15個漏洞詳情，FireEye被盜網路武器庫分析

12月8日，美國頂級安全公司FireEye（中文名：火眼）釋出一則通告稱：其內部網路被某個“擁有一流網路攻擊能力的國家”所突破， 這場攻擊導致FireEye的紅隊安全工具被盜走。

Fire E ye官方說明（圖片源自FireEye官網fireeye.com）

這次攻擊和以往不同的是，攻擊者在 入侵FireEye後， 並沒有進行勒索或資料洩露等常規操作，而是直接盜走了安全工具包。 而這樣的攻擊將產生更為嚴重的影響，危害波及FireEye的客戶以及下游廠商，已屬於 供應鏈攻擊的範疇。

漏洞名稱：

Microsoft Windows組策略首選項密碼特權提升漏洞

CVE編號：

CVE-2014-1812

漏洞說明：

Windows Active Directory分發使用組策略首選項配置的密碼的方式中存在一個特權提升漏洞。經過身份驗證的攻擊者利用該漏洞可能會對密碼進行解密，並使用它們來在域上提升特權。Windows Vista SP2、Windows Server 2008 SP2和R2SP1，Windows7 SP1，Windows8，Windows8.1，Windows Server 2012Gold和R2受到影響。

漏洞名稱：

Windows RDP遠端程式碼執行高危漏洞（BlueKeep）

CVE編號：

CVE-2019-0708

漏洞說明：

BlueKeep(CVE-2019-0708)是微軟遠端桌面協議(RDP)中的一個高危遠端程式碼執行漏洞，該漏洞已經有公開的metasploit指令碼了。

漏洞名稱：

Microsoft Outlook 安全功能繞過漏洞

CVE編號：

CVE-2017-11774

漏洞說明：

當 Microsoft Outlook 不正確地處理記憶體中的物件時，存在安全功能繞過漏洞。成功利用此漏洞的攻擊者可以執行任意命令。在檔案共享攻擊情形中，攻擊者可能會提供旨在利用此漏洞的經特殊設計的文件檔案，然後誘使使用者開啟該文件檔案並與文件進行互動。  

備註：

該漏洞可以被用作釣魚攻擊。

漏洞名稱：

Adobe ColdFusion檔案上傳導致任意程式碼執行

CVE編號：

CVE-2018-15961  

漏洞說明：  

該漏洞是一個任意檔案上傳漏洞，攻擊者可以透過上傳jsp檔案的方式來實現程式碼執行。

漏洞名稱：

Citrix Application Delivery Controller and Citrix Gateway遠端程式碼執行漏洞

CVE編號：

CVE-2019-19781

漏洞說明：

該漏洞使遠端攻擊者可以輕鬆地傳送目錄遍歷請求，從系統配置檔案中讀取敏感資訊，而無需使用者身份驗證並遠端執行任意程式碼。

漏洞名稱：

Confluence路徑穿越漏洞

CVE編號：

CVE-2019-3398  

漏洞說明：

Confluence Server和Data Center產品在downloadallattachments資源中存在一個路徑穿越漏洞，擁有以下許可權之一的攻擊者可以在伺服器上任意目錄上傳檔案從而達到遠端程式碼執行：

1. 向頁面或部落格新增附件
2. 能夠建立新的空間（space）
3. 對某空間（space）有Admin許可權   

漏洞名稱：

Atlassian Crowd未授權檔案上傳漏洞

CVE編號：

CVE-2019-11580     

漏洞說明：

該漏洞是由於Crowd pdkinstall外掛允許未授權上傳導致的，攻擊者可以上傳惡意外掛並透過外掛執行命令。

漏洞名稱：

Fortigate SSL VPN 未授權RCE等漏洞  

CVE編號：

CVE-2018-13379  

漏洞說明：

blackhat2019上，安全研究院Orange和Meh Chang披露了Fortinet的SSL VPN多個漏洞，其中就包括CVE-2018-13379，攻擊者可以利用該漏洞實現任意檔案讀取。

漏洞名稱：

Microsoft Exchange Server遠端命令執行漏洞  

CVE編號：

CVE-2020-0688  

漏洞說明：

攻擊者可以在登陸後欺騙目標伺服器生成惡意的序列化ViewState資料，從而利用.net反序列化的特性在Exchange Control Panel web應用上執行任意.net程式碼。 

漏洞名稱：

Pulse Secure SSL VPN 未授權任意檔案讀取漏洞  

CVE編號：

CVE-2019-11510  

漏洞說明：

blackhat2019上，安全研究院Orange和Meh Chang披露了多個SSL VPN漏洞，其中包括Pulse Secure的多個漏洞，CVE-2019-11510為任意檔案讀取漏洞。

漏洞名稱：

Microsoft SharePoint 遠端程式碼執行漏洞  

CVE編號：

CVE-2019-0604  

漏洞說明：

該漏洞可造成windows系統伺服器的遠端命令執行，有可能完全控制伺服器。攻擊者可將攻擊者可將精心構造的請求透過ItemPickerWebForm控制元件傳入後端EntityInstanceIdEncoder.DecodeEntityInstanceId(encodedId)方法中，因為方法沒有對傳入的encodedId進行任何處理，也沒有對XmlSerializer建構函式的型別引數進行限制，可直接透過XmlSerializer反序列化，造成命令執行。

漏洞名稱：

Zoho ManageEngine Desktop Central 遠端程式碼執行漏洞

CVE編號：

CVE-2020-10189  

漏洞說明：

Zoho ManageEngine Desktop Central在FileStorage類getChartImage函式處理時候反序列化了惡意資料，導致遠端程式碼執行。

漏洞名稱：

Zoho ManageEngine ServiceDesk Plus 任意檔案上傳漏洞

CVE編號：

CVE-2019-8394  

漏洞說明：

Zoho ManageEngine ServiceDesk Plus在10.0 build 10012版本之前，存在任意檔案上傳漏洞，攻擊者可以透過上傳jsp檔案來實現程式碼執行。  

漏洞名稱：

Windows Netlogon 遠端協議許可權提升漏洞

CVE編號：

CVE-2020-1472  

漏洞說明：

2020年9月11日，也就是微軟釋出補丁的三十天後，Secura的安全研究人員公開了一篇名為《Zerologon:instantlybecomedomainadminbysubvertingNetlogoncryptography》的部落格。部落格給出了一份白皮書，詳細地介紹了CVE-2020-1472漏洞的利用流程。利用該漏洞，未經身份驗證的攻擊者可以透過Netlogon遠端協議（MS-NRPC）連線到域控伺服器以獲得域管理員許可權。

漏洞名稱：

Microsoft Exchange Server 特權提升漏洞  

CVE編號：

CVE-2018-8581  

漏洞說明：

Microsoft Exchange Server 中存在特權提升漏洞。成功利用此漏洞的攻擊者可以嘗試模擬 Exchange 伺服器的其他任何使用者。它可以在擁有了一個普通許可權郵箱賬號密碼後，完成對其他使用者(包括域管理員)郵箱收件箱的委託接管。  

備註：

是一個郵箱層面的橫向滲透和提權漏洞。

特別提醒：這些相應的識別規則已經加入了 知道 創宇 ND R 產品。

結合近期的網路安全態勢來看， 這次攻擊可能會成為全球新一波攻擊浪潮的起點。除此之外， 富士康近期也遭到駭客攻擊並被勒索2.3億元贖金。

由此 可窺見，網路安全態勢 在未來只會愈發嚴峻，從繁雜嚴謹的攻擊方式，到不斷升級的攻擊規模，再到從上至下的影響範圍，都在提醒我們：沒有絕對的網路安全。

面對不斷提升的攻擊 成本，本身的攻防不對等會讓防守方更為被動。“網路安全的本質在對抗，對抗的本質在攻防兩端的較量”。 堅守“真攻防”，是知道創宇永遠的目標。 我們將持續不斷用“真攻防”打造更為強勁的安全能力。