腾讯安全威胁情报中心推出2023年12月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考"安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度"等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2023年12月份必修安全漏洞清单详情:
一、 Apache OFBiz 未授权远程代码执行漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28231(CVE编号:CVE-2023-51467,CNNVD编号:CNNVD-202312-2291)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache OFBiz是一个开源的企业资源计划(ERP)系统,由Apache软件基金会开发和维护。它提供了一套全面的业务解决方案,包括电子商务,客户关系管理,仓库管理,订单管理,库存管理等功能。OFBiz的强大之处在于其高度的可定制性和扩展性,可以根据企业的具体需求进行定制和扩展,满足各种复杂的业务场景。
据描述,漏洞源于OFBiz在LoginWorker.java中使用
if (username == null || (password == null && token==null)作为鉴权条件,攻击者可以使用
USERNAME=&PASSWORD=s&requirePasswordChange=Y来绕过权限认证,进而执行Grovvy命令,最终实现远程代码执行。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 已发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 漏洞评分 | 9.8 |
影响版本:
Apache OFBiz < 18.12.11
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
- 临时缓解方案
在不影响业务的情况下配置访问控制策略,避免/webtools/control/ProgramExport接口暴露至公网。
漏洞利用可能性变化趋势:
P.S. 利用可能性大的漏洞需要被优先修复
漏洞利用可能性阶段飙升的原因:
- 2024.1.3号,漏洞PoC和EXP公开
二、 Apache OFBiz XML-RPC 远程代码执行漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-26330(CVE编号:CVE-2023-49070, CNNVD编号: CNNVD-202312-425)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,该漏洞源于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC组件,攻击者可以通过精心构造的请求从而绕过针对/control/xmlrpc的接口过滤限制,使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 已发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 漏洞评分 | 9.8 |
影响版本:
Apache OFBiz < 18.12.10
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
- 临时缓解方案
-
在不影响正常系统功能和业务的前提下,禁用xmlrpc接口。
-
限制xmlrpc接口访问,避免将该接口开放至公网。
三 、 Apache OFBiz 任意文件属性读取与SSRF漏洞
概述:
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28224(CVE编号:CVE-2023-50968,CNNVD编号:CNNVD-202312-2286)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,该漏洞源于OFBiz在LoginWorker.java中使用
if (username == null || (password == null && token==null)作为鉴权条件,攻击者可以使用
USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过权限认证,随后向webtools/control/getJSONuiLabelArray接口发送特制请求,最终读取配置文件或进行服务器端请求伪造(SSRF)攻击。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 已发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 中 |
| 利用难度 | 低 |
| 漏洞评分 | 7.5 |
影响版本:
Apache OFBiz < 18.12.11
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
- 临时缓解方案
- 在不影响业务的情况下配置访问控制策略,避免/webtools/control/getJSONuiLabelArray接口暴露至公网。
四、 Apache Struts 远程代码执行漏洞
概述:
腾讯安全近期监测到Apache 官方发布了关于Struts的风险公告,漏洞编号为TVD-2023-26445(CVE编号:CVE-2023-50164,CNNVD编号:CNNVD-202312-546)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Struts是一个流行的开源Java Web应用框架,由Apache软件基金会开发和维护。它采用MVC(模型-视图-控制器)设计模式,帮助开发者更轻松地构建可扩展、可维护的Web应用程序。Struts2提供了丰富的标签库、拦截器和插件等功能,以便于开发者实现各种Web应用需求,同时降低了开发复杂度和提高了代码重用性。
据描述,该漏洞源于Struts文件上传逻辑存在缺陷,攻击者可以利用该漏洞进行路径遍历,从而上传恶意文件到服务器的任意位置,最终导致远程命令执行。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 已发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 漏洞评分 | 9.8 |
影响版本:
2.0.0 <= Apache Struts <= 2.3.37
2.5.0 <= Apache Struts < 2.5.33
6.0.0 <= Apache Struts < 6.3.0.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://struts.apache.org/download.cgi
- 临时缓解方案
-
避免将无需授权的文件上传路径暴露至公网。
-
在文件上传位置集成一个拦截器,对上传的文件进行验证。
五、 Confluence Data Center及Confluence Server远程代码执行漏洞
概述:
腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Confluence Server的风险公告,漏洞编号为TVD-2023-26385(CVE编号:CVE-2023-22522,CNNVD编号:CNNVD-202312-479)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Confluence是一款由Atlassian公司开发的企业级协作软件,它提供了一个集中式的平台,让团队成员能够共享知识、创建、编辑和协作文档。Confluence具有强大的页面编辑器、模板功能和丰富的插件,可以帮助企业实现高效的项目管理、知识库维护和团队协作,提高整体生产力。
据描述,Confluence Data Center and Server受影响版本中存在模版注入漏洞,允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将恶意代码注入到 Confluence中,最终实现远程代码执行。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 未发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 高 |
| 利用难度 | 中 |
| 漏洞评分 | 8.8 |
影响版本:
4.0.0 <= Confluence Data Center and Server < 7.19.7
8.0.0 <= Confluence Data Center and Server < 8.4.5
8.5.0 <= Confluence Data Center and Server < 8.5.4
8.6.0 <= Confluence Data Center < 8.6.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
- 临时缓解方案
-
通过网络ACL策略限制访问来源,将实例设置为不允许匿名访问。
-
不将实例暴露至公网。
注意: 如Confluence 站点托管在Atlassian Cloud(域名为atlassian.net),则不受此漏洞影响。
六、 Apache Dubbo 反序列化漏洞
概述:
腾讯安全近期监测到Apache 官方发布了关于Dubbo的风险公告,漏洞编号为TVD-2023-27254(CVE编号:CVE-2023-29234,CNNVD编号:CNNVD-202312-1524)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Dubbo是一款开源的高性能、轻量级的分布式服务框架,主要用于Java应用程序。它提供了一种简单、高效的远程过程调用(RPC)机制,支持负载均衡、容错和服务治理等功能,帮助开发者轻松构建和管理大规模的微服务架构。Dubbo通过对服务提供者和消费者的解耦,实现了服务的动态发现和调用,从而提高了系统的可扩展性和可维护性。
据描述,该漏洞源于ObjectInput.java中的readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者从而利用该特性执行任意代码。
漏洞状态:
|--------|--------|
| 类别 | 状态 |
| 安全补丁 | 已公开 |
| 漏洞细节 | 已公开 |
| PoC | 已公开 |
| 在野利用 | 未发现 |
风险等级:
|----------|--------|
| 评定方式 | 等级 |
| 威胁等级 | 高危 |
| 影响面 | 高 |
| 攻击者价值 | 高 |
| 利用难度 | 中 |
| 漏洞评分 | 9.8 |
影响版本:
3.1.0 <= Apache Dubbo <= 3.1.10
3.2.0 <= Apache Dubbo <= 3.2.4
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/dubbo/releases
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报