盤點 | 2021年十大網路安全漏洞

youbingke發表於2022-04-21

漏洞與資訊化程式相伴而生,為加強網路安全防護、避免漏洞所引發的威脅,漏洞管理成為重要IT策略。2021年,因漏洞導致的各類安全事件頻發,涉及經濟、民生的方方面面,提高安全意識已勢在必行。以下為中科三方梳理的2021年十大網路安全漏洞,一起來看下吧。

一、Apache Log4j2 遠端程式碼執行漏洞

Apache Log4j2是一個基於Java的日誌記錄工具,該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。

Log4j2元件在處理程式日誌記錄時存在JNDI注入缺陷,攻擊者僅僅需要向目標伺服器傳送精心構造的惡意資料觸發Log4j2元件解析缺陷,就可以實現目標伺服器任意命令執行,獲取目標伺服器許可權。

由於日誌記錄存在的普遍性,所以該漏洞具有危害程度高、利用難度低、影響範圍大、後續影響廣的特點。可以預見,未來數月甚至數年該漏洞才能得到比較全面的修補。

漏洞涉及CVE編號:CVE-2021-44228

漏洞影響版本:Apache log4j2 2.0 至 2.14.1 版本

二、QNAP NAS Roon Server套件認證繞過、命令注入漏洞

2021年6月11日,CNCERT釋出《關於威聯通裝置2項0Day漏洞組合利用攻擊的報告——RoonServer許可權認證漏洞與命令注入漏洞》。報告中詳細介紹了許可權繞過漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相關的細節,並指出早在2021年5月8日就已經捕獲在野利用攻擊。在後續和廠商的溝通中,QNAP官方於2021年6月4日重新發布修復後的應用。

在對在野攻擊行為分析後確定攻擊者嘗試植入的載荷為eCh0raix勒索軟體。該勒索軟體會加密NAS上儲存的檔案並要求受害者透過TOR支付比特幣贖金。

勒索軟體透過NAS 0day傳播不僅極具針對性且擁有極高的成功率。該漏洞不是第一個也不會是最後一個。

漏洞涉及CVE編號:CVE-2021-28810、CVE-2021-28811

三、Microsoft Exchange高危攻擊鏈

2021年3月3日微軟緊急釋出了Exchange更新補丁,披露Exchange存在多個高危漏洞並且已被駭客作為攻擊鏈的一部分進行利用,其中CVE-2021-26855透過伺服器請求偽造繞過了Exchange Server身份驗證,可以結合
CVE-2021-26858/CVE-2021-27065形成高危攻擊鏈。相關漏洞詳情如下:

CVE-2021-26855服務端請求偽造漏洞,可以繞過Exchange Server的身份驗證。


CVE-2021-26858/CVE-2021-27065任意檔案寫入漏洞,需要身份驗證。可配合CVE-2021-26855形成無需互動的高危攻擊鏈。

漏洞涉及CVE編號:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065

四、VMware vCenter Server未授權遠端命令執行漏洞

Vmware vCenter Server是ESXi的控制中心,可以從單一控制點統一管理資料中心的所有xSphere主機和虛擬機器。

2021年5月25日,VMware官方釋出安全公告,修復了VMware vCenter Server和VMware Cloud Foundation 遠端程式碼執行漏洞(CVE-2021-21985)和身份驗證漏洞(CVE-2021-21986)。其中 CVE-2021-21985漏洞攻擊複雜度低,且不需要使用者互動,攻擊者可利用該漏洞在目標系統上執行任意命令,從而獲得目標系統的管理許可權。

漏洞涉及CVE編號:CVE-2021-21985

漏洞影響版本:

Vmware vCenter Server 7.0 系列 < 7.0.U2b

Vmware vCenter Server 6.7系列 < 6.7.U3n

Vmware vCenter Server 6.5 系列 < 6.5.U3p

Vmware Cloud Foundation 4.x 系列 < 4.2.1

Vmware Cloud Foundation 3.x 系列 < 3.10.2.1

五、Zyxel NAS FTP 服務未授權遠端命令執行漏洞

Zyxel是國際知名品牌的網路寬頻系統及解決方案的供應商。

2020年,Zyxel 多個型號NAS以及防火牆裝置被曝出存在未授權RCE漏洞(CVE-2020-9054 ),該漏洞被用於地下黑市售賣,其價值高達 20000美元,漏洞成因是Zyxel NAS和防火牆產品中使用的PAM認證模組存在漏洞,未經身份認證的攻擊者可以透過Web服務入口 weblogin.cgi程式的username欄位注入任意命令達到遠端命令執行的目的。Zyxel 官方後續已經對在支援期內的裝置釋放了韌體補丁。

