金睛云华网络安全攻防团队对近期发生的安全漏洞情报信息进行持续跟踪和研究,对其中危害大和传播范围广的漏洞持续更新检测能力,并及时发布知识库升级包供用户升级使用。本周涉及CVE漏洞、SQL注入漏洞、信息泄露漏洞、未授权访问漏洞、Web攻击等53条重要规则,包含5项最新的漏洞检测规则,已通过升级知识库的方式为我司高级威胁检测系统提供针对性的检测能力。
1、万户OA协同办公管理平台任意文件上传漏洞
漏洞描述:
万户OA 前台任意文件上传漏洞,直接构造POST包上传shell威胁。
威胁等级:高危
影响范围:万户OA
漏洞编号:无
规则ID:3003596、3003597
规则描述:
3003596,WanHu ezOFFICE OA Arbitrary File Upload Attempt (unauthorized)
3003597,WanHu ezOFFICE OA Arbitrary File Upload Success (unauthorized
修复建议:
关注官网,升级至最新版本。
漏洞告警截图:
图1 万户OA协同办公管理平台任意文件上传漏洞检测告警截图1
图2 万户OA协同办公管理平台任意文件上传漏洞检测告警截图2
2、天生创想OA任意文件上传漏洞
漏洞描述:
天生创想OA办公系统是适用于中小型企业的通用型协同OA管理软件,融合了天生创想OA长期从事管理软件开发的丰富经验与先进技术,该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限制。
天生创想OA协同网络办公系统和苦菊OA这两个是一样的都存在以下问题:(1)未授权任意文件上传(2)后台任意文件上传(3)任意文件删除
威胁等级:高危
影响范围:天生创想OA
漏洞编号:无
规则ID:
3003598、3003599、3003201、3003202、3003203、3003204
规则描述:
3003598,TSCX OA Arbitrary File Upload Attempt 1(.php)
3003599,TSCX OA Arbitrary File Upload Success 1(.php)
3003201, TSCX OA Add php Upload Type Attempt
3003202, TSCX OA Add php Upload Type Success
3003203, TSCX OA Arbitrary File Upload Attempt 2(.php)
3003204, TSCX OA Arbitrary File Upload Success 2(.php)
修复建议:
建议升级到最新版本
漏洞告警截图:
图3 天生创想OA任意文件上传漏洞检测告警截图1
图4 天生创想OA任意文件上传漏洞检测告警截图2
图5 天生创想OA任意文件上传漏洞检测告警截图3
图6 天生创想OA任意文件上传漏洞检测告警截图4
图7 天生创想OA任意文件上传漏洞检测告警截图5
图8 天生创想OA任意文件上传漏洞检测告警截图6
3、RiskScanner SQL注入漏洞
漏洞描述:
RiskScanner 是开源的多云安全合规扫描平台,通过 Cloud Custodian 的 YAML DSL 定义扫描规则,实现对主流公(私)有云资源的安全合规扫描及使用优化建议。监测发现riskscanner接口存在未授权访问,通过构造该接口的请求发现该接口存在sql注入漏洞。
威胁等级:高危
影响范围:
RiskScanner <=1.3.2
漏洞编号:无
规则ID:3002369
规则描述:
RiskScanner <=1.3.2 Unauthorized SQL injection vulnerability,via /resource/list/
修复建议:
建议升级到最新版本:https://github.com/riskscanner/riskscanner
漏洞告警截图:
图9 RiskScanner SQL注入漏洞检测告警截图
4、Webmin1.973 CSRF导致的RCE漏洞(CVE-2021-31760)
漏洞描述:
Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。Webmin 1.973 存在跨站请求伪造漏洞。攻击者通过Webmin的运行进程特性实现远程命令执行。
威胁等级:高危
影响范围:
webmin <= 1.974(测试发现最新版本1.979也存在这个问题)
漏洞编号:CVE-2021-31760
规则ID:3002783、3002784
规则描述:
3002783,Webmin RCE Attack via CSRF Vulnerability(CVE-2021-31760) via POST request function and uri is /proc/run.vgi and command in parameter cmd
3002784,Webmin RCE Attack via CSRF Vulnerability(CVE-2021-31760) Exploited Successfull
修复建议:
设置配置文件中referers_none=1
漏洞告警截图:
图10 Webmin1.973 CSRF导致的RCE漏洞检测告警截图1
图11 Webmin1.973 CSRF导致的RCE漏洞检测告警截图2
5、Webmin1.973 利用CSRF漏洞(CVE-2021-31762)
漏洞描述:
Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。Webmin 1.973 存在跨站请求伪造漏洞,攻击者通过Webmin的添加用户特性创建特权用户,然后通过Webmin的运行进程特性获得一个反向shell。
威胁等级:高危
影响范围:
webmin = 1.973
漏洞编号:CVE-2021-31762
规则ID:3002786、3002787
规则描述:
3002786, Webmin Create Privileged User via CSRF Vulnerability(CVE-2021-31762) via POST request function and uri is /acl/save_user.cgi and don't have Referer Header
3002787, Webmin Create Privileged User via CSRF Vulnerability(CVE-2021-31762) Exploited Successfull
修复建议:
设置配置文件中referers_none=1
漏洞告警截图:
图12 Webmin1.973 利用CSRF漏洞检测告警截图1
图13 Webmin1.973 利用CSRF漏洞检测告警截图2
我司高级威胁检测系统ATD在第一时间加入了对以上网传漏洞的检测,请将知识库升级到最新版本。
知识库升级方法:
设备在联网情况下可以自动更新到最新的知识库版本。如不能在线更新可选择手动更新,方法如下:
1. 从我司如下知识库升级网站
https://www.downloadcenter.cn:9999/Support/Upgrade/ATD-upgrade/SDErules-update/,下载最新日期的知识库升级包文件。
2. 在我司高级威胁系统ATD中,按照 “系统管理->系统升级->手工升级->请选择升级包”进行操作。
3. 请手动上传最新升级包以更新知识库,如遇困难请联系售后支持。
关于金睛云华
金睛云华始终以 “AI驱动安全” 为核心理念,持续研发基于大数据和人工智能技术的新一代网络安全产品,包括高级威胁检测系统(ATD)、全流量回溯分析取证系统(TFS)、APT智能沙箱系统(AIS)、恶意加密流量检测系统(MED)、大数据安全分析与态势感知系统(CIC)、大数据威胁情报系统(CTI)、主机威胁取证系统(HTD)。目前已拥有十多项基于人工智能的安全技术专利,所服务的客户已超过500个,现网运行的系统已超过3000套,客户遍及公安、军队、金融、运营商、广电、政府、能源、电力、企业和高校等多个行业。
