2019年安全漏洞提示盘点-龙8app登录

1  漏洞公告

漏洞跟踪

2019年1月到12月，安恒信息应急响应中心共发布了超过50篇高危安全漏洞和高级攻击事件风险提示，包含30个以上软件产品和厂商的安全公告解读。

安全漏洞主要为远程代码执行漏洞或远程命令执行漏洞，此类漏洞的成功利用能直接远程获取目标系统管理权限或服务运行权限。

攻击事件主要为供应链攻击，此类攻击隐蔽性极高，成功实施可长时间建立隐蔽通道，获取目标主机敏感数据。

安恒信息应急响应中心第一时间对获取的威胁情报进行跟踪，分析、研判影响范围，并快速输出风险提示，及时提醒使用该产品的用户关注该厂商发布的安全更新补丁并采取临时可用的缓解措施避免遭受恶意攻击者的第一波攻击。

漏洞关注

安恒信息应急响应中心主要针对高危以上级别的漏洞或安全事件进行风险提示，具体定级参考包括cvss3.0版本风险矩阵基本分数（base score），包括：10或接近于10（9.8/9.9）的漏洞或9.5以上漏洞、综合漏洞严重程度、漏洞利用效果、利用代码公开程度、漏洞利用难度、黑客攻击行为、威胁情报样本、apt秘密泄露、威胁场景推演等参考，应急响应中心研判标准示例：

同时，安恒信息应急响应中心固定关注超过30个全球主流安全或软件厂商的安全公告发布通道，包括商业软件厂商、开源软件发布、超过50组动态情报来源、0day、apt样本等，覆盖用于边界突破的高危安全漏洞和内网漫游攻击事件的分析。

2  漏洞回顾

2019年1月

2019年1月提示了thinkphp存在远程代码执行漏洞。当时，网上已有该远程代码执行漏洞的poc，官方也已经出了安全漏洞补丁，可以通过git更新最新框架代码和手动修复漏洞。

同时，还提示了microsoft exchange server 2010-2016版本存在ad域内提取的漏洞（cve-2018-8581）。当时，网上已有实现提取效果的poc，官方也已经出了补丁，不过补丁未全面修复该漏洞；除了补丁外，可以通过修改exchange权限模型进行缓解。

1月还发生了疑似匿名者（anonymous）组织在推特和youtube上号召2月13日发起针对100个中国政府网站的闹剧，结果分析判断为只是胡闹。

2019年2月

2019年2月安恒信息网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面，通过分析发现被植入色情广告页面的网站都使用了kindeditor编辑器组件，跟踪发现是利用了在github上有人报告的kindeditor编辑器存在文件上传的漏洞。由于该漏洞的触发文件本是演示程序，实际部署中建议删除，但很多使用该组件的网站并没有删除，从而导致漏洞被利用，建议直接删除。

同时，还提示了低于5.61版本的winrar存在目录穿越漏洞，通过针对该漏洞构造的可控解压路径压缩包可以向系统指定目录释放恶意文件，该漏洞为客户端程序漏洞，执行攻击隐蔽性较高，建议更新版本或直接删除winrar安装目录下非必须的unacev2.dll动态库文件。

2019年3月

2019年3月安恒信息应急响应中心持续关注gandcrab勒索病毒传播情况时发现：当时该勒索病毒依然活跃。通过对5.2版本追踪分析，发现在3月又出现新的变种，主要还通过邮件附件传播，有伪装成“*.jpg”的可执行文件，有压缩打包*.js文件的，然后调用powershell下载加密程序，也有利用office宏下载vbs脚本再下载加密程序的等各种版本。

同时对华硕软件供应链攻击抓取的样本进行了分析。通过该样本包含有正常的数字签名“asustek computer inc.”确认，其证书的时间是2018年6月20日以后，说明攻击者应该是在2018年6月20日开始进行恶意代码下发，该攻击隐蔽性极高，建议更新版本或直接删除恶意模块并进行必要的网络异常排除。

