腾讯安全近期监测到Citrix官方发布了关于NetScaler ADC 和 NetScaler Gateway的风险公告,漏洞编号为TVD-2023-21450 (CVE编号:CVE-2023-4966,CNNVD编号: CNNVD-202310-666)。成功利用此漏洞的攻击者,可以绕过身份验证,获取敏感信息(如用户cookie),进而远程控制内网设备。
Citrix NetScaler ADC 和 NetScaler Gateway 是美国思杰(Citrix)公司的产品。Citrix Gateway 是一套安全的远程接入解决方案,可以提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix ADC 是一个全面的应用程序交付和负载均衡解决方案,用于实现应用程序的安全性、整体可见性和可用性。
据描述,这个漏洞源于 NetScaler ADC 和 NetScaler Gateway 存在的缓冲区泄露缺陷。在 Citrix 设备被配置为网关(例如 VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理)或 AAA 虚拟服务器的情况下,攻击者可以通过访问 /oauth/idp/.well-known/openid-configuration 路由,并通过Host 字段发送大量数据,从而泄露缓冲区信息。这些信息可能包含与会话 cookie 相关的信息,攻击者可以利用这些信息绕过身份验证。
P.S. 此漏洞危害极大,泄漏cookie后,攻击者可以直接控制内网设备,建议优先修复。
风险等级:
影响版本:
13.1 <= NetScaler ADC and NetScaler Gateway < 13.1-49.15
13.0 <= NetScaler ADC and NetScaler Gateway < 13.0-92.19
13.1 <= NetScaler ADC FIPS < 13.1-37.164
12.1 <= NetScaler ADC FIPS < 12.1-55.300
12.1 <= NetScaler ADC NDcPP < 12.1-55.300
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
注意:NetScaler ADC 和 NetScaler Gateway 版本 12.1 现已停产 (EOL)。建议客户将其设备升级到可解决漏洞的受支持版本之一。
如果无法确定是否已被利用(即使在安装安全更新后,被劫持的会话仍然存在),在不影响业务的前提下也可使用以下命令终止所有活动和持久会话:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
注意:未配置为网关(VPN 虚拟服务器、ICA 代理、CVPN 或 RDP 代理)或 AAA 虚拟服务器的 NetScaler ADC 和NetScaler Gateway设备以及 NetScaler应用程序交付管理(ADM)、Citrix SD-WAN等产品不受此漏洞影响。
漏洞利用可能性变化趋势:
- 10.31号,漏洞EXP公开,开始出现在野攻击
腾讯安全近期监测到iDocView在线文档预览系统存在远程代码执行漏洞,漏洞编号为TVD-2023-25262。成功利用此漏洞的攻击者,可以上传恶意文件,远程执行任意代码。
iDocView 是一款全面的在线文档管理和预览解决应用,用户可以方便的来查看和管理各种类型的文件。这款应用程序支持在线预览文档、压缩文件、图片,以及音视频播放。此外,iDocView 还提供了协作编辑和同步展示的功能,使得团队成员可以在同一平台上共享和编辑文档,从而提高工作效率。
据描述,当文件后缀为 html、htm、asp、aspx、php 或 net 时,iDocView将解析其中存在的 link、href、src,并将其保存到 filesToGrab 中。随后iDocView 会遍历 filesToGrab 中的链接,并通过 getWebPage 功能下载链接中的文件。由于 jsp 后缀的文件并未被列入黑名单,攻击者可以利用目录穿越的方式,将恶意的 jsp 文件下载到 iDocView 的根目录,从而实现远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
iDocView < 13.10.1_20231115
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.idocv.com/about.html
- 官方已在新版本中废弃了受影响的接口。如果您不需要使用该功能,可以考虑拦截针对该API的访问请求。
腾讯安全近期监测到Apache 官方发布了关于ActiveMQ的风险公告,漏洞编号为TVD-2022-30048 (CVE编号:CVE-2022-41678,CNNVD编号: CNNVD-202311-2165)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
ActiveMQ是一个开源的、跨语言的消息中间件,它实现了JMS(Java消息服务)规范,支持多种协议和编程语言,包括Java、C、C++、Python、Ruby等。ActiveMQ提供了可靠的、高性能的消息传递机制,支持点对点和发布-订阅模式,可以实现异步通信、解耦、负载均衡等功能,广泛应用于企业级应用系统中。Jolokia是一个用于访问和管理Java应用程序的远程JMX代理,默认集成在ActiveMQ web控制台的8161端口。
在 Apache ActiveMQ 的配置中,org.jolokia.http.AgentServlet 负责处理对 /api/jolokia 的请求。在这种配置下,经过身份验证的攻击者可以通过向 Jolokia 服务发送特制的 HTTP 请求,从而写入恶意文件,实现远程代码执行。
漏洞状态:
风险等级:
影响版本:
5.17.0 <= Apache ActiveMQ < 5.17.4
Apache ActiveMQ < 5.16.6
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://activemq.apache.org/
- 在网络边界上增加监控和过滤措施,以识别和阻止可能利用这个漏洞的恶意流量。
概述:
腾讯安全近期监测到溢信科技IP-guard WebServer存在远程命令执行漏洞,漏洞编号为TVD-2023-24098。攻击者可利用该漏洞执行任意命令,获取服务器控制权限。
IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。IP-guard WebServer支持基于B/S的管理方式,可以通过部署WEB服务器,在任何机器上使用浏览器登录服务器,实现控制台相关管理操作,如查看日志、报表、进行各项审批等。
据描述, IP-guard WebServer的文件预览功能使用了开源插件flexpaper,而使用的flexpaper版本存在远程命令执行漏洞, /ipg/static/appr/lib/flexpaper/php/view.php中的page参数没有对传入的内容进行过滤和限制,攻击者可以使用管道符拼接恶意命令,远程执行任意代码。
IP-guard WebServer < 4.81.0307.0
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://www.ip-guard.net/
- 在确认不影响业务的情况下,可以直接删除存在漏洞的文件(删除前注意备份)。
概述:
腾讯安全近期监测到Splunk 官方发布了关于Splunk的风险公告,漏洞编号为TVD-2023-24985 (CVE编号:CVE-2023-46214,CNNVD编号: CNNVD-202311-1496)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Splunk Enterprise 是一款强大的数据平台,它可以收集、索引和关联实时数据,生成图形、报告和警告。这款产品广泛应用于 IT 运维、安全性和合规性、应用交付等领域。Splunk Enterprise 支持从各种数据源分析数据,并且用户界面易于导航。
据描述,该漏洞源于Splunk没有安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者可以通过上传恶意XSLT的方式,在 Splunk Enterprise 实例上执行远程代码。
漏洞状态:
风险等级:
影响版本:
9.1.0 <= Splunk Enterprise < 9.1.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://advisory.splunk.com/advisories/SVD-2023-1104
[settings]
enableSearchJobXslt = false
概述:
腾讯安全近期监测到CrushFTP官方发布了关于CrushFTP的风险公告,漏洞编号为TVD-2023-25070 (CVE编号:CVE-2023-43177,CNNVD编号: CNNVD-202311-1602)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
CrushFTP 是一款支持 FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV 和 WebDAV SSL 等协议的跨平台 FTP 服务器软件,它支持安全的文件传输协议,如SFTP、SCP和ZipStreaming。CrushFTP提供了基于Web的管理界面,可以从任何地方使用任何设备进行管理和监控。
据描述,该漏洞源于CrushFTP存在代码缺陷,通过利用AS2头的解析逻辑,攻击者可以获得对用户信息Java属性的部分控制,并利用此Properties对象在主机系统上读取sessions.obj中的会话从而获得管理员权限,最终执行远程代码。
漏洞状态:
风险等级:
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.crushftp.com/download.html
- 限制CrushFTP的系统用户权限。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。