欢迎关注
腾讯安全威胁情报中心
腾讯安全威胁情报中心推出2023年1月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。腾讯安全近期监测到Oracle官方发布了安全公告,修复了一个存在于WebLogic中的远程代码执行漏洞,漏洞编号为:CVE-2023-21839(CNNVD 编号:CNNVD-202301-1365)。该漏洞允许未经身份验证的攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic 服务器,成功利用漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理。
据描述,由于Weblogic T3/IIOP协议支持远程对象通过bind方法绑定到服务端,并且可以通过lookup方法查看,当远程对象继承自OpaqueReference类,使用lookup方法查看远程对象时,服务端会调用远程对象的getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference类,同时实现了getReferent方法,并且存在retVal = context.lookup(this.remoteJNDIName)实现,故可以通过rmi/ldap远程协议进行远程命令执行。
风险等级:
影响版本:
Oracle WebLogic Server 12.2.1.3.0Oracle WebLogic Server 12.2.1.4.0Oracle WebLogic Server 14.1.1.0.0
修复建议:
如不依赖T3协议进行通信,可通过阻断T3协议和关闭IIOP协议端口防止漏洞攻击,方法如下:进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器,然后在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启WebLogic项目,使配置生效。官方已发布漏洞补丁及修复版本,可以评估业务是否受影响后,酌情升级至安全版本。【备注】:建议您在升级前做好数据备份工作,避免出现意外。https://www.oracle.com/security-alerts/cpujan2023.html腾讯安全近期监测到互联网上某安全研究人员发布了关于禅道项目管理系统的风险公告,漏洞编号为:CNVD-2023-02709。成功利用此漏洞的攻击者,可远程在目标系统上执行任意命令。
禅道项目管理系统(ZenTaoPMS)是一款基于LGPL协议的开源项目管理软件,它集产品管理、项目管理、质量管理、文档管理于一体,同时还包含了事务管理、组织管理等诸多功能。
据描述,该漏洞是由于禅道项目管理系统权限认证存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过权限绕过在服务器执行任意命令。
漏洞状态:
风险等级:
影响版本:
17.4 <= version <= 18.0.beta1(开源版)3.4 <= version <= 4.0.beta1(旗舰版)7.4 <= version <= 8.0.beta1(企业版)
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.zentao.net/book/zentaoprohelp/41.html
三、ZOHO ManageEngine 多个产品远程命令执行漏洞腾讯安全近期监测到ZOHO ManageEngine官方发布了ManageEngine多个产品存在远程命令执行漏洞的风险公告,漏洞编号为:CVE-2022-47966(CNNVD编号:CNNVD-202301-1466)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
ManageEngine是卓豪(ZOHO Corporation)旗下的 IT管理解决方案,企业可以借助ManageEngine工具管理网络基础设施、数据中心、业务系统、IT服务及安全等。
据描述,ManageEngine多个产品使用过时且易受攻击的第三方依赖——Apache Santuario,如果启用或曾经启用过 SAML SSO,那么攻击者可利用该漏洞在未经身份验证的情况下远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
系统需配置基于SAML的SSO,且当前处于启用状态。Active Directory 360 <= 4309ADSelfService Plus <= 6210ServiceDesk Plus <= 14003ServiceDesk Plus MSP <= 1300011017 <=SupportCenter Plus <= 11025Vulnerability Manager Plus <= 10.1.2220.17
系统至少配置过一次基于SAML的SSO,且不管当前是否启用此配置,均受此漏洞影响Access Manager Plus <= 4307Application Control Plus <= 10.1.2220.17Browser Security Plus <= 11.1.2238.5Device Control Plus <= 10.1.2220.17Endpoint Central <= 10.1.2228.10Endpoint Central MSP <= 10.1.2228.10Endpoint DLP <= 10.1.2137.5OS Deployer <= 1.1.2243.0Password Manager Pro <= 12123Patch Manager Plus <= 10.1.2220.17Remote Access Plus <= 10.1.2228.10Remote Monitoring and Management (RMM) <= 10.1.40
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
四、VMware vRealize Log Insight 远程代码执行漏洞概述:
腾讯安全近期监测到Vmware官方发布了关于vRealize Log Insight的风险公告,漏洞编号为:CVE-2022-31704(CNNVD编号:CNNVD-202301-2074)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
VMware vRealize Log Insight是美国威睿(VMware)公司的一套集中式日志管理解决方案,该产品支持日志整理和日志分析等功能。
据描述,vRealize Log Insight 中存在访问控制问题,未经身份验证的远程攻击者可以将代码注入到受影响设备的敏感文件中,从而在目标系统上执行任意代码。
3.0 <= VMware vRealize Log Insight <= 4.88.0.0 <= VMware vRealize Log Insight < 8.10.2
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
P.S. 据了解,该产品虽然较少暴露在公网,但是使用量较多,一旦攻击者获取到访问通路,就可以利用此漏洞,腾讯安全团队建议客户尽量升级。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
五、Adobe Acrobat Reader 任意代码执行漏洞概述:
腾讯安全近期监测到Adobe官方发布了关于Acrobat Reader的风险公告,漏洞编号为:CVE-2023-21608(CNNVD编号:CNNVD-202301-1479)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Adobe Acrobat Reader是美国Adobe公司的一款PDF查看器。该软件用于打印,签名和注释 PDF。
据描述,Adobe Acrobat Reader存在资源管理错误漏洞,该漏洞属于释放后重用漏洞(UAF),通过诱使受害者打开特制的PDF文件,攻击者可以利用此漏洞在系统上执行任意代码。
漏洞状态:
风险等级:
影响版本:
15.008.20082 <= Acrobat DC <= 22.003.20282(Win), 22.003.20281(Mac)
15.008.20082 <= Acrobat Reader DC<= 22.003.20282(Win), 22.003.20281(Mac)
