腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单
2023-6-7 15:27:15 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

欢迎关注

腾讯安全威胁情报中心

腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
 
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
 
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
 
以下是2023年5月份必修安全漏洞清单详情:
一、Apache RocketMQ 远程代码执行漏洞
概述:

腾讯安全近期监测到Apache官方发布了关于Apache RocketMQ的风险公告,漏洞编号为CVE-2023-33246(CNNVD编号: CNNVD-202305-2101)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Apache RocketMQ 是一款开源的分布式消息系统,基于高可用分布式集群技术,提供低延时的、高可靠的消息发布与订阅服务。同时,该系统也广泛应用于多个领域,包括异步通信解耦、企业解决方案、金融支付、电信、电子商务、快递物流、广告营销、社交、即时通信、移动应用、手游、视频、物联网、车联网等。

据描述,RocketMQ 5.1.0及以下版本在一定条件下存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用此缺陷通过「更新配置」功能修改配置路径,进而以系统用户身份执行任意命令(伪造RocketMQ协议也可执行任意命令)。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

5.0.0 <= Apache RocketMQ <= 5.1.0

4.0.0 <= Apache RocketMQ <= 4.9.5

修复建议:

1. RocketMQ的NameServer、Broker、Controller组件非必要不暴露在公网。同时,建议增加访问权限认证。
2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://rocketmq.apache.org/download
二、GitLab CE/EE 任意文件读取漏洞
概述:

腾讯安全近期监测到Gitlab官方发布了关于Gitlab CE/EE的风险公告,漏洞编号为:CVE-2023-2825(CNNVD编号:CNNVD-202305-2121)。成功利用此漏洞的攻击者,最终可读取服务器任意文件。

GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起了Web服务。Gitlab是被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理。

据描述,在 GitLab CE/EE 16.0.0版本中 ,在文件上传时未对filename参数进行安全过滤,导致存在路径遍历漏洞,若嵌套在五个组及以上的公共项目中存在附件时,未经身份验证的攻击者可以利用此漏洞读取服务器任意文件。

P.S. 此漏洞利用条件虽较为苛刻,但是如果攻击者获取了可以创建项目的权限,即可构造漏洞利用前置条件,进而利用漏洞。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.5

影响版本:

Gitlab CE/EE 16.0.0

修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

2. 优先排查GitLab管理员权限是否存在弱口令,如果有则尽快修改。

3. 检查是否存在层级过多的项目组,以及该组下的项目是否存在公开项目。如果有,在不影响业务的前提下,可以酌情减少层级或者将项目变更为私有项目。

4. 非必要不建议将该系统暴露在公网。

三、OpenTSDB 命令注入漏洞
概述:

腾讯安全近期监测到OpenTSDB官方发布了关于OpenTSDB的风险公告,漏洞编号为CVE-2023-25826(CNNVD编号: CNNVD-202305-181)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

OpenTSDB 是一个时间序列数据库。它支持秒级数据采集所有 metrics,支持永久存储,可以做容量规划,并很容易地接入到现有的报警系统里。OpenTSDB 可以从大规模的集群(包括集群中的网络设备、操作系统、应用程序)中获取相应的metrics并进行存储、索引以及服务,从而使得这些数据更容易让人理解,如 web化,图形化等。

据描述,该漏洞存在是因为之前披露的CVE-2020-35476漏洞修复不完整。OpenTSDB对参数验证不充分,攻击者可以通过构造特制的请求绕过正则表达式验证,从而在主机系统上执行任意代码。

漏洞状态:

类别
状态
安全补丁
未公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

1.0.0 <= OpenTSDB <= 2.4.1

修复建议:

官方已在代码层面修复此漏洞:

https://github.com/OpenTSDB/opentsdb/commit/07c4641471c6f5c2ab5aab615969e97211eb50d9

但是暂未发布更新版本,用户可以通过以下措施缓解:

1.避免OpenTSDB开放至公网。

2.开启身份认证机制,可参考官方文档:

http://opentsdb.net/docs/build/html/user_guide/plugins.html
四、Linux Kernel 权限提升漏洞

概述:

腾讯安全近期监测到Linux Kernel官方发布了关于Linux Kernel的风险公告,漏洞编号为:CVE-2023-0386(CNNVD编号:CNNVD-202303-1798)。成功利用此漏洞的攻击者,最终可提升用户的系统权限。

Linux kernel是一种开源的类Unix操作系统宏内核。整个Linux操作系统家族基于该内核部署在传统计算机平台和各种嵌入式平台,如路由器、无线接入点、专用小交换机、机顶盒、FTA接收器、智能电视、数字视频录像机、网络附加存储(NAS)等。

据描述,该漏洞源于Linux kernel的OverlayFS子系统存在缺陷, 用户可将一个具有权限的可执行文件从nosuid挂载点复制到另一个挂载点。具有低权限的攻击者可以通过该漏洞将权限提升至ROOT权限。

漏洞状态:
类别
状态
安全补丁
已公开
漏洞细节
已公开
PoC
已公开
在野利用
未发现
风险等级:
评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
7.8
影响版本:

5.11-rc1 <= Linux Kernel < 6.2-rc6

修复建议:

1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=4f11ada10d0a

2. 要缓解此问题,请防止加载模块覆盖。请参阅

https://access.redhat.com/solutions/41278

了解有关如何将内核模块列入黑名单以防止其自动加载的信息。

五、Barracuda Email Security Gateway 远程命令注入漏洞

概述:

腾讯安全近期监测到Barracuda官方发布了关于Barracuda Email Security Gateway的风险公告,漏洞编号为:CVE-2023-2868(CNNVD编号:CNNVD-202305-2128)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。

Barracuda Email Security Gateway是Barracuda公司的一种电子邮件安全网关,可管理和过滤所有入站和出站电子邮件流量,以保护组织免受电子邮件威胁和数据泄露风险。

据描述,该漏洞源于Barracuda对用户提供的.tar文件的文件名验证存在缺陷,远程攻击者可以以特定方式格式化这些文件名称,从而通过Perl的qx运算符以Email Security Gateway产品的权限远程执行系统命令。

漏洞状态:

类别
状态
安全补丁
已公开
漏洞细节
未公开
PoC
未公开
在野利用
已发现

风险等级:

评定方式
等级
威胁等级
高危
影响面
攻击者价值
利用难度
漏洞评分
9.8

影响版本:

5.1.3.001 <= Barracuda Email Security Gateway 300 <= 9.2.0.006
5.1.3.001 <= Barracuda Email Security Gateway 400 <= 9.2.0.006
5.1.3.001 <= Barracuda Email Security Gateway 600 <= 9.2.0.006
5.1.3.001 <= Barracuda Email Security Gateway 800 <= 9.2.0.006

5.1.3.001 <= Barracuda Email Security Gateway 900 <= 9.2.0.006

修复建议:

1.根据官方发布的YARA规则自查是否存在利用CVE-2023-2868的恶意TAR文件:

https://www.barracuda.com/company/legal/esg-vulnerability

2.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外。

* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。

漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team

腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。

往期企业必修漏洞清单


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNTI4NjU1Mw==&mid=2247484240&idx=1&sn=58c308d646302ec2a6c223ff2f9acfa6&chksm=c2b10126f5c68830eb202afa508c2c65211dafa90dd98d5cb059babe4554bde985eddf54ede2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh