所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年5月份必修安全漏洞清单:
一、Confluence Data Center and Server 远程代码执行漏洞
二、Sonatype Nexus Repository 3 路径遍历漏洞
三、Apache OFBiz 目录遍历致代码执行漏洞
四、F5 BIG-IP Next Central Manager SQL注入漏洞
五、Apache ActiveMQ Jolokia REST API 未授权访问漏洞
六、Google Chrome V8越界写入漏洞
七、Git 远程代码执行漏洞
漏洞介绍及修复建议详见后文
一、Confluence Data Center and Server 远程代码执行漏洞
概述:
腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Server的风险公告,漏洞编号为TVD-2024-14489 (CVE编号:CVE-2024-21683,CNNVD编号: CNNVD-202405-4060)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Confluence Data Center和Server是一款强大的企业级协作软件,旨在帮助团队更高效地整合信息、共享知识和协作完成项目。Confluence Data Center提供了高度可扩展和高可用性的解决方案,适用于大型企业和有严格性能需求的组织,而Confluence Server则适用于中小型企业,提供了灵活的部署选项和丰富的特性。这两个版本都支持创建、编辑和组织文档、页面和空间,以及集成其他Atlassian产品(如Jira),从而实现跨团队的协同工作和知识共享。
据描述,该漏洞源于Confluence使用了Rhino组件,Rhino是一个运行在JVM上的JavaScript引擎,可以无缝使用Java丰富的核心库和第三方库,具有权限的攻击者可以通过Confluence后台的“配置代码宏”处上传包含Java恶意代码的JavaScript文件,Rhino组件会将传入的Java代码进行调用,最终远程执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
Confluence Data Center and Server < 7.17.0
7.17.0 <= Confluence Data Center and Server <= 7.17.5
7.18.0 <= Confluence Data Center and Server <= 7.18.3
7.19.0 <= Confluence Data Center and Server <= 7.19.21 LTS
7.20.0 <= Confluence Data Center and Server <= 7.20.3
8.0.0 <= Confluence Data Center and Server <= 8.0.4
8.1.0 <= Confluence Data Center and Server <= 8.1.4
8.2.0 <= Confluence Data Center and Server <= 8.2.3
8.3.0 <= Confluence Data Center and Server <= 8.3.4
8.4.0 <= Confluence Data Center and Server <= 8.4.5
8.5.0 <= Confluence Data Center and Server <= 8.5.8 LTS
8.6.0 <= Confluence Data Center <= 8.6.2
8.7.0 <= Confluence Data Center <= 8.7.2
8.8.0 <= Confluence Data Center <= 8.8.1
Confluence Data Center 8.9.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.atlassian.com/software/confluence/download-archives
二、Sonatype Nexus Repository 3 路径遍历漏洞
概述:
腾讯安全近期监测到Sonatype官方发布了关于Nexus Repository 3的风险公告,漏洞编号为TVD-2024-13872 (CVE编号:CVE-2024-4956,CNNVD编号:CNNVD-202405-2896)。成功利用此漏洞的攻击者,最终可以访问服务器上的敏感文件及数据。
Nexus Repository 3是一款功能强大的仓库管理系统,用于存储、组织和管理软件组件及其相关依赖关系。它支持多种流行的包管理格式,如Maven, npm, NuGet等,可以帮助开发者和团队实现高效的构建、部署和发布流程。Nexus Repository 3提供了一系列高级功能,如智能代理、组件搜索、安全访问控制和漏洞扫描等,从而确保软件开发过程中的安全性和可靠性。
据描述,Nexus Repository 3使用了Jetty的URIUtil.canonicalPath()函数对传入的路径进行安全检查,但该函数存在代码缺陷,攻击者可以通过发送特制的请求绕过检查进行目录穿越,最终访问服务器上的敏感数据。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 中 |
利用难度 | 低 |
漏洞评分 | 7.5 |
影响版本:
Nexus Repository 3 < 3.68.1
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://help.sonatype.com/en/download.html
2. 临时缓解方案
无法立即升级的Sonatype Nexus Repository实例,可通过编辑/etc/jetty/jetty.xml 并删除文件中的以下内容来缓解该漏洞:
代码语言:javascript复制<Set name="resourceBase"><Property name="karaf.base"/>/public</Set>
P.S:该方案可能会导致UI渲染出现问题,但不影响核心产品功能。
三、Apache OFBiz 目录遍历致代码执行漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2024-12755 (CVE编号:CVE-2024-32113,CNNVD编号:CNNVD-202405-1728)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Apache OFBiz是一个开源的企业资源规划系统,提供了一套全面的业务解决方案,涵盖了企业运营的各个方面,如电子商务、客户关系管理、供应链管理、财务管理等。它采用灵活的模块化架构,支持企业根据实际需求进行定制化配置和扩展。Apache OFBiz具有高度可扩展性、安全性和稳定性,适用于各种规模的企业,帮助企业实现业务流程自动化,提高运营效率和管理水平。
据描述,该漏洞源于Apache OFBiz中的ControlFilter类针对URL路径限制不当,攻击者可以发送特制的请求绕过权限控制并访问后台/webtools/control/ProgramExport接口,最终远程执行任意代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.5 |
影响版本:
Apache OFBiz < 18.12.13