經過驗證,Zyxel官方只修復了漏洞的入口點,對於存在漏洞的庫/lib/security/pam_uam.so沒有進行任何修復,這也導致該漏洞可以透過FTP服務所在埠再次觸發。攻擊者僅需要建立FTP連線使用惡意使用者名稱登陸即可觸發該漏洞。

漏洞涉及CVE編號:CVE-2020-9054 補丁繞過

六、Windows Print Spooler 遠端程式碼執行漏洞

Windows Print Spooler是Windows的印表機後臺處理程式,廣泛的應用於各種內網中。

2021年6月29日,有安全研究人員公開了一個Windows Print Spooler 相關的exp,也被稱為PrintNightmare。後經過驗證,微軟為該漏洞分配了一個新的CVE編號:CVE-2021-34527。利用該exp,攻擊者能夠以 SYSTEM 許可權控制域控主機,微軟在7月7日緊急修復了該漏洞。

攻擊者可以透過該漏洞繞過SplAddPrinterDriver的安全驗證,並在列印伺服器中安裝惡意的驅動程式。若攻擊者所控制的使用者在域中,則攻擊者可以連線到DC中的Spooler服務,並利用該漏洞在DC中安裝惡意的驅動程式,完整地控制整個域環境。

漏洞涉及CVE編號:CVE-2021-34527

七、Apache HTTPd 路徑穿越和遠端命令執行漏洞

2021年9月29日,國外安全研究員向Apache官方提交了Apache HTTPd 2.4.49 的一個路徑穿越漏洞(CVE-2021-41773),官方於10 月 1日修復了該漏洞並且於10月4日釋出新版本Apache HTTPd 2.4.50。

2021年10 月5日,Github上開始出現漏洞CVE-2021-41773的POC,經過驗證該漏洞可以在檔案目錄被授權訪問的情況下進行檔案讀取,甚至可以在cgi模式下執行命令。與此同時有安全研究員發現該漏洞可以被繞過,於是10月7日,Apache官方再次釋出新版本Apache HTTPd 2.4.51修復了CVE-2021-41773的繞過問題並且註冊了新的 CVE 編號CVE-2021-42013。

漏洞涉及CVE編號:CVE-2021-41773,CVE-2021-42013

八、Confluence Webwork OGNL表示式注入漏洞

Confluence是一個專業的企業知識管理與協同軟體,也可以用於構建企業wiki。它強大的編輯和站點管理特徵能夠幫助團隊成員之間共享資訊、文件協作、集體討論、資訊推送等。

2021年8月25日,Confluence釋出漏洞公告,Confluence Webwork OGNL存在表示式注入漏洞,編號為:CVE-2021-26084。

經過分析,2021年9月1日,國外安全研究人員公開了該漏洞細節,未授權的攻擊者可以透過該漏洞實現遠端程式碼執行。經過驗證,無需授權訪問的介面
/pages/createpage-entervariables.action 存在OGNL表示式注入的問題,這也使得該漏洞的影響面和危害進一步擴大。

漏洞涉及CVE編號:CVE-2021-26084

漏洞影響版本:

Confluence Server & Confluence Data Center < 6.13.23

Confluence Server & Confluence Data Center < 7.11.6

Confluence Server & Confluence Data Center < 7.12.5

Confluence Server & Confluence Data Center < 7.4.11

九、銳捷閘道器未授權遠端命令執行漏洞

2021年1⽉12⽇,⽹上出現了銳捷⽹關Web管理系統的未授權遠端命令執行漏洞的 PoC。由於/guest_auth/guestIsUp.php介面未過濾使用者輸入,直接拼接到命令執行,未經授權的遠端攻擊者可以利用該漏洞以root許可權在目標裝置執行任意命令。

該漏洞影響範圍比較廣,透過ZoomEye網路空間搜尋引擎能夠搜尋到103459條銳捷⽹關Web管理系統相關的記錄(資料查詢日期:2021年1月19日),主要分佈在中國。

十、GitLab未授權遠端命令執行漏洞

GitLab是由GitLab Inc.開發,一款基於Git的完全整合的軟體開發平臺。

2021年4⽉14⽇,GitLab 官⽅釋出安全通告,GitLab CE/EE 中存在認證 RCE 漏洞,並分配漏洞編號CVE-2021-22205,隨後也有相關的POC公佈,但由於需要認證,該漏洞影響範圍有限。

2021年10月25日,HN Security發文稱,有在野攻擊者透過訪問特定端點未認證利用了該 RCE 漏洞,並公開了攻擊者使用的payload。隨後國內外安全廠商陸續檢測到該漏洞的在野利用。漏洞利用難度的降低,帶來的是漏洞影響範圍的擴大,影響有限的漏洞也能發揮出驚人的破壞力。

漏洞涉及CVE編號:CVE-2021-22205


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2888063/,如需轉載,請註明出處,否則將追究法律責任。

相關文章