20.001.30005 <= Acrobat 2020<= 20.005.30418
20.001.30005 <= Acrobat Reader 2020<= 20.005.30418修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://helpx.adobe.com/security/products/acrobat/apsb23-01.html
六、Windows Advanced Local Procedure Call (ALPC) 权限提升漏洞2023年1月,微软发布了2023年1月安全更新补丁,共发布了98个漏洞的补丁程序,其中包含11个严重漏洞,87个重要漏洞。本次发布涉及多个软件的安全更新,包括Microsoft Exchange Server、Microsoft Office、Windows等产品,上述漏洞中危害性较高的Windows ALPC权限提升漏洞,漏洞编号为:CVE-2023-21674(CNNVD编号:CNNVD-202301-771)。攻击者可利用该漏洞提升在目标主机中的权限。
高级本地过程调用(ALPC)是用于高速消息传递的进程间通信设施,它是一种仅适用于Windows操作系统组件的内部机制。
据描述,该漏洞是由高级本地过程调用 (ALPC) 组件中的代码缺陷引起的。通过执行特制程序,经过身份验证的攻击者可以利用此漏洞获取完整的系统权限。
Windows Server 2012 R2 (Server Core installation)Windows 8.1 for x64-based systemsWindows 8.1 for 32-bit systemsWindows Server 2016 (Server Core installation)Windows 10 Version 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based SystemsWindows 10 for 32-bit SystemsWindows 10 Version 22H2 for 32-bit SystemsWindows 10 Version 22H2 for ARM64-based SystemsWindows 10 Version 22H2 for x64-based SystemsWindows 11 Version 22H2 for x64-based SystemsWindows 11 Version 22H2 for ARM64-based SystemsWindows 10 Version 21H2 for x64-based SystemsWindows 10 Version 21H2 for ARM64-based SystemsWindows 10 Version 21H2 for 32-bit SystemsWindows 11 version 21H2 for ARM64-based SystemsWindows 11 version 21H2 for x64-based SystemsWindows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 20H2 for x64-based SystemsWindows Server 2022 (Server Core installation)Windows Server 2019 (Server Core installation)Windows 10 Version 1809 for ARM64-based SystemsWindows 10 Version 1809 for x64-based SystemsWindows 10 Version 1809 for 32-bit Systems
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674
七、Microsoft WDAC OLE DB Provider for SQL Server 远程执行代码漏洞概述:
微软发布的2023年1月安全更新补丁漏洞中,危害性较高的还有Microsoft WDAC OLE DB Provider for SQL Server 远程代码执行漏洞,漏洞编号为:CVE-2023-21681(CNNVD编号:CNNVD-202301-784)。攻击者可利用该漏洞在目标主机中远程执行代码。
Microsoft OLE DB Provider for SQL Server是美国微软(Microsoft)公司的一种 API,其功能为允许以统一的方式访问来自各种来源的数据。
据描述,Microsoft OLE DB Provider for SQL Server 代码存在漏洞,通过诱使受害者通过OLEDB连接到恶意的SQL Server,攻击者可以利用此漏洞在系统上执行任意代码。
漏洞状态:
风险等级:
影响版本:
Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2 (Server Core installation)Windows Server 2012 (Server Core installation)Windows Server 2012 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2Windows 8.1 for x64-based systemsWindows 8.1 for x64-based systemsWindows 8.1 for 32-bit systemsWindows 8.1 for 32-bit systemsWindows 7 for x64-based Systems Service Pack 1Windows 7 for x64-based Systems Service Pack 1Windows 7 for 32-bit Systems Service Pack 1Windows 7 for 32-bit Systems Service Pack 1Windows Server 2016 (Server Core installation)Windows 10 Version 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based SystemsWindows 10 for 32-bit SystemsWindows 10 Version 22H2 for 32-bit SystemsWindows 10 Version 22H2 for ARM64-based SystemsWindows 10 Version 22H2 for x64-based SystemsWindows 11 Version 22H2 for x64-based SystemsWindows 11 Version 22H2 for ARM64-based SystemsWindows 10 Version 21H2 for x64-based SystemsWindows 10 Version 21H2 for ARM64-based SystemsWindows 10 Version 21H2 for 32-bit SystemsWindows 11 version 21H2 for ARM64-based SystemsWindows 11 version 21H2 for x64-based SystemsWindows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 20H2 for x64-based SystemsWindows Server 2022 (Server Core installation)Windows Server 2019 (Server Core installation)Windows 10 Version 1809 for ARM64-based SystemsWindows 10 Version 1809 for x64-based SystemsWindows 10 Version 1809 for 32-bit Systems
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21681
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