2019年4月

2019年4月提示了apache http server发布的包括权限提升在内的多个安全漏洞（对应cve编号：cve-2019-0211、cve-2019-0217、cve-2019-0215、cve-2019-0197、cve-2019-0196、cve-2019-0220）。当时，官方已经出了安全漏洞补丁，可以通过更新版本进行漏洞修复，对于还在运行官方已不再维护安全更新的2.2之前早期版本，建议升级到新的无漏洞版本或是部署必要的安全防护设备拦截恶意攻击。

同时，还提示了iscsi存储服务不安全配置身份验证可能导致信息泄露风险、windows版本tomcat开启enablecmdlinearguments时可能让cgi servlet受到代码执行攻击的风险（对应cve编号：cve-2019-0232）；

drupal core存在远程代码执行漏洞的风险（对应cve编号：cve-2019-10910、cve-2019-10909、cve-2019-10911、cve-2019-10912、cve-2019-10913等）；

oracle weblogic server的远程代码执行漏洞（对应cve编号：cve-2019-2658、cve-2019-2646、cve-2019-2645等）的风险等。

对这些存在远程代码执行漏洞的产品，更新补丁是必要的，对于oracle weblogic server的远程代码执行漏洞，可以使用连接筛选器临时阻止外部访问7001端口的t3/t3s协议，针对7001端口的t3/t3s协议已经报过多次高危漏洞。

连接筛选器：weblogic.security.net.connectionfilterimpl

规则示例：

0.0.0.0/0 * 7001 deny t3 t3s#拒绝所有访问

允许和拒绝指定ip规则示例：

192.168.1.0/24 * 7001 allow t3 t3s#允许指定ip段访问

192.168.2.0/24 * 7001 deny t3 t3s#拒绝指定ip段访问

2019年5月

2019年5月提示了drupal core第三方类库typo3/pharstreamwrapper 存在反序列化保护机制可被绕过，导致远程代码执行漏洞的风险提示（对应cve编号：cve-2019-11831）。当时，官方已经出了安全漏洞补丁，可以通过更新最新框架代码修复漏洞。

同时提示了微软发布的5月安全更新补丁，其中包含一个rdp（远程桌面服务）远程代码执行漏洞的补丁更新（对应cve编号：cve-2019-0708）。该漏洞存在于windows比较老的版本中，主要包括：windows 7、windows server 2008和更老的windows xp、windows server 2003系统，如果这些系统开启远程桌面服务，默认监听端口tcp 3389，未安全更新容易受到攻击。

根据微软msrc公告，该漏洞如被恶意利用可能被开发成类似2017年爆发的wannacry蠕虫型快速自动快速传播病毒，当时，官方已经出了安全漏洞补丁，可以通过自动更新补丁和加固配置限制rdp端口的可控访问缓解。

应急响应中心针对rdp的安全运营建议：

如果需要开启远程桌面进行系统管理，建议开启系统防火墙或ip安全策略限制来源ip，即只允许指定ip访问；

启用本地安全策略（账户策略-密码策略），建议开启密码必须符合复杂性要求和长度最小值，以及启用账户锁定阀值；

考虑使用双因素身份验证措施，比如启用动态key方式；

保持系统安全更新补丁为最新状态，远程桌面协议(rdp)为内核服务，安装安全更新补丁后需要重启系统生效；

开启系统日志记录或网络安全设备日志记录对访问该端口的源ip进行记录和存档，以便预警和分析其入侵企图；

考虑在核心交换机部署流量分析设备，发现对rdp端口暴力破解密码的攻击行为，及时对攻击ip做限定访问的策略。

2019年6月

2019年6月提示了exim 4.87到4.91版本中一个可能实现本地提权和远程命令执行效果的漏洞（对应cve编号：cve-2019-10149）。当时，网上已有该漏洞的部分细节，官方也已经出了安全漏洞补丁，可以通过更新版本进行漏洞修复。

同时，还提示了coremail发布的3个高危漏洞。包括路径遍历和信息泄露等，这些漏洞存在于coremail的web服务端口，非web服务端口（smtp、pop3）不受影响，攻击者可以通过访问apiws、mailsms、wmsvr接口和模块获取邮件服务配置信息（如：数据库连接账号密码），通过泄露的信息，从而进一步进行越权访问。当时，网上已经有漏洞的利用代码出现，使用该产品的用户可以更新补丁或直接暂停web服务缓解。