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
2. 临时缓解方案:
禁止访问/webtools/control/ProgramExport路径。
四、F5 BIG-IP Next Central Manager SQL注入漏洞
概述:
腾讯安全近期监测到F5官方发布了关于BIG-IP Next Central Manager的风险公告,漏洞编号为TVD-2024-12761 (CVE编号:CVE-2024-26026,CNNVD编号:CNNVD-202405-1736)。成功利用此漏洞的攻击者,最终可获取数据库中的敏感数据。
F5 BIG-IP Next Central Manager是一款集中式管理解决方案,用于监控和管理F5 BIG-IP应用交付平台的整个生命周期。它提供了一个统一的管理界面,使管理员能够轻松地配置、部署和监控分布在不同网络环境中的F5 BIG-IP设备。通过实时性能数据、报警和日志分析,Next Central Manager帮助企业实现对应用程序性能和安全性的全面掌控,从而确保关键业务的高可用性。
BIG-IP Next Central Manager的/api/login接口在处理用户输入时未进行充分的验证和过滤,攻击者可以通过该接口传入恶意构造的SQL语句片段,后端会直接将其拼接到原始SQL查询中,导致数据泄露。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 中 |
利用难度 | 低 |
漏洞评分 | 7.5 |
影响版本:
20.0.1 <= F5 BIG-IP Next Central Manager <= 20.1.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://my.f5.com/manage/s/article/K000138733
2. 临时缓解方案
如无必要,避免将F5 BIG-IP Next Central Manager服务开放至公网。
五、Apache ActiveMQ Jolokia REST API 未授权访问漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于ActiveMQ的风险公告,漏洞编号为 (CVE编号:CVE-2024-32114,CNNVD编号:CNNVD-202405-256)。成功利用此漏洞的攻击者,可以获取敏感信息。
ActiveMQ是一款开源的消息队列中间件,支持Java消息服务和多种跨语言、跨平台的通信协议。它提供了可靠的异步消息传输机制,能够帮助分布式系统中的组件进行解耦和高效通信。ActiveMQ支持持久化、事务、负载均衡和高可用等特性,可以满足企业级别的消息队列需求。此外,ActiveMQ还有强大的集群和网络连接功能,适用于构建大规模、复杂的分布式系统。
据描述,该漏洞源于ActiveMQ未对 Jolokia JMX REST API 和 Message REST API 添加身份校验,攻击者可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互,或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 未公开 |
PoC | 未公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.5 |
影响版本:
6.0.0 <= Apache ActiveMQ < 6.1.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/activemq/tags
2. 临时缓解方案
更新conf/jetty.xml配置文件,增加身份验证校验:
代码语言:javascript复制<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint" />
<property name="pathSpec" value="/" />
</bean>
六、Google Chrome V8越界写入漏洞
概述:
腾讯安全近期监测到Google官方发布了关于Chrome的风险公告,漏洞编号为 (CVE编号:CVE-2024-4761,CNNVD编号:CNNVD-202405-1870)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Chrome是一款由谷歌开发的免费、跨平台的网页浏览器,以其简洁的界面、高速的性能和丰富的扩展插件而受到广泛好评。Chrome采用了高效的V8 JavaScript引擎,提供了强大的开发者工具,并支持现代Web标准,使得用户可以轻松地浏览和互动各种网站和Web应用程序。同时,Chrome还具有同步功能、隐私保护和安全防护等特点,为用户提供了优质的上网体验。
据描述,该漏洞源于Google Chrome V8存在代码缺陷,攻击者可以通过精心设计的 HTML 页面进行越界内存写入,最终可能远程执行代码。
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 未公开 |
PoC | 已公开 |
在野利用 | 已发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
Chrome < 124.0.6367.207
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html
七、Git远程代码执行漏洞
概述:
腾讯安全近期监测到关于Git的风险公告,漏洞编号为 TVD-2024-9478 (CVE编号:CVE-2024-32002,CNNVD编号:CNNVD-202404-1073)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Git是一款分布式版本控制系统,旨在帮助开发者高效地管理和协同项目源代码。它支持非线性开发流程,允许多个开发者在本地对代码进行修改和提交,然后通过合并、拉取和推送操作同步到远程仓库。Git具有强大的分支管理、历史追踪和冲突解决功能,使得开发者能够更容易地处理复杂的代码变更和协作问题,从而提高软件开发的效率和质量。
在支持符号链接且不区分大小写的文件系统中,Git 的递归克隆功能容易受到大小写混淆的影响。未经身份验证的远程攻击者可能利用此漏洞,诱导受害者克隆包含恶意代码的仓库,从而实现远程代码执行攻击。
P.S. 此漏洞只影响Windows和Mac系统
漏洞状态:
类别 | 状态 |
---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
风险等级:
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8.8 |
影响版本:
Git < 2.39.4
2.40.0 <= Git < 2.40.2
Git 2.41.0
2.42.0 <= Git < 2.42.2
2.43.0 <= Git < 2.43.4
Git 2.44.0
Git 2.45.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/git/git/tags
2. 临时缓解方案:
- 使用 "git config --global core.symlinks false" 命令禁用Git的符号链接功能
- 避免从不受信任的来源克隆存储库
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157