腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单
2023-3-16 18:4:13 Author: 腾讯安全威胁情报中心(查看原文) 阅读量:16 收藏

欢迎关注

腾讯安全威胁情报中心

腾讯安全威胁情报中心推出2023年2月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2023年2月份必修安全漏洞清单详情:
一、Microsoft Exchange Server 多个远程代码执行漏洞
概述:

2023年2月,微软发布了2023年2月安全更新补丁,此次共发布了75个漏洞的补丁程序,其中包含9个严重漏洞。本次发布涉及多个软件的安全更新,包括.NET and Visual Studio、.NET Framework、Microsoft Defender for Endpoint、Microsoft Word、Microsoft Dynamics、Microsoft Exchange Server等产品。上述漏洞中危害性较高的是Microsoft Exchange Server 多个远程代码执行漏洞,漏洞编号分别为CVE-2023-21707(CNNVD编号:CNNVD-202302-1103)、CVE-2023-21706(CNNVD编号:CNNVD-202302-1102)、CVE-2023-21529(CNNVD编号:CNNVD-202302-1075)。

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。

据描述,上述漏洞允许经过身份认证的远程攻击者在服务器账户的上下文中执行任意代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8

影响版本:

Exchange Server 2019 Cumulative Update 12
Exchange Server 2019 Cumulative Update 11
Exchange Server 2016 Cumulative Update 23
Exchange Server 2013 Cumulative Update 23

修复建议:

官方已发布漏洞补丁及修复版本,可以评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21707
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21706
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21529
二、Oracle E-Business Suite 远程代码执行漏洞
概述:

腾讯安全近期监测到Oracle官方发布了关于Oracle E-Business Suite的风险公告,漏洞编号为:CVE-2022-21587(CNNVD编号:CNNVD-202210-1279)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

Oracle E-Business Suite是美国甲骨文(Oracle)公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。

据描述,Oracle E-Business Suite 的 Oracle Web Applications Desktop Integrator 12.2.3-12.2.11 版本存在安全漏洞。未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Web Applications Desktop Integrator,成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

12.2.3 <= Oracle E-Business Suite <= 12.2.11

修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.oracle.com/security-alerts/cpuoct2022.html
三、Smartbi 远程命令执行漏洞
概述:

腾讯安全近期监测到Smartbi官方发布安全更新,其中包含Smartbi远程命令执行漏洞,漏洞编号暂无。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

Smartbi是思迈特软件推出的商业智能BI软件,满足BI产品的发展阶段。思迈特软件整合了各行业的数据分析和决策支持的功能需求,满足最终用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等场景的大数据分析需求。

据描述,Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者可利用stub接口构造请求绕过补丁限制,进而控制JDBC URL,最终可导致远程代码执行或信息泄露。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

v7 <= Smartbi <= v10.5.8

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.smartbi.com.cn/patchinfo
四、Apache Kafka Connect 远程代码执行漏洞

概述:

腾讯安全近期监测到Apache官方发布了关于 Apache Kafka 的风险公告,漏洞编号为:CVE-2023-25194(CNNVD编号:CNNVD-202302-515)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。

Apache Kafka是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。

据描述,Apache Kafka Connect 服务在 2.3.0 至 3.3.2 版本中,由于连接时支持使用基于 JNDI 认证的 SASL JAAS 配置,导致配置在攻击者可控的情况下,可能通过 JNDI 注入执行任意代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8
影响版本:

2.3.0 <= Apache Kafka <= 3.3.2

修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/kafka/tags
五、IBM WebSphere Application Server 代码注入漏洞

概述:

腾讯安全近期监测到IBM官方发布了关于WebSphere Application Server的风险公告,漏洞编号为:CVE-2023-23477(CNNVD编号:CNNVD-202302-119)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

IBM WebSphere Application Server(WAS)是美国国际商业机器(IBM)公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。

据描述,由于WebSphere Application Server对用户输入数据的验证存在缺陷,在特定条件下,未经身份验证的远程攻击者通过构造恶意的序列化数据,可实现在目标服务器上任意执行代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

9.0.0.0 <= IBM WebSphere Application Server <= 9.0.5.7

8.5.0.0 <= IBM WebSphere Application Server <= 8.5.5.19

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://www.ibm.com/support/pages/recommended-updates-websphere-application-server
六、F5 BIG-IP 格式化字符串错误漏洞
概述:

腾讯安全近期监测到F5官方发布了关于BIG-IP的风险公告,漏洞编号为:CVE-2023-22374(CNNVD编号:CNNVD-202302-092)。成功利用此漏洞的攻击者,最终可导致进程崩溃或远程执行任意代码。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

据描述,BIG-IP中的iControl SOAP存在格式化字符串漏洞,允许经过身份验证的攻击者通过 BIG-IP 管理端口和/或自身 IP 地址对 iControl SOAP 进行网络访问,从而在 iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或可能执行任意系统命令。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值

利用难度

漏洞评分
9.9
影响版本:

F5 BIG-IP 17.0.0

16.1.2.2 <= F5 BIG-IP <= 16.1.3

15.1.5.1 <= F5 BIG-IP <= 15.1.8

14.1.4.6 <= F5 BIG-IP <= 14.1.5

F5 BIG-IP 13.1.5

修复建议:

官方暂未发布漏洞补丁及修复版本,可通过以下临时防护措施防止遭遇攻击:

在不影响业务的情况下,可根据官方文档设置对BIG-IP系统的管理接口和自身IP地址进行访问限制:

