的安全性。
据描述,该漏洞源于HTTP/2 协议的Rapid Reset存在缺陷,攻击者可以在 HTTP/2 协议中创建新的多路复用流,然后立即发送取消流(RST_STREAM),导致服务器不断分配资源处理流的创建和取消请求,最终资源耗尽导致拒绝服务。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 7.5 |
影响版本:
很多Web通信软件如Web服务器会实现HTTP/2协议,下面是部分受影响的产品及版本:
nghttp2 < 1.57.0
Netty < 4.1.100
1.21.0 <= Golang < 1.21.3
Golang < 1.20.10
8.5.0 <= Apache Tomcat <= 8.5.93
9.0.0 <= Apache Tomcat <= 9.0.80
10.1.0 <= Apache Tomcat <= 10.1.13
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
grpc-go < 1.56.3
grpc-go 1.57.0
1.58.0 <= grpc-go < 1.58.3
jetty < 9.4.53
10.0.0 <= jetty < 10.0.17
11.0.0 <= jetty < 11.0.17
12.0.0 <= jetty < 12.0.2
修复建议:
1. 如无需使用HTTP/2协议,可以关闭HTTP/2协议,降级到HTTP/1.1。
2. 如无需要,可避免将应用完全暴露至公网。
3. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
(1) Netty:
参考链接:https://github.com/netty/netty/releases/tag/netty-4.1.100.Final
(2) Golang:
参考链接:https://github.com/golang/go/tags
(3) Apache Tomcat:
参考链接:https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
参考链接:https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
参考链接:https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
参考链接:https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
(4) grpc-go:
参考链接:https://github.com/grpc/grpc-go/releases
(5) jetty:
参考链接:https://github.com/eclipse/jetty.project/releases
(6) nghttp2:
参考链接:https://github.com/nghttp2/nghttp2/releases
七、Weblogic 远程代码执行漏洞
概述:
腾讯安全近期监测到Oracle官方发布了关于Weblogic的风险公告,漏洞编号为CVE-2023-22089 / CVE-2023-22072(CNNVD: CNNVD-202310-1398/ CNNVD-202310-1381)。成功利用漏洞的攻击者,最终可远程在目标系统上执行任意代码。
WebLogic是一种企业级Java应用服务器,由Oracle公司开发和维护。它提供了一种可靠、高效的平台,用于构建和部署分布式应用程序、Web服务和企业级应用。WebLogic具有先进的管理和监控功能,支持多种编程语言和标准,包括Java EE、SOAP、REST、XML、JMS和JDBC等。它还提供了高可用性、可伸缩性和安全性,使得企业能够快速响应业务需求,并且保持业务稳定和安全。
据描述,该漏洞源于Weblogic存在代码缺陷,攻击者可以将特制的请求通过T3/IIOP协议发送至目标服务器,最终远程执行任意代码,获取服务器权限。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 未公开 |
PoC | 未公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
CVE-2023-22089:
WebLogic Server 12.2.1.4.0
WebLogic Server 14.1.1.0.0
CVE-2023-22072:
WebLogic Server 12.2.1.3.0
修复建议:
1. 禁用T3协议,登录weblogic后台页面,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中进行配置:
127.0.0.1 * * allow t3 t3s
* * * deny t3 t3s
2. 禁用IIOP协议,登录weblogic后台页面,在左侧菜单页中点击 环境->服务器->AdminServer->协议->IIOP,取消勾选“启动IIOP”。
3. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.oracle.com/security-alerts/cpuoct2023.html
八、Cisco IOS XE WEB UI未授权创建管理员漏洞
概述:
腾讯安全近期监测到Cisco官方发布了关于Cisco IOS XE WEB UI的风险公告,漏洞编号为CVE-2023-20198 (CNNVD: CNNVD-202310-1209)。成功利用漏洞的攻击者,最终可远程创建管理员用户。
Cisco IOS XE是思科公司推出的一款基于Linux的网络操作系统,用于运行Cisco路由器和交换机等网络设备。它采用了现代化的架构,支持多种应用程序和服务,包括路由、交换、安全、流量管理和QoS等。Cisco IOS XE还提供了高可用性、可靠性和安全性,使得企业能够快速响应业务需求,并且保持业务稳定和安全。同时,它还具有灵活性和可扩展性,可以根据不同的业务需求进行定制和扩展。
Cisco IOS XE Web UI是一种基于GUI的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。
据描述,该漏洞源于Ciso IOS XE WEB UI使用了nginx iosd的组合,攻击者可以通过编码的方式绕过nginx的匹配机制并访问到WMSA服务,并通过发送 CLI 命令创建管理员用户,最终控制服务器。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 10 |
影响版本:
16.12 <= Cisco IOS XE < 16.12.10a
17.3 <= Cisco IOS XE < 17.3.8a
17.6 <= Cisco IOS XE < 17.6.6a
17.9 <= Cisco IOS XE < 17.9.4a
修复建议:
1. 禁用http服务器功能或设置访问白名单
2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。