【8/23特辑】今日热点漏洞,你排查了没?
【8/23特辑】今日热点漏洞,你排查了没?
安恒研究院 安恒信息CERT 2024-08-23 18:06
|
漏洞导览 |
|
|
· 赛蓝企业管理系统存在SQL注入漏洞 |
|
|
· 金和OA存在SQL注入漏洞 |
|
|
· 东胜物流软件存在SQL注入漏洞 |
|
|
· 金和OA存在SQL注入漏洞 |
|
|
· 汇智企业资源管理系统存在文件上传漏洞 |
漏洞概况
在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理。我们将对监测到的每一个漏洞进行深入分析和评估,为蓝队(防守方)输出漏洞清单。这份清单旨在帮助蓝队在攻防演练期间进行自检,并采取必要的措施来强化防护。
1、
赛蓝企业管理系统存在SQL注入漏洞
安恒CERT漏洞编号:
WM-202408-000100****
漏洞详情:
赛蓝企业管理系统GetImportDetailJson存在SQL注入漏洞,攻击者通过观察应用程序的响应时间来判断SQL语句的真假,进而获取数据库信息。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
2、
金和OA存在SQL注入漏洞
安恒CERT漏洞编号:
WM-202408-000101****
漏洞详情:
金和OA DBModules.aspx SQL注入漏洞,攻击者会精心构造特定的输入语句,这些语句在被数据库执行时,根据输入的不同条件会产生不同的响应时间差异来推断信息。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
3、
东胜物流软件存在SQL注入漏洞
安恒CERT漏洞编号:
WM-202408-000103****
漏洞详情:
东胜物流软件CompanysAccountGridSource存在SQL注入漏洞,攻击者可以通过在HTTP请求中插入恶意SQL代码,以获取未授权的数据访问或控制服务器。
产品支持情况:
AiLPHA大数据平台
、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
4、
金和OA存在SQL注入漏洞
安恒CERT漏洞编号:
WM-202408-000104****
漏洞详情:
金和OA SignUpload 存在SQL注入漏洞,攻击者通过判断数据库的响应时间,从而推断出数据库的某些信息,如表名、列名或数据内容。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
5、
汇智企业资源管理系统存在文件上传漏洞
安恒CERT漏洞编号:
WM-202408-000105****
漏洞详情:
汇智企业资源管理系统存在文件上传漏洞,攻击者可以通过该漏洞上传恶意文件到服务器,可能导致服务器的控制权被攻击者获取或执行不当命令。
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持
恒脑x漏洞分析
报文分析
请求报文案例:
POST /aa/bb/cc.aspx?xxxxxx HTTP/1.1
Host:
Content-Length: 1033
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary= ----*****
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.171 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
------*****
Content-Disposition: form-data; name="__VIEWSTATE"
<payload>
------*****
Content-Disposition: form-data; name="***"; filename="1"
Content-Type: image/jpeg
<payload>
恒
脑告警研判智
能体对采集到的流量从网络安全的角度进行专业分析与细致
评估,从海量的数据报文中将该攻击流量捕获,发出告警。其采用分点论述的方法,清晰地解释了问题,让我们一起来看看它的表现如何吧!
一、总体判断
提交的报文从网络安全角度分析,具有恶意特征。该报文尝试上传一个包含HTML和ASP.NET代码的文件,这通常与WebShell上传攻击相关。WebShell是一种在Web服务器上运行的脚本,攻击者可以利用它来执行任意代码,控制服务器,窃取数据,或进行进一步的网络渗透。
二、详细功能
payload是包含在**字段中的HTML和ASP.NET代码。payload的目的是在服务器上执行恶意代码,这可能包括但不限于执行命令、上传或下载文件、收集敏感信息等。
payload中包含了ASP.NET的<%@ Page Language=”C#” %>指令,表明这是一个ASP.NET WebShell。
三、解决方案
针对提供的报文内容特征,可以采取以下措施进行封堵:
封堵特定URL:
封堵/aa/bb/cc.aspx,阻止上传功能被恶意利用。
封堵特定文件类型:
阻止.aspx文件的上传,因为它们可能包含恶意代码。
封堵特定请求方法:
限制或监控POST请求,特别是那些包含multipart/form-data类型的数据。
封堵特定参数:
监控和阻止包含__VIEWSTATE和__VIEWSTATEGENERATOR的请求,这些参数可能被用于跨站请求伪造(CSRF)攻击。
封堵特定内容:
使用正则表达式或模式匹配来检测和阻止包含%@和%的请求,这些是ASP.NET代码的特征。
四、正则匹配
正则规则如下,用于匹配关键恶意要素:
\bContent-Disposition:\s+form-data;\s+name="**"\b.*?\b<!DOCTYPE\s+html\b.*?\b%>\s*</html>\b
此正则表达式将匹配包含**字段名的Content-Disposition头,以及HTML和ASP.NET代码,包括<!DOCTYPE html和%>标签,用于检测WebShell上传尝试。请注意,实际应用中可能需要根据具体环境调整正则表达式,以避免误报或漏报。
在实际的攻防场景中,恒脑通过持续采集前端流量,并结合24小时不间断的自动分析和实时矫偏技术,能够及时发现并响应漏洞威胁,从而确保网络安全高效运转。无论是面对传统漏洞还是全新的未知威胁,恒脑展现出了卓越的应变能力和防御效果。
关于我们
安恒信息应急响应中心(CERT)是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。
中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞和安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
第一时间通过多渠道对客户进行安全预警通知,并向国家有关部门通报,同时在有关部门的指导下,对影响面极广的漏洞对外发布安全预警和应急措施建议,为安全中国,营造健康、安全的数字化经济环境助力。
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
往/期/回/顾