0
距離大年三十只有一天了,各位共和國的網絡安全戰士還在堅守崗位,認真挖洞嗎?
2018年又是漏洞豐收的一年,大大小小、形形色色的漏洞數不勝數。從常見的應用程序、開發框架、底層 組件,再到操作系統、網絡設備、虛擬化產品,都爆發過各種各樣的漏洞。
而面對充滿挑戰的2019年,似乎更需要從過去一年挖漏中汲取經驗,宅客頻就在《2018長亭安全漏洞觀察年度報告》中截取了代表性漏洞進行回顧。
兩個思科網絡設備遠程代碼執行漏洞
思科ASA防火墻webvpn遠程代碼執行漏洞
2018年1月29日,思科官方發布安全公告,修復了存在于ASA系列防火墻中的一個遠程代碼 執行漏洞(CVE-2018-0101)。該漏洞由英國安全公司NCC Group的安全研究員Cedric Halbronn報告。
CVE-2018-0101是一個二次釋放(Double Free)漏洞。當ASA設備啟用webvpn 功能時,未經認證的攻擊者通過發送惡意XML數據包,即可在受影響的目標設備上執 行惡意代碼。
思科Smart Install遠程代碼執行漏洞
2018年3月28日,思科官方再次發布安全公告,針對Smart Install遠程代碼執行漏洞(CVE- 2018-0171)進行了修復。該漏洞由安全公司Embedi的研究人員通過2017年的GeekP- wn破解大賽提交給廠商。
Smart Install是思科網絡設備中用于實現即插即用配置和鏡像管理等功能的協議,使用時通常監聽在TCP端口4786。思科IOS軟件在處理該協議時存在緩沖區溢出漏洞,攻擊者無需經過認證,就可以通過構造畸形的數據包在未修復的設備上實現遠程代碼執行。
Ghostscript是PostScript和PDF的解析器,它被許多圖片處理庫所使用,如 ImageMagick、Python PIL等。默認情況下這些圖片處理庫會根據圖片的內容將其分發給不同的處理方法,其中就包括Ghostscript。
Ghostscript作為各種常見圖像處理庫的底層組件,一旦出現安全問題,勢必造成災難性的危害。比如攻擊者僅僅通過上傳一張惡意圖片,就可以在依賴Ghostscript進行圖像處理的網站服務器上執行任意代碼。
其實早在2016年時,ImageMagick就出現過命令執行漏洞(CVE-2016-3714), 當時就導致國內諸多廠商及開源程序中招,并且許多廠商因此遭受嚴重損失。
而在2018年,Ghostscript屢次爆發的沙盒繞過安全問題,也會影響到Image- Magick等各種上層組件,讓人頭疼不已。對于企業來說,最好的辦法是提前進行加固,在確定不影響業務的情況下卸載Ghostscript。
WebLogic是Oracle公司出品的一個基于JavaEE架構的中間件服務器,用于開發、 集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用。
WebLogic支持多種通信協議,其中包括HTTP和T3協議,并且它們都共用同一個端口(默認監聽端口為7001)。其中T3協議基于Java序列化機制來傳輸對象,并且Web- Logic使用黑名單對反序列化的類進行過濾。
2018年,WebLogic又被曝光出多個反序列化漏洞。攻擊者通過利用黑名單外的 類構造惡意的序列化對象,通過T3協議發送到服務端,服務端在反序列化解析處理時,即會執行攻擊者指定的惡意代碼。
WebLogic通過T3協議進行構造利用的反序列化漏洞,可以統一通過禁用T3協議來 解決。但除了反序列化漏洞,更令人驚訝的是WebLogic中竟然還存在著任意文件上傳漏 洞(CVE-2018-2894),攻擊者可以直接在未授權的情況下訪問WebLogic Web服務 測試客戶端的配置頁面,上傳惡意JSP腳本文件,從而造成惡意代碼執行。由于文件上傳漏洞存在于HTTP Web服務中,因此僅僅通過禁用T3協議并不能起作用。
2018年11月9日,VMware官方發布安全通告,針對系列高危漏洞(CVE-2018-6981、 CVE-2018-6982)進行了修復。這次修復的漏洞主要包括兩個虛擬機逃逸漏洞,不止影響VMware ESXi,也同時影響VMware Workstation 和VMware Fusion。
VMware ESXi是VMware開發的企業級1類hypervisor,用于部署和服務虛擬機,也是VMware企業私有云服務中直接與硬件交換的一層。該平臺使用了VMware自己開 發的VMkernel用于構建更快速和更安全的虛擬化環境。
漏洞源于VMware ESXi、Fusion和Workstation在vmxnet3虛擬網絡適配器中存在 未初始化的棧內存使用,該問題可能導致guest虛擬機在宿主機上執行代碼。啟用了vmxnet3網卡的虛擬機將會出現此問題,未使用則不受此漏洞影響。
2018年11月2日,來自Armis的安全研究人員發布文章,指出他們在由德州儀器(TI)生產的 BLE(Bluetooth Low Energy)芯片中,發現了兩個遠程代碼執行漏洞(CVE-2018-16986、 CVE-2018-7080)。
由于漏洞大量影響各種無線接入點(Cisco、Meraki、Aruba產品)、物聯網設備 (包括一些醫學設備如胰島素泵、心臟起搏器等),安全研究員給這兩個漏洞命名為 “BleedingBit”。
BleedingBit漏洞(CVE-2018-16986)
它的影響范圍較廣,使用TI芯片且支持BLE的設備都可能會受到影 響。攻擊者在有漏洞的目標設備附近區域,首先發送大量看起來正常,但卻包含攻擊者代碼的BLE廣播消息,這些消息內容會被存儲到目標設備的BLE芯片內存中,然后再發送溢出數據包,這些數據包頭部一個特定位被 設定為On,導致芯片從數據包中分配的信息比實際需要的空間大得多而溢出,最終在目標設備上執行攻擊者之前通過廣播消息包含的惡意代碼。
BleedingBit漏洞(CVE-2018-7080)
此漏洞是由于TI芯片的OAD(Over the Air firmware Download) 功能,它被設計用于固件更新。OAD功能通常被用作開發工具,默認情況下,OAD不會自動配置為處理固件更新問題,但是某些產品仍然在生產環境中使用它。由于缺乏安全機制,攻擊者可以通過向設備安裝任意固件程序來執行惡意代碼。同樣,此漏洞的利用需要攻擊者位于目標設備附近區域。
12月3日,Red Hat官方發布安全通告,指出Kubernetes(K8s)存在一個嚴重的權限提升漏洞(CVE-2018-1002105),所有基于Kubernetes的服務和產品都會受到此漏洞影響。
Kubernetes(常簡稱為K8s)是用于自動部署、擴展和管理容器化應用程序的開源 系統。它旨在提供“跨主機集群的自動部署、擴展以及運行應用程序容器的平臺”。它支持 一系列容器工具,包括Docker等。
這個漏洞造成的危害包括:
1、任何能夠通過Kubernetes API server與后端服務器建立連接的用戶,可以在保持連接不斷開的基礎上,進一步利用Kubernetes API server已經授權的TLS憑證,發送被授權的任意請求,從而造成權限提升甚至更大的危害。攻擊者只 要保證該聚合API服務器在Kubernetes API server的網絡中 被允許即可。而在默認情況下,所有的用戶都可以在沒有限 制的情況下完成以上攻擊。
2、任何擁有pod exec/attach/portforward權限的普通用戶,可以獲得運行在當前pod中任意計算節點的集群 管理員權限,從而能夠訪問所有隱私數據,在這些pod中執行命令等。
ThinkPHP是一個快速、兼容而且簡單的輕量級PHP開發框架,創立于2006年初,遵循Apache2開源協議發布,是為了敏捷Web應用開發和簡化企業應用開發而誕生的。
12月10日,ThinkPHP官方發布了安全更新,修復了存在于ThinkPHP5框架中的一 個高危漏洞。由于ThinkPHP5框架對控制器名沒有進行足夠嚴格的檢測,導致在沒有開啟強制路由的情況下,攻擊者僅僅通過一個HTTP GET請求,就可以在服務端執行任意惡意代碼。
此漏洞利用簡單、危害大,曝光后被很多黑產和僵尸網絡所利用。并且由于國內還有不少CMS、Web框架等是在ThinkPHP的基礎上做的二次開發,想必很多下游軟件也會遭受漏洞影響。
來源:長亭科技
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
