腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单
2024-10-16 22:44:0 Author: mp.weixin.qq.com(查看原文) 阅读量:18 收藏

所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。

腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 

腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年9月份必修安全漏洞清单

一、GitLab SAML身份绕过漏洞(TVD-2024-25647)
二、GitLab 身份绕过漏洞(CVE-2024-6678)
三、cups-browsed 远程代码执行漏洞(CVE-2024-47177)
四、Ivanti Endpoint Manager 反序列化远程代码执行漏洞(CVE-2024-29847)
五、Ivanti Cloud Services Appliance 路径穿越漏洞(CVE-2024-8963)
六、Ivanti Cloud Services Appliance 命令注入漏洞(CVE-2024-8190)
七、Apache OFBiz 远程代码执行漏洞(CVE-2024-45195)
八、Apache OFBiz SSRF到远程代码执行漏洞(CVE-2024-45507)
九、Zimbra Collaboration Server 命令执行漏洞(CVE-2024-45519)
十、Microsoft SharePoint 反序列化远程代码执行漏洞(CVE-2024-38018)
十一、ColdFusion 反序列化远程代码执行漏洞(CVE-2024-41874)

漏洞介绍及修复建议详见后文

一、GitLab SAML身份认证绕过漏洞
概述:

腾讯安全近期监测到GitLab官方发布了关于GitLab的风险公告,漏洞编号:TVD-2024-25647。成功利用此漏洞的攻击者,最终可绕过权限验证直接登录GitLab。

GitLab 是一个强大的开源代码协作和版本控制平台,它提供了一个简单易用的界面,让开发者能够高效地管理项目、跟踪代码变更、协作开发以及自动化部署。GitLab 支持多人同时在线编辑,提供代码审查功能以确保代码质量,同时内置了持续集成/持续部署(CI/CD)流程,帮助团队快速迭代和发布软件。此外,GitLab 还具备强大的安全性和权限管理机制,确保代码的安全性和合规性。无论是小型团队还是大型企业,GitLab 都能满足其敏捷开发和高效协作的需求。

据描述,该漏洞源于GitLab使用了Ruby SAML组件(Ruby SAML是SAML-Toolkits组织开源的一个 SAML授权客户端的实现), Ruby SAML存在数据伪造漏洞(CVE-2024-45409),攻击者可以通过发送特制的请求绕过SAML身份验证,以任意用户身份登录GitLab。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

GitLab < 16.11.10
17.0.0 <= GitLab CE/EE < 17.0.8
17.1.0 <= GitLab CE/EE < 17.1.8
17.2.0 <= GitLab CE/EE < 17.2.7

17.3.0 <= GitLab CE/EE < 17.3.3

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://about.gitlab.com/update/
补丁详情:

https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

2. 临时缓解方案:

- 为GitLab 自管理实例上的所有用户帐户启用GitLab双因素身份验证并不勾选SAML双因素绕过选项。

二、GitLab身份认证绕过漏洞
概述:

腾讯安全近期监测到GitLab官方发布了关于GitLab的风险公告,漏洞编号:TVD-2024-24849 (CVE编号:CVE-2024-6678,CNNVD编号:CNNVD-202409-1044)。成功利用此漏洞的攻击者,可以在某些情况下以其他用户的身份触发pipeline。

据描述,该漏洞源于GitLab存在代码缺陷,攻击者可以通过发送特制请求以任意用户身份触发GitLab的CI/CD管道,从而导致权限提升或执行恶意操作。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8

影响版本:

8.14.0 <= GitLab CE/EE < 17.1.7
17.2.0 <= GitLab CE/EE < 17.2.5

17.3.0 <= GitLab CE/EE < 17.3.2

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://about.gitlab.com/update/
补丁详情:

https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

三、cups-browsed 远程代码执行漏洞
概述:

腾讯安全近期监测到关于cups-browsed的风险公告,漏洞编号为TVD-2024-26105 (CVE编号:CVE-2024-47177,CNNVD编号:CNNVD-202409-2315)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

CUPS(Common UNIX Printing System)是一个开源的打印系统,默认集成在Linux和其他类UNIX操作系统中。CUPS使用IPP协议(Internet Printing Protocol)来实现本地和网络打印机的打印功能;cups-browsed是一个开源的打印服务组件,是CUPS的一部分。cups-browsed负责在本地网络上自动发现和添加打印机,使用mDNS(多播DNS)或DNS-SD(DNS服务发现)协议来侦测网络上的打印设备。

据描述,该漏洞源于cups-browsed默认绑定到INADDR_ANY(0.0.0.0)的631端口,导致它信任任何来源的任何数据包,攻击者可以通过发送特制请求,在受害者机器上添加包含恶意载荷的打印机,并通过诱导受害者使用该打印机进行打印操作,从而触发远程命令执行。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.0

