2020年度,华云安安全服务团队持续在漏洞挖掘、漏洞攻防研究等领域发力,共收集整理发布漏洞风险通告315次,为国家漏洞库报送漏洞3141个。
▲ 2020年漏洞通告发布情况
▲ 2020年漏洞通告总览
2020年自1月至12月,华云安安全服务团队共收集整理发布漏洞风险通告315次。下面将从漏洞等级,影响范围,漏洞类型排名三个维度对全年的漏洞风险进行剖析。
漏洞等级
超危漏洞:75个
高危漏洞:220个
中危漏洞:19个
低危漏洞:1个
在2020年发布的漏洞风险通告中,超高危漏洞占比高达94%。其中,超危漏洞占比24%,高危漏洞占比70%。值得关注是,低危漏洞的安全危害程度虽不及超高危漏洞,但依然不容小觑。
影响范围
影响范围广:102个
影响范围一般:100个
影响范围有限:113个
▲ 漏洞类型排名
从漏洞类型排名可以看出,漏洞利用类型多样化特征明显。其中,代码执行和反序列化漏洞两种漏洞类型被广泛利用。事实上,无论利用哪种漏洞类型,都会对目标对象造成不同程度的影响。
华云安通过对2020年所爆出漏洞进行总结分类的时发现:
①在安全产品的漏洞中,反序列化的漏洞、协议级漏洞、浏览器漏洞、操作系统漏洞仍然是恶意攻击者重点关注的对象。
②现阶段漏洞正在多样化和复杂化的道路上快速发展,代码执行漏洞正在逐步取代命令执行漏洞。
③随着安全措施的更加完善,开发安全意识的逐步提升,安全策略的大量涌现,相较以往,漏洞变得更加难以利用。
纵观华云安发布的2020年漏洞风险通告,我们建议:
1. 安装系统和软件的更新程序;
2. 配置安全策略,禁止外部访问特殊敏感端口(如3389、445、22);
3. 禁止漏洞高发协议的使用(SMBv1协议、SMBv3协议);
4. 对外部关闭涉及到反序列化操作的应用及协议 ( 如 IIOP/T3协议);
5. 内部建立使用安全DNS;
6. 将办公网和生产环境隔离。
SMBv3 协议“蠕虫级”漏洞
漏洞编号:CVE-2020-0796
漏洞类型:代码执行
风险等级:严重
影响版本:
Windows 10
Windows_server
威胁描述:
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限。
F5 BIG-IP 远程代码执行漏洞
漏洞编号:CVE-2020-5902
漏洞类型:代码执行
风险等级:严重
影响版本:
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5
威胁描述:
此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过 BIG-IP 管理端口和/或自身IP 对 TMUI 进行网络访问,以执行任意系统命令,创建或删除文件,禁用服务和/或执行任意操作 Java 代码。此漏洞可能导致完整的系统危害。设备模式下的 BIG-IP 系统也容易受到攻击。
NetLogon 特权提升漏洞
漏洞编号:CVE-2020-1472
漏洞类型:权限提升
风险等级:严重
影响版本:
Windows Server 2008
Windows Server 2012
Windows Server 2016
Windows Server 2019
威胁描述:
攻击者通过 NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在域网络中执行任意程序。
Windows TCP/IP 远程执行代码漏洞
漏洞编号:CVE-2020-16898
漏洞类型:代码执行
风险等级:严重
影响版本:
Windows 10
Windows Server 2019
Windows Server
威胁描述:
Windows TCP / IP 堆栈不正确地处理 ICMPv6 路由器播发数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。
Weblogic ConSole HTTP 协议代码执行漏洞
漏洞编号:CVE-2020-14882/14883
漏洞类型:代码执行
风险等级:严重
影响版本:
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
威胁描述:
远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代码。
英特尔无线蓝牙产品特权升级漏洞
漏洞编号:CVE-2020-12321
漏洞类型:权限提升
风险等级:严重
影响版本:
Intel® Wi-Fi 6 AX201
Intel® Wi-Fi 6 AX200
Intel® Wireless-AC 9560
Intel® Wireless-AC 9462
Intel® Wireless-AC 9461
Intel® Wireless-AC 9260
Intel® Dual Band Wireless-AC 8265
Intel® Dual Band Wireless-AC 8260
Intel® Dual Band Wireless-AC 3168
Intel® Wireless 7265 (Rev D) Family
Intel® Dual Band Wireless-AC 3165
威胁描述:
在 21.110 版本之前的某些英特尔无线蓝牙产品中,如果缓冲区限制不当,会导致未经身份验证的攻击者通过近邻访问完成特权升级。未经身份验证的攻击者可以构造特殊的数据包,通过与受漏洞影响主机的紧邻通信,将数据包发送到存在漏洞的主机上完成特权提升。
Microsoft Exchange Server远程代码执行漏洞
漏洞编号:CVE-2020-17132
漏洞类型:代码执行
风险等级:严重
影响版本:
Microsoft Exchange Server
威胁描述:
由于 Exchange 对 cmdlet 参数的验证不正确。经过身份验证的远程攻击者通过构造特殊的 HTTP 请求,可在 Exchange 服务器上执行任意代码。