2024年3月1日ATD 1.8-1.9.x知识库发布说明更新范围如下:
更新日志:
1. 尝试获取用户权限: 有更新
2. CVE漏洞攻击: 有更新
3. 特洛伊木马通信: 有更新
4. 潜在恶意流量: 有更新
5. Web应用攻击: 有更新
6. DoS攻击: 有更新
其中重要规则如下:
漏洞描述:Apache Tomcat 信息泄露漏洞(CVE-2024-21733)情报。Apache Tomcat 是一个开源 Java Servlet 容器和 Web 服务器,用于运行 Java 应用程序和动态网页。Coyote 是 Tomcat 的连接器,处理来自客户端的请求并将它们传递Tomcat 引擎进行处理。攻击者可以通过构造特定请求,在异常页面中输出其他请求的body 数据,修复版本中通过增加 finally 代码块,保证默认会重设缓冲区 position 和 limit 到一致的状态,从而造成信息泄露。
漏洞详情:4030202,Apache Tomcat存在信息泄露漏洞( CVE-2024-21733)
4030203,Apache Tomcat存在信息泄露漏洞( CVE-2024-21733)
影响范围:从8.5.7到8.5.63, 9.0.0-M11到9.0.43
威胁等级:高危
参考链接:https://github.com/wy876/POC/blob/main/Apache%20Tomcat%E5%AD%98%E5%9C%A8%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E(%20CVE-2024-21733).md
漏洞描述:spider-flow是ssssssss-team开源的一个爬虫平台。spider-flow 0.4.3版本存在安全漏洞。攻击者利用该漏洞导致代码注入。
漏洞详情:4030204,SpiderFlow爬虫平台远程命令执行漏洞(CVE-2024-0195)
影响范围:spider-flow 0.4.3
威胁等级:高危
参考链接:https://github.com/wy876/POC/blob/main/SpiderFlow%E7%88%AC%E8%99%AB%E5%B9%B3%E5%8F%B0%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E(CVE-2024-0195).md
漏洞描述:F5 BIG-IP是一款由F5 Networks开发的高级应用交付和负载均衡解决方案,用于优化和保护企业应用程序的可用性、性能和安全性。它提供负载均衡、应用性能优化、安全性、高可用性和可扩展性等关键功能,以确保应用程序的稳定运行,满足各种业务需求。漏洞成因源于Apache httpd与AJP协议的不一致处理方式,特别是F5自定义的Apache httpd版本存在漏洞。攻击者可以通过发送包含特定"Content-Length"和"Transfer-Encoding"头的请求来控制后端服务器的请求处理流程。此漏洞在特定条件下允许绕过正常请求处理,尤其在涉及认证交互的场景下可能导致严重后果。攻击者可通过触发漏洞绕过身份验证,执行后台功能,甚至通过串联其他后台漏洞来接管服务器。
漏洞详情:4030205,F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
4030206,F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
4030207,F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
影响范围:F5 BIG-IP <= 17.1.0
16.1.0 <= F5 BIG-IP <= 16.1.4
15.1.0 <= F5 BIG-IP <= 15.1.10
14.1.0 <= F5 BIG-IP <= 14.1.5
13.1.0 <= F5 BIG-IP <= 13.1.5
威胁等级:高危
参考链接:https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-46747.yaml
漏洞描述:Oracle Fusion Middleware(Oracle融合中间件)和Oracle WebLogic Server都是美国甲骨文(Oracle)公司的产品。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。在Oracle官方最新发布的2024年1月补丁中,成功修复了一个基于Weblogic T3\IIOP协议的远程命令执行漏洞CVE-2024-20931。此漏洞在2023年10月向Oracle报告的,本质上是CVE-2023-21839补丁的一种绕过,牵涉到一个新的JNDI攻击面。在WebLogic中存在一个名为ForeignOpaqueReference的对象,其getReferent函数在远程对象查询时再次发起JNDI查询,导致了JNDI注入。
漏洞详情:4030208,Weblogic远程代码执行(CVE-2024-20931)
影响范围:Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0版本、14.1.1.0.0版本存在安全漏洞
威胁等级:高危
参考链接:https://github.com/dinosn/CVE-2024-20931
漏洞描述:Atlassian Confluence是企业广泛使用的wiki系统。在Confluence 8.0到8.5.3版本之间,存在一处由于任意velocity模板被调用导致的OGNL表达式注入漏洞,未授权攻击者利用该漏洞可以直接攻击Confluence服务器并执行任意命令。
漏洞详情:4017984,Confluence OGNL表达式注入命令执行漏洞(CVE-2023-22527)
影响范围:Atlassian Confluence
威胁等级:高危
参考链接:https://github.com/vulhub/vulhub/blob/master/confluence/CVE-2023-22527/README.zh-cn.md
请您联系供应商获取知识库升级包下载地址,并及时下载最新的知识库进行升级和在公司内部同步!
服务电话:4001033982
技术支持邮箱:support@geyecloud.com