影响版本:

cups-browsed <= 2.0.1

修复建议:

1. 官方官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,后续评估业务是否受影响后,酌情升级至安全版本。

https://github.com/OpenPrinting/cups-browsed/releases

2. 临时缓解方案:
使用以下命令来检查是否在运行 cups-browsed
sudo systemctl status cups-browsed
如显示“Active: inactive (dead)”则不受影响。
如结果为“running”或者“enabled”,且在配置文件/etc/cups/cups-browsed.conf 的“BrowseRemoteProtocols”指令中包含“cups”值,则代表系统存在安全漏洞。如无需要,可禁用cups-browsed服务:
sudo systemctl stop cups-browsedsudo systemctl disable cups-browsed
四、Ivanti Endpoint Manager 反序列化远程代码执行漏洞

概述:

腾讯安全近期监测到Ivanti官方发布了关于Ivanti Endpoint Manager的风险公告,漏洞编号为TVD-2024-24854 (CVE编号:CVE-2024-29847,CNNVD编号:CNNVD-202409-967)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。

Ivanti Endpoint Manager 是一款全面的企业级端点管理解决方案,旨在帮助组织轻松管理各种计算设备,包括桌面电脑、笔记本电脑、平板电脑和智能手机。通过集中化的控制台,IT 管理员可以迅速部署软件更新、执行安全策略、监控设备状态以及执行远程操作。Ivanti Endpoint Manager 提供了自动化工具来简化日常任务,减少了手动干预的需求,从而提高了工作效率并降低了运营成本。此外,其强大的报告和分析功能使管理员能够洞察设备使用情况和性能指标,以便更好地优化资源配置和提升用户体验。

据描述,该漏洞源于Ivanti Endpoint Manager使用了.NET Remoting框架的TCPChannel组件,该组件的TypeFilter默认设置为Low,攻击者可以通过发送特制的请求触发反序列化漏洞,最终远程执行任意代码。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8
影响版本:
Ivanti Endpoint Manager < 2022
Ivanti Endpoint Manager 2022 <= 2022 SU5

Ivanti Endpoint Manager 2024 < 2024 SU1

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022?language=en_US

2. 临时缓解方案
如无必要,避免将Ivanti Endpoint Manager开放至公网。
五、Ivanti Cloud Services Appliance 路径穿越漏洞

概述:

腾讯安全近期监测到Ivanti官方发布了关于Ivanti Cloud Services Appliance的风险公告,漏洞编号为TVD-2024-25675 (CVE编号:CVE-2024-8963,CNNVD编号:CNNVD-202409-1857),未经身份验证的远程攻击者可以利用该漏洞访问受限功能。

Ivanti Cloud Services Appliance是一款高效、全面的IT管理解决方案,旨在简化云环境中的应用程序部署、更新和安全管理。通过集成自动化工具和智能分析功能,该设备能够快速响应业务需求,优化资源利用,并确保系统安全性和合规性。其用户友好的界面和强大的性能使得企业能够轻松管理复杂的云环境,提升运营效率,并推动数字化转型进程。

据描述,该漏洞源于Ivanti Cloud Services Appliance存在代码缺陷,未授权的攻击者可以通过发送特制的请求绕过管理员权限校验,访问受限功能点。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.1

影响版本:

Ivanti Cloud Services Appliance < 4.6 Patch 519

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963?language=en_US

六、Ivanti Cloud Service Appliance 命令注入漏洞

概述:

腾讯安全近期监测到Ivanti官方发布了关于Ivanti Cloud Services Appliance的风险公告,漏洞编号为TVD-2024-24715 (CVE编号:CVE-2024-8190,CNNVD编号:CNNVD-202409-825),成功利用此漏洞的攻击者,最终可远程执行任意代码。

据描述,该漏洞源于Ivanti Cloud Services Appliance存在代码缺陷,具有管理员权限的攻击者可以通过发送特制的请求远程执行任意代码;攻击者可以利用CVE-2024-8963路径遍历漏洞绕过管理员权限校验,配合该漏洞实现未授权远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.5
影响版本:

Ivanti Cloud Services Appliance < 4.6 Patch 519

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190?language=en_US

七、Apache OFBiz 远程代码执行漏洞

概述:

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为 TVD-2024-24115 (CVE编号:CVE-2024-45195,CNNVD编号:CNNVD-202409-182)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

Apache OFBiz是一个开源的电子商务平台,它提供了一套完整的业务流程管理(BPM)和企业资源规划(ERP)解决方案。该平台旨在帮助企业自动化业务流程、管理资源、优化供应链,并提供高效的客户关系管理工具。OFBiz具有高度的可定制性和扩展性,支持多种业务模式和行业需求,是帮助企业实现数字化转型和提升竞争力的强大工具。

