本次更新ScanV MAX漏洞检测插件特征库至版本:20211018
共更新6次,新增漏洞检测插件13个,优化历史插件2个。
一、新增漏洞检测插件13个
1.Zeroshell 操作系统命令注入漏洞(CVE-2019-12725),插件更新时间:2021年10月18日
2.Apache httpd SSRF漏洞(CVE-2021-40438),插件更新时间:2021年10月16日
3.Openfire 服务端请求伪造漏洞(CVE-2019-18394),插件更新时间:2021年10月15日
4.Drupal REST Web Service 远程代码执行漏洞(CVE-2019-6340),插件更新时间:2021年10月15日
5.uwsgi directory listing (CVE-2018-7490),插件更新时间:2021年10月15日
6.Sonatype Nexus Repository Manager OSS/Pro 远程命令执行漏洞(CVE-2019-7238),插件更新时间:2021年10月15日
7.Mongo-Express 远程代码执行漏洞(CVE-2019-10758),插件更新时间:2021年10月14日
8.Fortinet FortiOS 路径遍历漏洞(CVE-2018-13379),插件更新时间:2021年10月14日
9.Kibana本地文件包含漏洞(CVE-2018-17246),插件更新时间:2021年10月14日
10.ZEIT Next.js 路径遍历漏洞(CVE-2020-5284),插件更新时间:2021年10月13日
11.hikvision 信息泄漏漏洞(CVE-2017-7921),插件更新时间:2021年10月13日
12.Jenkins 远程命令执行漏洞(CVE-2018-1000861):2021年10月13日
13.Consul Service API 远程命令执行漏洞,插件更新时间:2021年10月12日
漏洞相关信息:
1.Zeroshell 操作系统命令注入漏洞(CVE-2019-12725)
漏洞插件更新时间:
2021年10月18日
漏洞来源:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12725
漏洞等级:
高危
漏洞影响:
Zeroshell 3.9.0版本中存在安全漏洞,该漏洞源于程序没有正确处理HTTP参数,攻击者可通过注入操作系统命令利用该漏洞执行命令。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"ZeroShell" 对潜在可能目标进行搜索,共得到7,655条IP历史记录,主要分布在越南、意大利等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22ZeroShell%22)
全球分布:
建议解决方案:
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://zeroshell.org/。
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12725
2.Apache httpd SSRF漏洞(CVE-2021-40438)漏洞插件更新时间:
2021年10月16日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40438
漏洞等级:
高危
漏洞影响:
攻击者可利用该漏洞攻击同服务器的其他unix套接字服务,如redis、docker等,探测内网服务,攻击内网系统。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"Apache httpd" 对潜在可能目标进行搜索,共得到559,072,762 条IP历史记录,主要分布在美国、德国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22Apache%20httpd%22)
全球分布:
建议解决方案:
官方已修复该漏洞,请及时升级到最新版本。详情链接:https://httpd.apache.org/security/vulnerabilities_24.html
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40438
3.Openfire 服务端请求伪造漏洞(CVE-2019-18394)
漏洞插件更新时间:
2021年10月15日
漏洞来源:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18394
漏洞等级:
高危
漏洞影响:
攻击者可以传递特定参数使服务端发起请求,成功利用该漏洞可造成内部网信息探测。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"Ignite Realtime Openfire http config"对潜在可能目标进行搜索,共得到106,345 条IP历史记录,主要分布在中国、巴西等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22Ignite%20Realtime%20Openfire%20http%20config%22)
全球分布:
建议解决方案:
官方已发布漏洞补丁,补丁链接:https://www.cnvd.org.cn/patchInfo/show/192993。
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18394
https://www.cnvd.org.cn/flaw/show/CNVD-2019-43836
4.Drupal REST Web Service 远程代码执行漏洞(CVE-2019-6340)漏洞插件更新时间:
2021年10月15日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340
漏洞等级:
高危
漏洞影响:
未经授权的用户可利用该漏洞远程执行任意代码,获取服务器权限。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"Drupal" 对潜在可能目标进行搜索,共得到509,234条IP历史记录,主要分布在美国、俄罗斯等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22Drupal%22)
全球分布:
建议解决方案:
官方已修复该漏洞,请及时升级到最新版本,详情链接:https://www.drupal.org/sa-core-2019-003。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340
5.uwsgi directory listing (CVE-2018-7490)漏洞插件更新时间:
2021年10月15日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7490
漏洞等级:
中危
漏洞影响:
攻击者可利用该漏洞获取敏感信息。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 "uwsgi" 对潜在可能目标进行搜索,共得到16,750条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=%22uwsgi%22)
全球分布:
建议解决方案:
目前厂商已发布漏洞修复程序,获取链接:https://uwsgi-docs.readthedocs.io/en/latest/Changelog-2.0.17.html。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7490
https://www.cnvd.org.cn/flaw/show/CNVD-2018-06412
6.Sonatype Nexus Repository Manager OSS/Pro远程命令执行漏洞(CVE-2019-7238)漏洞插件更新时间:
2021年10月15日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7238
漏洞等级:
高危
漏洞影响:
攻击者可以通过该漏洞控制服务器作为肉鸡、矿机等从事非法活动。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 Sonatype 对潜在可能目标进行搜索,共得到6,759条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=Sonatype)
全球分布:
建议解决方案:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.sonatype.com/。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7238
