腾讯安全威胁情报中心推出2022年10月必修安全漏洞清单
2022-11-17 19:26:6 Author: 腾讯安全威胁情报中心(查看原文) 阅读量:32 收藏

欢迎关注

腾讯安全威胁情报中心

腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2022年10月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列为必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2022年10月份必修安全漏洞清单详情:
一、Exchange ProxyNotShell远程代码执行漏洞
概述:

2022年10月,微软发布了2022年10月的例行安全更新公告,共涉及漏洞数86 个,其中严重级别漏洞13个。本次发布涉及 Microsoft Windows、Windows Offices、及 Visual Studio、Microsoft Edge、Microsoft Exchange等多个软件的安全更新。其中有两个关注度较高的Microsoft Exchange漏洞,漏洞编号为:CVE-2022-41040 & CVE-2022-41082,前者是服务器端请求伪造 (SSRF) 漏洞,而后者允许在攻击者可以访问 PowerShell 时远程执行代码 (RCE)。攻击者通过对这两个漏洞组合利用,可对Exchange Server进行远程代码执行攻击。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2019 Cumulative Update 12

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080#securityUpdates

二、Apache Commons Text远程代码执行漏洞 
概述:

腾讯安全近期监测到Apache Commons Text team官方发布了Apache Commons Text组件的风险公告,漏洞编号为:CVE-2022-42889,可导致远程执行任意代码等危害。

Apache Commons Text 是一个低级库,用于执行各种文本操作,例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。

据描述,当使用Apache Commons Text中的字符串替换功能时,一些可用的插值器可以触发网络访问或代码执行。如果应用程序在传递给替换的字符串中包含用户输入而未对其进行适当清理,则攻击者将允许攻击者触发这些插值器。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

1.5.0 ≤ Apache Commons Text < 1.10.0

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://commons.apache.org/proper/commons-text/security.html

三、Dubbo hessian-lite反序列化漏洞 
概述:

腾讯安全近期监测到Apache官方发布了Apache Dubbo的风险公告,漏洞编号为:CVE-2022-39198,可导致远程执行任意代码等危害。

Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。

据描述,由于其中集成模块Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Dubbo hessian-lite < 3.2.13

由于Dubbo中默认集成此模块,所以Dubbo也受影响,影响版本如下:

2.7.0 ≤ Apache Dubbo ≤ 2.7.17

3.0.0 ≤ Apache Dubbo ≤ 3.0.11

Apache Dubbo = 3.1.0

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://github.com/apache/dubbo/releases

https://github.com/apache/dubbo-hessian-lite/releases

四、Apache Commons  JXPath表达式解析漏洞

概述:

腾讯安全近期监测到有安全研究人员发布了Apache Commons Jxpath组件的风险公告,漏洞编号为:CVE-2022-41852,可导致远程执行任意代码等危害。

Apache Commons Jxpath 是一个java库,是Xpath基于java语言的一种实现。

据描述,使用 JXPath 来解释不受信任的 XPath 表达式可能容易受到远程代码执行攻击,攻击者可以使用 XPath 表达式从类路径加载任何 Java 类,从而导致代码执行。

漏洞状态:
类别
状态
安全补丁
未公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面

攻击者价值
利用难度
漏洞评分
9.8
影响版本:

Apache Commons Jxpath ≤ 1.3

修复建议:

该组件维护由开源社区驱动,目前正在积极讨论修复方案,安全补丁暂未完成。

方案讨论区:https://github.com/apache/commons-jxpath/pull/26

可暂时采取以下措施缓解此漏洞影响:

1、严格过滤 xpath 规则输入,非必要不设为外部可控输入

2、使用其他相似组件替代

五、Vmware vCenter Server PSC反序列化漏洞 

概述:

腾讯安全近期监测到Vmware官方发布了Vmware vCenter Server的风险公告,漏洞编号为:CVE-2022-31680,可导致远程执行任意代码等危害。

VMware vCenter 是一种高级服务器管理软件,它提供了一个集中式平台来控制 vSphere 环境以实现跨混合云的可见性。

据描述,vCenter Server 在 PSC(平台服务控制器)中包含一个不安全的反序列化漏洞。在 vCenter Server 上具有管理员访问权限的恶意行为者可能会利用此问题在托管 vCenter Server 的底层操作系统上执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.1

影响版本:

VMware vCenter Server 6.5:a

VMware vCenter Server 6.5:b

VMware vCenter Server 6.5:c

VMware vCenter Server 6.5:d

VMware vCenter Server 6.5:update1

VMware vCenter Server 6.5:update1b

VMware vCenter Server 6.5:update1c

VMware vCenter Server 6.5:update1d

VMware vCenter Server 6.5:update1e

VMware vCenter Server 6.5:update1g

VMware vCenter Server 6.5:update2

VMware vCenter Server 6.5:update2b

VMware vCenter Server 6.5:update2c

VMware vCenter Server 6.5:update2d

VMware vCenter Server 6.5:update2e

VMware vCenter Server 6.5:update2g

VMware vCenter Server 6.5:update3

VMware vCenter Server 6.5:update3d

VMware vCenter Server 6.5:update3f

VMware vCenter Server 6.5:update3k

VMware vCenter Server 6.5:update3n

VMware vCenter Server 6.5:update3p

VMware vCenter Server 6.5:update3q

VMware vCenter Server 6.5:update3r

VMware vCenter Server 6.5:update3s

VMware vCenter Server 6.5:update3t

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://www.vmware.com/security/advisories/VMSA-2022-0025.html

六、Apache Linkis 反序列化漏洞 
概述:

腾讯安全近期监测到Apache官方发布了Apache Linkis 的风险公告,漏洞编号为:CVE-2022-39944,可导致远程执行任意代码等危害。

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。

据描述,当 Apache Linkis和MySQL Connector/J一起使用,且对数据库具有写入权限时,可以使用MySQL数据源和恶意参数配置JDBC EC导致反序列化漏洞,可能导致远程代码执行。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值

利用难度
漏洞评分
8.8
影响版本:
Apache Linkis <= 1.2.0
修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://github.com/apache/incubator-linkis/releases/tag/1.3.0

通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team

腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。

往期企业必修漏洞清单


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247500668&idx=1&sn=2aa462502ebb29059cf6f2f7e3698d02&chksm=ec9f1a0fdbe89319c61e01bc3bdd5dc8e19bdcc03c1fe8a4c406b1edc950748399c9ffcc4643#rd
如有侵权请联系:admin#unsafe.sh