据描述,该漏洞产生于OFBiz框架中的权限验证不足,攻击者能够通过发送精心构造的请求来绕过身份验证,进而访问viewdatafile接口,通过该接口功能写入恶意文件,最终远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.5

影响版本:

Apache OFBiz < 18.12.16

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://ofbiz.apache.org/download.html

八、Apache OFBiz SSRF到远程代码执行漏洞

概述:

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2024-24117 (CVE编号:CVE-2024-45507,CNNVD编号:CNNVD-202409-182)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

据描述,该漏洞源于Apache OFBiz在处理Groovy加载文件时,未对用户提交的数据进行过滤,攻击者可以通过发送特制请求使OFBiz远程加载恶意xml文件并执行文件中的Groovy脚本,最终远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Apache OFBiz < 18.12.16

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://ofbiz.apache.org/download.html

九、Zimbra Collaboration Server 命令执行漏洞

概述:

腾讯安全近期监测到Zimbra官方发布了关于Zimbra Collaboration Server的风险公告,漏洞编号为 TVD-2024-26581 (CVE编号:CVE-2024-45519,CNNVD编号:CNNVD-202410-198)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

Zimbra Collaboration Server是一款开源的企业级邮件和协作解决方案,它集成了电子邮件、即时消息、日历、联系人管理和文档共享等功能。该服务器旨在提升团队协作效率,简化通信流程,并提供强大的安全性和可扩展性。Zimbra以其直观的用户界面和丰富的定制选项,成为企业实现高效沟通和协作的理想选择。

当Zimbra Collaboration Server启用postjournal 服务时,由于传递给popen()的参数未经过滤,未经身份验证的威胁者可通过发送恶意请求在目标系统中执行命令,从而获取服务器权限。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Zimbra Collaboration (ZCS) < 8.8.15 Patch 46
9.0.0 <= Zimbra Collaboration (ZCS) < 9.0.0 Patch 41
10.0.0 <= Zimbra Collaboration (ZCS) < 10.0.9

10.1.0 <= Zimbra Collaboration (ZCS) < 10.1.1

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://wiki.zimbra.com/wiki/Security_Center

2. 临时缓解方案:

- 如无必要,请禁用postjournal服务

十、Microsoft SharePoint 反序列化远程代码执行漏洞

概述:

腾讯安全近期监测到Microsoft官方发布了关于SharePoint的风险公告,漏洞编号为 TVD-2024-24625 (CVE编号:CVE-2024-38018,CNNVD编号:CNNVD-202409-779)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

Microsoft SharePoint是一款由微软开发的协作和文档管理平台,它集成了项目管理、知识共享、业务流程自动化以及社交网络功能。SharePoint为企业提供了一个集中的环境,便于员工创建、管理和共享内容,同时支持自定义工作流和应用程序开发。其强大的搜索功能和灵活的权限设置确保了信息的安全性和易访问性,是企业和组织提升工作效率和促进团队协作的有力工具。

据描述,该漏洞源于SharePoint存在代码缺陷,经过身份验证的攻击者可以通过发送特制的请求触发反序列化漏洞,最终远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
8.8

影响版本:

Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38018

十一、ColdFusion 反序列化远程代码执行漏洞

概述:

腾讯安全近期监测到Adobe官方发布了关于ColdFusion的风险公告,漏洞编号为 TVD-2024-25045 (CVE编号:CVE-2024-41874,CNNVD编号:CNNVD-202409-1150)。成功利用此漏洞的攻击者,最终可远程执行任意代码。

ColdFusion 是一款由 Adobe 公司开发的商业快速 Web 应用开发平台,它简化了 Web 应用的创建过程。通过其独特的标签式语法和内置的数据库集成,开发者能够快速构建动态网站和应用程序。ColdFusion 支持多种数据库,并具备强大的数据处理和事务管理能力,同时提供了丰富的功能如表单处理、文件上传和邮件发送等。

据描述,该漏洞源于Adobe ColdFusion存在代码缺陷,攻击者可以通过发送特制的请求触发反序列化漏洞,最终远程执行任意代码。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

Adobe ColdFusion 2021 <= Update 15

Adobe ColdFusion 2023 <= Update 9

修复建议:

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html

* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。

漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team

腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。

往期企业必修漏洞清单


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNTI4NjU1Mw==&mid=2247485003&idx=1&sn=5ccde4dc82fa09bd366a7f2de01ff1bb&chksm=c2b1043df5c68d2b005f4b5523973459c8717c99e881f1551c3c3d6686df0cd277c4cd62e81d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh