离除夕只有一天了。共和国的网络安全战士还在坚守岗位认真挖坑吗?
2018年又是漏洞百出的一年,各种规模的漏洞数不胜数。从常见的应用、开发框架、底层组件,到操作系统、网络设备、虚拟化产品,各种漏洞纷纷爆发。
面对充满挑战的2019年,似乎更需要从过去一年的查漏中吸取教训,屋客频率截取了《2018长亭安全漏洞观察年度报告》中具有代表性的漏洞进行审核。
两台思科网络设备的远程代码执行漏洞
Cisco ASA防火墙webvpn远程代码执行漏洞
2018年1月29日,思科正式发布安全公告,修复了ASA系列防火墙中的一个远程代码执行漏洞(CVE-2018-0101)。英国安全公司NCC集团的安全研究员塞德里克哈尔布隆报告了该漏洞。
CVE-2018-0101是双重自由漏洞。当ASA设备启用webvpn功能时,未经身份验证的攻击者可以通过发送恶意的XML数据包在受影响的目标设备上执行恶意代码。
思科智能安装远程代码执行漏洞
2018年3月28日,思科再次正式发布安全公告,修复了Smart Install远程代码执行漏洞(CVE- 2018-0171)。该漏洞是由安全公司Embedi的研究人员在2017年通过极客网络破解竞赛提交给制造商的。
智能安装是思科网络设备中用于实现即插即用配置和映像管理的协议,通常在TCP端口4786上进行监控。思科IOS软件在处理该协议时存在缓冲区溢出漏洞。攻击者可以在未经身份验证的情况下构造格式错误的数据包,从而在未修复的设备上实现远程代码执行。
Ghostscript多个沙盒绕过漏洞
Ghostscript是PostScript和PDF的解析器,被很多图像处理库使用,比如ImageMagick、Python PIL等。默认情况下,这些图像处理库会根据图像的内容将图像分发到不同的处理方法,包括Ghostscript。
Ghostscript作为各种常见图像处理库的底层组件,一旦出现安全问题,势必会造成灾难性的危害。例如,攻击者仅通过上传恶意图片,就可以在依赖Ghostscript进行图像处理的网站服务器上执行任意代码。
其实早在2016年,ImageMagick就有一个命令执行漏洞(CVE-2016-3714),导致国内很多厂商和开源程序,很多厂商损失严重。
2018年,Ghostscript的反复沙盒绕过了安全问题,也影响了Image- Magick等各种上层组件,令人头疼。对于企业来说,最好的办法就是提前加固,卸载Ghostscript,不影响业务。
WebLogic多个远程代码执行漏洞
WebLogic是Oracle Corporation生产的基于JavaEE架构的中间件服务器,用于开发、集成、部署和管理大规模分布式Web应用、网络应用和数据库应用。WebLogic支持很多通信协议,包括HTTP和T3,它们都共享同一个端口(默认监听端口为7001)。T3协议基于Java序列化机制传输对象,Web- Logic使用黑名单过滤反序列化的类。
2018年,WebLogic暴露了许多反序列化漏洞。攻击者利用黑名单外的类构造恶意序列化对象,通过T3协议发送到服务器。反序列化和解析时,服务器将执行攻击者指定的恶意代码。
WebLogic T3协议利用的反序列化漏洞可以通过禁用T3协议来统一解决。然而,除了反序列化漏洞之外,更令人惊讶的是,WebLogic中存在任意文件上传漏洞(CVE-2018-2894)。攻击者可以直接访问WebLogic Web service测试客户端的配置页面,在未经授权的情况下上传恶意JSP脚本文件,从而导致恶意代码执行。由于HTTP Web服务中存在文件上传漏洞,仅仅通过禁用T3协议是无法工作的。
00-1010 2018年11月9日,VMware正式发布安全公告,修复一系列高风险漏洞(CVE-2018-6981,CVE-2018-6982)。这次修复的漏洞主要包括两个虚拟机逃逸漏洞,不仅影响VMware ESXi,还影响VMware Workstation和VMware Fusion。
VMware ESXi是由VMware开发的企业级1级虚拟机管理程序,用于部署和服务虚拟机。它也是直接与硬件交换的一层VMware企业私有云服务。该平台使用VMware自己开发的VMware内核来构建更快、更安全的虚拟化环境。
该漏洞是由vmxnet3虚拟网络适配器中的VMware ESXi、Fusion和Workstation未初始化的堆栈内存使用造成的,这可能会导致来宾在主机上执行代码。这将出现在启用了vmxnet3网卡的虚拟机上。
问题,未使用则不受此漏洞影响。BleedingBit蓝牙芯片远程代码执行漏洞
2018年11月2日,来自Armis的安全研究人员发布文章,指出他们在由德州仪器(TI)生产的 BLE(Bluetooth Low Energy)芯片中,发现了两个远程代码执行漏洞(CVE-2018-16986、 CVE-2018-7080)。
由于漏洞大量影响各种无线接入点(Cisco、Meraki、Aruba产品)、物联网设备 (包括一些医学设备如胰岛素泵、心脏起搏器等),安全研究员给这两个漏洞命名为 “BleedingBit”。
BleedingBit漏洞(CVE-2018-16986)
它的影响范围较广,使用TI芯片且支持BLE的设备都可能会受到影 响。攻击者在有漏洞的目标设备附近区域,首先发送大量看起来正常,但却包含攻击者代码的BLE广播消息,这些消息内容会被存储到目标设备的BLE芯片内存中,然后再发送溢出数据包,这些数据包头部一个特定位被 设定为On,导致芯片从数据包中分配的信息比实际需要的空间大得多而溢出,最终在目标设备上执行攻击者之前通过广播消息包含的恶意代码。
BleedingBit漏洞(CVE-2018-7080)
此漏洞是由于TI芯片的OAD(Over the Air firmware Download) 功能,它被设计用于固件更新。OAD功能通常被用作开发工具,默认情况下,OAD不会自动配置为处理固件更新问题,但是某些产品仍然在生产环境中使用它。由于缺乏安全机制,攻击者可以通过向设备安装任意固件程序来执行恶意代码。同样,此漏洞的利用需要攻击者位于目标设备附近区域。
Kubernetes权限提升漏洞
12月3日,Red Hat官方发布安全通告,指出Kubernetes(K8s)存在一个严重的权限提升漏洞(CVE-2018-1002105),所有基于Kubernetes的服务和产品都会受到此漏洞影响。
Kubernetes(常简称为K8s)是用于自动部署、扩展和管理容器化应用程序的开源 系统。它旨在提供“跨主机集群的自动部署、扩展以及运行应用程序容器的平台”。它支持 一系列容器工具,包括Docker等。
这个漏洞造成的危害包括:
1、任何能够通过Kubernetes API server与后端服务器建立连接的用户,可以在保持连接不断开的基础上,进一步利用Kubernetes API server已经授权的TLS凭证,发送被授权的任意请求,从而造成权限提升甚至更大的危害。攻击者只 要保证该聚合API服务器在Kubernetes API server的网络中 被允许即可。而在默认情况下,所有的用户都可以在没有限 制的情况下完成以上攻击。
2、任何拥有pod exec/attach/portforward权限的彩色的美女,可以获得运行在当前pod中任意计算节点的集群 管理员权限,从而能够访问所有隐私数据,在这些pod中执行命令等。
ThinkPHP5远程代码执行漏洞
ThinkPHP是一个快速、兼容而且简单的轻量级PHP开发框架,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷Web应用开发和简化企业应用开发而诞生的。
12月10日,ThinkPHP官方发布了安全更新,修复了存在于ThinkPHP5框架中的一 个高危漏洞。由于ThinkPHP5框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者仅仅通过一个HTTP GET请求,就可以在服务端执行任意恶意代码。
此漏洞利用简单、危害大,曝光后被很多黑产和僵尸网络所利用。并且由于国内还有不少CMS、Web框架等是在ThinkPHP的基础上做的二次开发,想必很多下游软件也会遭受漏洞影响。
来源:长亭科技
雷锋网雷锋网雷锋网