【重要】ATD 1.8-1.9.x 知识库发布（2024年7月12日)

2024年7月12日ATD 1.8-1.9.x知识库发布说明更新范围如下:

特征签名库：有更新

威胁情报库：有更新

更新日志：

1. 管理员权限提权成功: 有更新

2. CVE漏洞攻击: 有更新

3. 网络扫描: 有更新

4. 尝试获取管理员权限: 有更新

5. APT事件: 有更新

6. DoS攻击: 有更新

7. 特洛伊木马通信: 有更新

8. 潜在恶意流量: 有更新

9. 潜在信息泄露: 有更新

10. Web应用攻击: 有更新

其中重要规则如下：

漏洞描述：OpenSSH是SSH（Secure Shell）协议的开源实现，它支持在两个主机之间提供安全的加密通信，广泛用于Linux等系统，通常用于安全远程登录、远程文件传输和其它网络服务。

2024年7月1日，OpenSSH Server中存在的一个远程代码执行漏洞（CVE-2024-6387，又被称为regreSSHion）细节被公开，该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)。

默认配置下的OpenSSH Server (sshd)中存在信号处理程序竞争条件漏洞，如果客户端未在LoginGraceTime内（默认情况下为120秒，旧版OpenSSH中为600秒）进行身份验证，则sshd的SIGALRM处理程序将被异步调用，但该信号处理程序会调用非异步信号安全的函数，最终造成Double-Free内存管理问题。威胁者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。根据已公开技术细节中的描述，在开启ASLR的i386设备上，利用该漏洞大约需要6-8小时获取root shell，在开启ASLR的amd64设备上则可能需要约一周左右。

漏洞详情：4030259,OpenSSH Server远程代码执行漏洞(CVE-2024-6387)

影响范围：

OpenSSH < 4.4p1（不含已修复CVE-2006-5051和CVE-2008-4109的实例）

8.5p1 <= OpenSSH < 9.8p1

注：OpenBSD系统不受该漏洞影响。

用户可执行sshd -V确认OpenSSH版本，目前该漏洞技术细节已在互联网上公开，鉴于影响范围较大，建议用户尽快做好自查及防护。

威胁等级：高危

参考链接：https://www.qualys.com/regresshion-cve-2024-6387/

漏洞描述：Atlassian Confluence是一款企业级的知识管理和团队协作软件，主要功能包括团队协作、知识管理、版本控制、权限管理、扩展性、数据分析和报告等。其内部审计发现Confluence Data Center和Server版本5.2中引入了远程代码执行漏洞，具有普通用户权限的攻击者可在无需交互的情况下利用该漏洞执行任意代码。

漏洞详情：4030262,Atlassian Confluence远程代码执行漏洞（CVE-2024-21683）

影响范围：

confluence_data_center@[8.6.0, 8.9.1)

confluence_data_center@[7.20.0, 8.5.9)

confluence_data_center@[5.2, 7.19.22)

confluence_server@[7.20.0, 8.5.9)

confluence_server@[5.2, 7.19.22)

威胁等级：高危

参考链接：https://github.com/projectdiscovery/nuclei-templates/blob/5daab66ae67f05d5262ace283c7f06128b4f3f25/http/cves/2024/CVE-2024-21683.yaml

漏洞描述：Fluent Bit是一款使用C语言编写的开源日志处理和分析系统。Fluent Bit 2.0.7 到 3.0.3版本存在安全漏洞，该漏洞源于 http 服务器对跟踪请求的解析存在安全问题，可能导致拒绝服务条件、信息泄露或远程代码执行。

漏洞详情：4030261,Fluent Bit内存损坏漏洞（CVE-2024-4323）

影响范围：Fluent Bit 2.0.7 到 3.0.3版本

威胁等级：高危

参考链接：https://github.com/skilfoy/CVE-2024-4323-Exploit-POC

漏洞描述：Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案。Zabbix多个受影响版本中存在SQL注入漏洞，该漏洞存在于audit.c的zbx_auditlog_global_script函数中，由于clientip字段未经清理，可能导致SQL时间盲注攻击，经过身份验证的威胁者可利用该漏洞从数据库中获取敏感信息，并可能导致将权限提升为管理员或导致远程代码执行。

漏洞详情：4030260,Zabbix Server SQL注入漏洞（CVE-2024-22120）

影响范围：

Zabbix 6.0.0 - 6.0.27

Zabbix 6.4.0 - 6.4.12

Zabbix 7.0.0alpha1 - 7.0.0beta1

威胁等级：高危

参考链接：https://github.com/wy876/POC/blob/43899d153678f281e464261203d2fe7de2ffefbf/Zabbix-Serve-SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E(CVE-2024-22120).md?plain=1

请您联系供应商获取知识库升级包下载地址，并及时下载最新的知识库进行升级和在公司内部同步！ 

服务电话：4001033982

技术支持邮箱：support@geyecloud.com