欢迎关注
腾讯安全威胁情报中心
腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2023年9月份必修安全漏洞清单详情:
一、JetBrains TeamCity 身份绕过漏洞
概述:
腾讯安全近期监测到JetBrains 官方发布了关于TeamCity的风险公告,漏洞编号为CVE-2023-42793 (CNNVD编号: CNNVD-202309-1891)。攻击者成功利用此漏洞后,最终可远程在目标系统上执行任意代码。
TeamCity是一种基于Java的持续集成和持续交付服务器,由JetBrains公司开发。它支持多种编程语言和构建工具,并提供了许多强大的功能,如自动化构建、测试、部署和代码分析。TeamCity还提供了可视化的构建历史记录和报告,以及灵活的配置选项,使开发团队可以轻松地自定义和管理其持续集成和交付流程。
据描述,该漏洞源于TeamCity 中存在身份验证绕过漏洞,攻击者可以通过向特定路由页面发送请求来获取管理员身份验证令牌,然后使用该令牌访问应用程序,最终在服务器上执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
影响版本:
TeamCity < 2023.05.4
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://blog.jetbrains.com/teamcity/2023/10/cve-2023-42793-vulnerability-in-teamcity-update/
https://www.jetbrains.com/teamcity/download/other.html
二、Google libwebp 远程代码执行漏洞
概述:
腾讯安全近期监测到Google官方发布了关于libwebp的安全公告,漏洞编号为CVE-2023-4863(CNNVD编号:CNNVD-202309-784)。攻击者成功利用此漏洞后,最终可远程在目标系统上执行任意代码。
libwebp是一个C/C 开源库,用于编码和解码WebP图像格式。它提供了一系列函数和工具,可以将图像数据编码成WebP格式,以及将WebP格式的图像解码回原始图像数据。作为依赖库,libwebp可以被其他程序使用,以添加对WebP图像格式的支持。该库被广泛应用于各种软件中,如Chrome等主流浏览器,Linux操作系统以及知名开源软件。
在解析无损的WebP图片时,libwebp会使用霍夫曼编码(Huffman coding)来构造霍夫曼编码表,并进行解码以获得原始图像。解码器在分配霍夫曼编码表的内存空间时,会提前将所有一级表和二级表的空间同时分配。然而,由于霍夫曼编码表数据是从图片中读取的,解码器并未正确校验数据大小。因此,当攻击者构造非法的霍夫曼表时,可能导致表的总内存大小超过预分配的大小,从而引发堆缓冲区溢出漏洞,进而在目标系统上执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
libwebp < 1.3.2
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
部分受影响的产品及修复版本:
Google libwebp:
https://storage.googleapis.com/downloads.webmproject.org/releases/webp/index.html
Google Chrome:
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
Microsoft Edge:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863
Mozilla Firefox:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/
Ubuntu:
https://launchpad.net/ubuntu/ source/libwebp/1.2.4-0.3
Debian:
https://www.debian.org/security/2023/dsa-5497-2
Redhat:
https://access.redhat.com/errata/RHSA-2023:5309
Oracle:
https://linux.oracle.com/cve/CVE-2023-4863.html
Electron:
https://github.com/electron/electron/pull/39828
三、JumpServer Session 未授权访问漏洞
概述:
腾讯安全近期监测到JumpServer官方发布了关于JumpServer的风险公告,漏洞编号为CVE-2023-42442 (CNNVD: CNNVD-202309-1115)。攻击者成功利用此漏洞后,可以读取敏感信息。
JumpServer 是一款开源的堡垒机和专业的运维安全审计系统。它主要采用 Python 和 Django 进行开发,采用分布式架构,支持多机房和跨区域部署,具有良好的横向扩展能力,且无资产数量和并发限制。
据描述,这个漏洞源于 JumpServer 的会话回放录像接口(/api/v1/terminal/sessions/)存在鉴权不当的问题。未经授权的攻击者可以通过直接访问该接口,查看并下载会话回放录像数据,从而获取敏感信息。
P.S. 如果会话重播存储在S3或OSS或其他云存储中,则不受此漏洞影响。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 中危 |
影响面 | 高 |
攻击者价值 | 中 |
利用难度 | 低 |
漏洞评分 | 5.3 |
影响版本:
3.0.0 <= JumpServer < 3.5.5
3.6.0 <= JumpServer < 3.6.4
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/jumpserver/jumpserver/releases
四、JumpServer 重置密码验证码被预测致账号劫持漏洞
概述:
腾讯安全近期监测到JumpServer官方发布了关于JumpServer的风险公告,漏洞编号为CVE-2023-42820 (CNNVD: CNNVD-202309-2358)。攻击者成功利用此漏洞后,可以重置任意用户的密码并接管用户账户。
据描述,这个漏洞是由于第三方库 django-simple-captcha 向 API 公开了随机数种子,导致随机生成的验证码存在被重放的风险。当 JumpServer 开启本地身份认证时,攻击者可以向已知用户名发送重置密码链接。通过重放,攻击者可以获取重置密码链接的验证码,进而修改用户密码并登录到对应用户账户。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.2 |
影响版本:
2.24.0 <= JumpServer < 2.28.19
3.0.0 <= JumpServer < 3.6.5
修复建议:
1. 启用MFA或禁用本地身份验证。
2.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/jumpserver/jumpserver/releases
五、JumpServer 认证后任意文件读取/写入漏洞
概述:
腾讯安全近期监测到JumpServer官方发布了关于JumpServer的风险公告,漏洞编号为CVE-2023-42819 (CNNVD: CNNVD-202309-2360)。攻击者成功利用此漏洞后,可以在系统上读写任意文件。
据描述,该漏洞源于Jumpserver支持用户在Web页面中上传、下载、浏览playbook模板文件,但在获取用户输入的file_key后直接使用os.path.join(work_path, file_key)的方式拼接路径并读取文件。攻击者可以通过../../的方式进行目录穿越,最终读写任意文件。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.8 |
影响版本:
3.0.0 <= JumpServer < 3.6.5
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/jumpserver/jumpserver/releases
六、Internet连接共享 (ICS) 远程代码执行漏洞
概述:
2023年9月,微软发布了2023年9月安全更新补丁,共发布了59个漏洞的补丁程序,其中包含5个严重漏洞。本次发布涉及等多个软件的安全更新,包括Microsoft Word、Visual Studio、Windows ICS、Exchange Server等产品。上述漏洞中危害性较高是Internet Connection Sharing远程代码执行漏洞,漏洞编号为CVE-2023-38148(CNNVD编号:CNNVD-202309-830)。攻击者成功利用此漏洞后,最终可远程在目标系统上执行任意代码。
ICS(Internet Connection Sharing)是一种Windows操作系统中的网络共享功能,允许多个计算机通过一个共享的Internet连接进行联网。通过ICS,一台计算机可以将其Internet连接共享给其他计算机,以便它们可以共享Internet连接,而不必每个计算机都拥有自己的Internet连接。
据描述,ICS存在代码缺陷,攻击者可以通过向目标系统的Internet连接共享服务(ICS)发送特制的网络数据包,从而在目标系统上执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 未公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38148
七、Bitbucket Server and Data Center远程代码执行漏洞
概述:
腾讯安全近期监测到Atlassian 官方发布了关于Bitbucket Server and Data Center的风险公告,漏洞编号为CVE-2023-22513 (CNNVD编号: CNNVD-202309-1893)。攻击者成功利用此漏洞后,最终可远程在目标系统上执行任意代码。
Bitbucket Server and Data Center 是澳大利亚 Atlassian 公司的一款 Git 代码托管解决方案。Bitbucket Server and Data Center旨在提供高效的代码托管和协作平台,帮助团队能够更好地协作开发代码。
据描述,Bitbucket Server and Data Center存在代码缺陷,具有登录权限的攻击者可以利用该漏洞在系统上执行代码,最终控制服务器。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 未公开 |
PoC | 未公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
8.0.0 <= Bitbucket Server and Data Center < 8.9.5
8.10.0 <= Bitbucket Server and Data Center < 8.10.5
8.11.0 <= Bitbucket Server and Data Center < 8.11.4
8.12.0 <= Bitbucket Server and Data Center < 8.12.2
8.13.0 <= Bitbucket Server and Data Center < 8.13.1
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://jira.atlassian.com/browse/BSERV-14419
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
- 2023年08月必修安全漏洞清单
- 2023年07月必修安全漏洞清单
- 2023年06月必修安全漏洞清单
- 2023年05月必修安全漏洞清单
- 2023年04月必修安全漏洞清单
- 2023年03月必修安全漏洞清单
- 2023年02月必修安全漏洞清单
- 2023年01月必修安全漏洞清单
- 2022年12月必修安全漏洞清单
- 2022年11月必修安全漏洞清单
- 2022年10月必修安全漏洞清单
- 2022年09月必修安全漏洞清单
- 2022年08月必修安全漏洞清单
- 2022年07月必修安全漏洞清单
- 2022年06月必修安全漏洞清单
- 2022年05月必修安全漏洞清单
- 2022年04月必修安全漏洞清单
- 2022年03月必修安全漏洞清单
- 2022年02月必修安全漏洞清单
- 2022年01月必修安全漏洞清单
- 2021年12月必修安全漏洞清单
- 2021年11月必修安全漏洞清单