| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
目录
-
Windows RDP 远程桌面漏洞(CVE-2019-0708、CNVD-2019-14264)
-
Windows NTLM认证漏洞安全预警(CVE-2019-1040)
-
Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
-
Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞(CNVD-C-2019-78549)
-
Apache Axis远程命令执行漏洞(暂无补丁)
-
Oracle WebLogic 远程命令执行漏洞预警(CVE-2019-2725补丁绕过,暂无补丁)
-
某厂商SSLVPN厂商注入漏洞
-
某软件安全漏洞
Windows RDP 远程桌面漏洞(CVE-2019-0708、CNVD-2019-14264)
01漏洞描述
MicrosoftWindows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的组件。
2019年5月14日,微软发布了本月安全更新补丁,其中修复了远程桌面协议(RDP)远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作,存在被不法分子利用进行蠕虫攻击的可能。
02
影响范围
漏洞影响的产品版本包括:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems ServicePack 1
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-BasedSystems Service Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP SP2 x64
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 SP2 x64
03
临时修复建议
1.禁用远程桌面服务。
2.通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP 3389)。
3.启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
04
修复建议
目前,微软官方已发布补丁修复此漏洞,CNVD建议用户立即升级至最新版本:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
[出自:jiwo.org]
Windows NTLM认证漏洞安全预警(CVE-2019-1040)
03
临时修复建议
1.禁用远程桌面服务。
2.通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP 3389)。
3.启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
04
修复建议
目前,微软官方已发布补丁修复此漏洞,CNVD建议用户立即升级至最新版本:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
Windows NTLM认证漏洞安全预警(CVE-2019-1040)
01漏洞描述
2019年6月11日,微软官方在6月的补丁中发布了漏洞CVE-2019-1040的安全补丁。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制Windows域内的任何机器,包括域控服务器,危害较大。XFSEC团队提醒用户和企业采取必要防御应对措施。该漏洞成因在于Microsoft服务器并不验证'msvAvFlag'字段,即服务器允许无MIC的NTLM_AUTHENTICATE消息,这使得不强制执行签名的服务器容易受到中间人攻击,当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时,攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。
02
影响范围
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
03
临时修复建议
1.强制执行SMB签名,开启域中所有服务器的强制SMB执行功能。(在Windows域环境下,默认只有域控服务器开启了强制SMB签名)
2.尽量不使用NTLMv1,因为NTLMv1的安全性较低,可以通过设置GPO来完全禁止。
3.启用所有域控服务器的强制LDAPS Channel Binding功能。(此功能默认不启用。启用后有可能造成兼容性问题)
4.启用所有域控服务器的强制LDAP Signing功能,防止LDAP中的NTLM中继。(此功能默认不启用。启用后有可能造成兼容性问题)
5.开启EPA,防止Web服务器上的NTLM中继,强制所有Web服务器(OWA,ADFS)只接受EPA的请求。
6.开启所有的重要服务器(比如所有Exchange服务器)上相关应用的Channel Binding功能。(如IIS的Channel Binding功能)
7.减少使用NTLM,即使是安全配置和完全修补的NTLM也比Kerberos更不安全。
04
修复建议
微软官方已推出更新补丁,请所有受影响的 Windows 客户端、服务器及时安装更新补丁。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
01漏洞描述
Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。
2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞(CNVD-2019-16798)。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。
02
影响范围
该漏洞的影响版本如下:
Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修复该漏洞。
03
临时修复建议
1.在不影响使用的情况下,仅允许VPN连接后才可访问;
2.在Web服务器(nginx/apache)上限制外网对 /mailsms 路径的访问。
3.建议使用Coremail构建邮件服务器的信息系统运营者立即自查,发现存在漏洞后及时修复。
参考地址:https://www.cnvd.org.cn/webinfo/show/5073
04
修复建议
目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本号1.1.0-alpha build20190524(3813d273)。
如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。
如有疑问,也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。
Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞(CNVD-C-2019-78549)
01漏洞描述
Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。
2019年6月15日,国家信息安全漏洞共享平台(CNVD)收录了由论客科技(广州)有限公司报送的Coremail邮件系统服务未授权访问漏洞和服务接口(API)参数注入漏洞。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷,使得攻击者综合利用上述漏洞,在未授权的情况下远程访问Coremail部分服务接口,通过参数构造注入进行文件操作。
02
影响范围
该漏洞影响的Coremail邮件系统版本如下:
-
Coremail XT 3.0.4至 XT5.0.8A版本受上述两个漏洞影响;
-
XT 5.0.9及以上版本已修复上述两个漏洞。
03
临时修复建议
1.在不影响正常使用的情况下,通过部署VPN服务限制对Coremail服务器的公网访问;
2.在Web服务器(nginx/apache)上限制外网对 /apiws 路径的访问。
建议使用Coremail产品构建邮件服务的信息系统运营者,立即自检,发现存在漏洞及时修复。
04
修复建议
目前,论客公司已发布补丁进行修复:
1.针对CoremailXT3/CM5版本,补丁编号为CMXT3-2019-0001,程序版本号XT3.0.8 dev build 20190610(cb3344cf);
2.针对CoremailXT5,补丁编号为CMXT5-2019-0001,程序版本号XT5.0.9abuild 20190604(696d1518)。
如已安装的程序包的版本号日期早于20190604,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,可通过400-888-2488 或support@coremail.cn联系厂商售后人员提供协助。
Apache Axis远程命令执行漏洞
01漏洞描述
Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的,分布式的计算应用。Axis是在Apache软件基金会主持下制订的。
近日,互联网爆发出Apache Axis远程命令执行漏洞。攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令
02
影响范围
受影响版本:
ApacheAxis <= 1.4
03
修复建议
1.配置URL访问控制策略:
部署于公网的Axis服务器,可通过ACL禁止对
/services/AdminService及/services/FreeMarkerService路径的访问。
2.禁用Axis远程管理功能:
Axis <= 1.4版本默认关闭了远程管理功能,如非必要请勿开启。
若需关闭,则需修改Axis目录下WEB-INF文件夹中的server-config.wsdd文件,将其中"enableRemoteAdmin"的值设置为false。
Oracle WebLogic 远程命令执行漏洞预警(CVE-2019-2725补丁绕过)
01漏洞描述
2019年4月26日,Oracle官方发布了WebLogic wls9-async及wls-wsat组件远程命令执行漏洞的补丁(CVE-2019-2725),https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html,该补丁存在安全缺陷,在低版本JDK的环境中可以被绕过导致任意远程命令执行。由于该漏洞能使攻击者远程执行任意命令,目前官方补丁尚未发布且已有用户受到疑似该漏洞的攻击,建议所有使用Oracle WebLogic的用户尽快主动部署相应防护。
02
临时修复建议
删除wls9_async_response.war、wls_wsat.war及相关文件夹,并重启weblogic服务
禁止_async/*及wls-wsat/*形式的URL路径访问
使用1.7及以上的java版本运行WebLogic(针对目前流传的低版本JDK利用)
某厂商SSLVPN厂商注入漏洞
网络中一直流传着这张图片,没有找到出处,真实性不可考。
某软件安全漏洞