1. 对于自己的 IP 地址:

https://my.f5.com/manage/s/article/K48615077

https://my.f5.com/manage/s/article/K17333

https://my.f5.com/manage/s/article/K31003634

https://my.f5.com/manage/s/article/K51358480

2. 对于管理界面:

https://my.f5.com/manage/s/article/K46122561

https://my.f5.com/manage/s/article/K69354049

3. 对iControl SOAP API 进行访问限制。

若用户不使用iControl SOAP API,则可以通过将iControl SOAP API的允许列表设置为空列表来禁止所有访问,操作如下:

    a. 通过输入以下命令登录到TMOS Shell:
tmsh
    b. 输入以下命令从允许的地址列表中删除所有IP地址或IP地址范围:
modify /sys icontrol-soap allow replace-all-with { }
    c. 通过输入以下命令来保存更改:
save /sys config

【备注】:建议您在升级前做好数据备份工作,避免出现意外

七、ThinkPHP 反序列化漏洞

概述:

腾讯安全近期监测到某安全人员发布了关于ThinkPHP的风险公告,漏洞编号为:CVE-2022-45982(CNNVD编号:CNNVD-202302-618)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。

据描述,ThinkPHP在受影响版本内存在反序列化漏洞,当应用代码中存在将用户输入的数据进行反序列化操作的端点时,如unserialize($input),攻击者可以通过Request->Store->Channel->Url->Pivot 类来构造恶意payload进而执行任意系统命令。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

6.0.0 <= thinkphp <= 6.0.13

6.1.0 <= thinkphp <= 6.1.1

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://github.com/top-think/framework/releases
八、Microsoft Word 远程代码执行漏洞

概述:

微软发布的2023年2月安全更新补丁漏洞中,危害性较高的还有Microsoft Word远程代码执行漏洞,漏洞编号为CVE-2023-21716(CNNVD编号:CNNVD-202302-1110),成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Microsoft Word是美国微软(Microsoft)公司的一套Office套件中的文字处理软件。

据描述, Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,攻击者可以制作包含过多字体表项的RTF文件,并诱导用户打开来利用此漏洞。攻击者可利用多种方式诱导用户下载并打开特制文档,如电子邮件、即时消息等等。用户使用预览窗格也会触发此漏洞。成功利用此漏洞可能在目标系统上以该用户权限执行代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC for Mac 2021

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

九、vBulletin searchprefs phar反序列化代码执行漏洞

概述:

腾讯安全近期监测到vBulletin发布了关于vBulletin的风险公告,漏洞编号为:CVE-2023-25135(CNNVD编号:CNNVD-202302-194)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

vBulletin 是一个强大,灵活并可完全根据自己的需要定制的论坛程序套件。

据描述,vBulletin存在反序列化漏洞,未经身份验证的远程攻击者能够通过精心设计的HTTP请求触发反序列化,从而执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

vbulletin 5.6.7

vbulletin 5.6.8

vbulletin 5.6.9

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4473890-vbulletin-5-6-9-security-patch

十、Fortinet FortiNAC RCE漏洞

概述:

腾讯安全近期监测到Fortinet 发布了关于FortiNAC的风险公告,漏洞编号为:CVE-2022-39952(CNNVD编号:CNNVD-202302-1434)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Fortinet FortiNAC是美国飞塔(Fortinet)公司的一种零信任访问解决方案。

据描述,Fortinet FortiNAC中存在安全漏洞,攻击者可以通过特制的HTTP请求执行未经授权的代码或命令。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

8.3.7 <= FortiNAC <= 8.8.9

9.1.0 <= FortiNAC < 9.1.8

9.2.0<= FortiNAC < 9.2.6

9.4.0<= FortiNAC < 9.4.1

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://fortiguard.com/psirt/FG-IR-22-300

十一、IBM Aspera Faspex 未授权RCE漏洞

概述:

腾讯安全近期监测到IBM发布了关于Aspera Faspex的风险公告,漏洞编号为:CVE-2022-47986(CNNVD编号:CNNVD-202302-1509)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。

据描述,IBM Aspera 4.4.2 Patch Level 1版本及之前版本存在代码问题漏洞,该漏洞源于YAML反序列化缺陷,攻击者可以利用该漏洞在系统上执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Aspera <= 4.4.2 Patch Level 1

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://www.ibm.com/support/pages/node/6952319

十二、GoAnyWhere反序列化RCE漏洞

概述:

腾讯安全近期监测到Fortra 发布了关于GoAnywhere的风险公告,漏洞编号为:CVE-2023-0669CNNVD编号:CNNVD-202302-398)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

GoAnywhere MFT是美国Fortra公司的一款托管文件传输软件。

据描述,GoAnywhere MFT存在安全漏洞,该漏洞源于身份验证不正确,从而导致命令注入,最终可实现在目标服务器上任意执行代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.2

影响版本:

GoAnywhere < 7.1.2

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

https://hstechdocs.helpsystems.com/releasenotes/Content/_ProductPages/GoAnywhere/GAMFT.htm 

漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
讯安全威胁情报中心TIX 是一站式情报服务平台提供情报查询、攻击面管理、API、SDK、本地情报管理系列服务。
长按识别二维码
获取第一手威胁情报

往期企业必修漏洞清单


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247500742&idx=1&sn=c27fa37c70acc7b6a1528802040ca11e&chksm=ec9f1ab5dbe893a3665eaa47485d46620628b6e7f5993366ac9b51a4c35bb74aa954ce8df0c0#rd
如有侵权请联系:admin#unsafe.sh