7.Mongo-Express 远程代码执行漏洞(CVE-2019-10758)漏洞插件更新时间:
2021年10月14日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
漏洞等级:
高危
漏洞影响:
认证用户和特定条件下未经认证用户可远程执行任意代码,获取服务器权限。
影响范围:
根据ZoomEye网络空间搜索引擎关键字title:"Mongo Express" 对潜在可能目标进行搜索,共得到5,131条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=title%3A%22Mongo%20Express%22
全球分布:
建议解决方案:
官方已修复该漏洞,请受影响的用户及时升级到0.54.0以上最新版本。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40870
8.Fortinet FortiOS 路径遍历漏洞(CVE-2018-13379)
漏洞插件更新时间:
2021年10月14日
漏洞来源:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
漏洞等级:
高危
漏洞影响:
Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本中的SSL VPN Web门户存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊字符,攻击者可利用该漏洞访问受限目录之外的位置。
影响范围:
根据ZoomEye网络空间搜索引擎关键字"FortiToken clock drift detected"对潜在可能目标进行搜索,共得到195,593条IP历史记录,主要分布在美国、日本等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=%22FortiToken%20clock%20drift%20detected%22
全球分布:
建议解决方案:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:htps://fortiguard.com/psirt/FG-IR-18-384
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
9.Kibana本地文件包含漏洞(CVE-2018-17246)漏洞插件更新时间:
2021年10月14日
漏洞来源:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17246
漏洞等级:
中危
漏洞影响:
未经授权的攻击者可利用此漏洞包含外部上传的Javascript文件获取系统权限。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"Elasticsearch Kibana" 对潜在可能目标进行搜索,共得到47,897条IP历史记录,主要分布在中国、美国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22Elasticsearch%20Kibana%22)
全球分布:
建议解决方案:
官方已发布漏洞补丁,请受影响的用户及时升级至最新版本,补丁链接:https://access.redhat.com/security/cve/cve-2018-17246。
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17246
10.ZEIT Next.js 路径遍历漏洞(CVE-2020-5284)漏洞插件更新时间:
2021年10月13日
漏洞来源:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5284
漏洞等级:
中危
漏洞影响:
ZEIT Next.js 9.3.2之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊字符,攻击者可利用该漏洞访问受限目录之外的位置。
影响范围:
根据ZoomEye网络空间搜索引擎关键字"X-Powered-By: Next.js"对潜在可能目标进行搜索,共得到 221,814 条IP历史记录,主要分布在美国、德国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=%22X-Powered-By%5C%3A%20Next.js%22)
全球分布:
建议解决方案:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/zeit/next.js/security/advisories/GHSA-fq77-7p7r-83rj
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5284
11.hikvision 信息泄漏漏洞(CVE-2017-7921)漏洞插件更新时间:
2021年10月13日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7921
漏洞等级:
中危
漏洞影响:
攻击者通过未授权访问可获取到系统的敏感信息(如:用户信息)。
影响范围:
根据ZoomEye网络空间搜索引擎关键字"©Hikvision Digital"对潜在可能目标进行搜索,共得到 211,792条IP历史记录,主要分布在中国、美国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=%22%C2%A9Hikvision%20Digital%22)
全球分布:
建议解决方案:
禁止用户对相关目录进行访问。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7921
12.Jenkins远程命令执行漏洞(CVE-2018-1000861)漏洞插件更新时间:
2021年10月13日
漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000861
漏洞等级:
高危
漏洞影响:
攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法,可造成远程命令执行,获取服务器权限。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"Jenkins"对潜在可能目标进行搜索,共得到 2,514,367 条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22Jenkins%22)
全球分布:
建议解决方案:
官方已修复该漏洞,请受影响的用户及时升级至最新版本。
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000861
13.Consul Service API 远程命令执行漏洞漏洞插件更新时间:
2021年10月12日
漏洞来源:
https://www.seebug.org/vuldb/ssvid-97868
漏洞等级:
高危
漏洞影响:
在特定配置下,恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下在Consul服务端远程执行任意命令。
影响范围:
根据ZoomEye网络空间搜索引擎关键字app:"HashiCorp Consul service discovery httpd" 对潜在可能目标进行搜索,共得到9,649条IP历史记录,主要分布在美国、中国等国家。
(ZoomEye搜索链接:https://www.zoomeye.org/searchResult?q=app%3A%22HashiCorp%20Consul%20service%20discovery%20httpd%22)
全球分布:
建议解决方案:
禁用Consul服务的脚本检查功能,如果需要脚本检查,更改-enable-script-checks为-enable-local-script-checks,升级至最新版本。详情链接:https://www.hashicorp.com/blog/protecting-consul-from-rce-risk-in-specific-configurations?spm=a2c4g.11186623.0.0.11354c2fdj7mfB。
参考链接:
https://www.seebug.org/vuldb/ssvid-97868
二、优化历史插件2个
1.优化Mini 任意文件读取漏洞检测方式
2.优化Kyan 命令执行漏洞检测方式
以上插件更新、优化来源于创宇安全智脑大数据分析平台,对近期漏洞利用情况及利用方式分析后做出的优化更新,同时支持WebSOC系列。
点击阅读原文
开启ScanV MAX多维度立体监测
