金睛云华网络安全攻防团队对近期发生的安全漏洞情报信息进行持续跟踪和研究,对其中危害大和传播范围广的漏洞持续更新检测能力,并及时发布知识库升级包供用户升级使用。本周涉及远程代码执行漏洞、代码注入漏洞、SQL注入漏洞、任意文件读取漏洞等26条重要规则,包含7项最新的漏洞检测规则,已通过升级知识库的方式为我司高级威胁检测系统提供针对性的检测能力。
1、SuiteCRM 7.11.15 Remote Code Execution漏洞
漏洞描述:
SuiteCRM before 7.11.17 is vulnerable to remote code execution via the system settings Log File Name setting. In certain circumstances involving admin account takeover, logger_file_name can refer to an attacker-controlled .php file under the web root.
威胁等级:高危
影响范围:SuiteCRM before 7.11.17
漏洞编号:CVE-2020-28328
规则ID:3001750
规则描述:
SuiteCRM before 7.11.17 is vulnerable to remote code execution via the system settings Log File Name setting. In certain circumstances involving admin account takeover, logger_file_name can refer to an attacker-controlled .php file under the web root.All:action=EditView,name:last_name <?php (CVE-2020-28328)
修复建议:
更新版本>7.11.17
漏洞告警截图:
图1 SuiteCRM 7.11.15 Remote Code Execution漏洞检测告警截图
2、PbootCMS 3.0.4 SQL注入漏洞
漏洞描述:
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.0.4 存在SQL注入漏洞,该漏洞源于index.php搜索参数,可以通过添加管理员帐户来泄露敏感信息。
威胁等级:高危
影响范围:
PbootCMS 3.0.4
漏洞编号:CVE-2021-28245
规则ID:3002260, 3002261
规则描述:
PbootCMS V3.0.4 SQL injection vulnerability through index.php via the search parameter(CVE-2021-28245)
修复建议:
关注厂商版本更新,升级到最新版本https://www.pbootcms.com/changelog/
漏洞告警截图:
图2 PbootCMS 3.0.4 SQL注入漏洞检测告警截图
3、Grav代码注入漏洞
漏洞描述:
Grav是一套可扩展的用于个人博客、小型内容发布平台和单页产品展示的CMS(内容管理系统)。Grav 存在代码注入漏洞,攻击者可利用该漏洞任意代码执行和提升实例上的特权。
威胁等级:高危
影响范围:Grav CMS 1.7.10
漏洞编号:CVE-2021-29440
规则ID:3002262
规则描述:
Grav CMS 1.7.10 Server-Side Template Injection Vulnerability,as the Twig processor runs unsandboxed(CVE-2021-29440)
修复建议:
更新至最新版本:https://getgrav.org/
漏洞告警截图:
图3 Grav代码注入漏洞检测告警截图
4、Grav 管理员插件漏洞
漏洞描述:
Grav 管理员插件是一个 HTML 用户界面,提供配置 Grav 和创建和修改页面的方法。在版本 1.10.7 和更早版本中,未经授权的用户可以执行某些管理员控制器方法,而无需任何凭据。特定方法执行将导致系统上现有 YAML 文件的任意创建或内容更改。成功利用该漏洞会导致配置更改,如一般站点信息更改、自定义调度器工作定义等。由于漏洞的性质,对手可以更改网页的某些部分,或劫持管理员帐户,或在 Web-Server 用户的上下文下执行操作系统命令。此漏洞在版本 1.10.8 中修复。可以将阻止从不受信任的来源访问"/admin"路径作为解决方法。
威胁等级:高危
影响范围:Grav Admin Plugin < 1.10.8
漏洞编号:CVE-2021-21425
规则ID:3002263, 3002264, 3002265
规则描述:
Grav Admin Plugin < 1.10.8 Unauthorized access vulnerability,Remote command execution or Any yaml file is changed or created(CVE-2021-21425)
修复建议:
阻止/admin从不受信任的来源访问路径(临时解决方案),更新至最新版本:https://getgrav.org/
漏洞告警截图:
图4 Grav 管理员插件漏洞检测告警截图
5、TamronOS_IPTV系统存在前台命令执行漏洞
漏洞描述:
TamronOS IPTV 系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案,系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。监测到TamronOS-IPTV系统存在远程命令执行漏洞,攻击者可利用该漏洞进行获取系统权限。
威胁等级:高危
影响范围:TamronOS IPTV 所有版本
漏洞编号:无
规则ID:3002272, 3002273
规则描述:
Tamronos IPTV system foreground remote command execution vulnerability,via calling /api/ping interface
修复建议:
建议限制对/api/ping接口的访问,关注厂商相关的漏洞补丁:http://www.tamronos.com/
漏洞告警截图:
图5 TamronOS_IPTV系统存在前台命令执行漏洞检测告警截图
6、广州图创图书馆集群管理系统漏洞
漏洞描述:
广州图创计算机软件开发有限公司是集产品研发、应用集成、客户服务为一体的高新技术企业,主要目标是为图书馆行业用户提供高质量的应用软件系统设计、集成和维护服务,利用漏洞,攻击者可以读取 Windows 或 Linux 服务器上的任意文件。利用文件读取漏洞,攻击者可以获取到系统文件信息,从而造成敏感信息泄露。
威胁等级:中危
影响范围:图创图书馆集群管理系统 interlibv2.0.1package:2021-05-21之前版本
漏洞编号:CNVD-2021-34454
规则ID:3002274, 3002275
规则描述:
Guangzhou tuchuang Library cluster management system arbitrary file read vulnerability,via /interlib/report/ShowImage Interface
修复建议:
interlibv2.0.1package:2021-05-21已修复此漏洞,请联系厂商更新版本:https://www.interlib.com.cn/tcweb/index
漏洞告警截图:
图6 广州图创图书馆集群管理系统漏洞检测告警截图
我司高级威胁检测系统ATD在第一时间加入了对以上网传漏洞的检测,请将知识库升级到最新版本。
知识库升级方法:
设备在联网情况下可以自动更新到最新的知识库版本。如不能在线更新可选择手动更新,方法如下:
1. 从我司如下知识库升级网站
https://www.downloadcenter.cn:9999/Support/Upgrade/ATD-upgrade/SDErules-update/,下载最新日期的知识库升级包文件。
2. 在我司高级威胁系统ATD中,按照 “系统管理->系统升级->手工升级->请选择升级包”进行操作。
3. 请手动上传最新升级包以更新知识库,如遇困难请联系售后支持。
关于金睛云华
金睛云华始终以 “AI驱动安全” 为核心理念,持续研发基于大数据和人工智能技术的新一代网络安全产品,包括高级威胁检测系统(ATD)、全流量回溯分析取证系统(TFS)、APT智能沙箱系统(AIS)、恶意加密流量检测系统(MED)、大数据安全分析与态势感知系统(CIC)、大数据威胁情报系统(CTI)、主机威胁取证系统(HTD)。目前已拥有十多项基于人工智能的安全技术专利,所服务的客户已超过500个,现网运行的系统已超过3000套,客户遍及公安、军队、金融、运营商、广电、政府、能源、电力、企业和高校等多个行业。