6月还提示了oracle官方发布的一个weblogic 10.3.6.0, 12.1.3.0版本存在反序列化远程代码执行漏洞（cve编号：cve-2019-2725），该漏洞是由于xmldecoder反序列化操作导致的代码执行问题，oracle官方在2019年4月发布了补丁修复此问题,新补丁增加了对class元素的过滤。安恒信息应急响应中心监测到该补丁被绕过的利用代码出现，官方还未提供补丁（不过目前已经提供，可以通过补丁更新修复漏洞），该绕过方法利用了“forname”方法绕过了class元素的限制，实现了代码执行利用。

2019年7月

2019年7月提示了某物联网供应商elasticsearch和kibana不安全的配置部署导致海量数据泄露风险、palo alto发布的globalprotect portal/gateway接口存在远程代码执行漏洞、drupal发布的drupal 8.7.4版本存在访问控制绕过漏洞（对应cve编号：cve-2019-6342），对于globalprotect portal/gateway接口存在远程代码执行漏洞。对该漏洞的公开分析和利用代码已经出现，官方也已经出了安全漏洞补丁，可以通过安全更新或做安全加固配置缓解漏洞。

还提示了wind river（风河系统公司）发布的嵌入式系统vxworks的tcp/ip网络堆栈（ipnet）存在11个安全漏洞的公告。

漏洞代号统称：urgent/11（cve编号包括：cve-2019-12256、cve-2019-12257、cve-2019-12255、cve-2019-12260、cve-2019-12261、cve-2019-12263、cve-2019-12258、cve-2019-12259、cve-2019-12262、cve-2019-12264、cve-2019-12265），vxworks 7 (sr540和sr610)、vxworks 6.5-6.9以及使用interpeak独立网络堆栈版本的tcp/ip-stack组件存在11个漏洞。其中有6个为远程代码执行漏洞，漏洞由缓冲区溢出触发，成功利用该漏洞可能导致远程代码执行效果，从而获取设备的控制权，其余5个为拒绝服务、逻辑缺陷、信息泄漏等漏洞，而最新发布的vxworks 7 (sr620) 版本不受影响。官方已经出了安全漏洞补丁，可以通过安全更新补丁修复漏洞。

2019年8月

2019年8月提示了apache solr发布的8.2.0之前版本存在远程代码执行漏洞的公告（对应cve编号：cve-2019-0193）：apache solr在8.2.0之前版本的dataimporthandler模块启用时，不安全的"dataconfig"参数配置允许执行恶意构造的脚本代码，成功利用该漏洞可能导致远程代码执行效果。官方也已经出了安全漏洞补丁，可通过更新最新框架代码和手动修复漏洞。

还提示了微软发布的8月安全更新补丁，其中包含多个可能被利用的远程桌面服务远程执行代码漏洞（对应cve编号：cve-2019-1181、cve-2019-1182、cve-2019-1222、cve-2019-1226），以及可能导致信息泄露的漏洞（对应cve编号：cve-2019-1224、cve-2019-1225），该漏洞与5月14号发布的cve-2019-0708远程桌面服务远程执行代码漏洞类似，无需身份验证，无需用户交互，成功利用此漏洞的攻击者可以在目标系统上执行任意代码。官方已经出了安全漏洞补丁，可以通过安装安全更新补丁修复漏洞。

8月还提示了webadmin发布的1.930版本修复的一个远程代码执行安全漏洞（对应cve编号：cve-2019-15107），该漏洞存在于webadmin 1.920及以下版本中，攻击者可以利用password_change.cgi中重置密码功能验证逻辑漏洞，进行远程代码执行攻击。网上已存在该漏洞的验证poc和利用代码exp，官方也已经出了安全漏洞补丁，可以通过安装安全更新补丁修复漏洞。

2019年9月

2019年9月提示了exim发布的一个本地和远程代码执行漏洞（对应cve编号：cve-2019-15846）。该漏洞存在于exim 4.92.1之前的所有版本中，在接受tls连接的配置下，恶意攻击者可以在构造特殊的数据包在tls初始握手期间，通过发送以反斜杠空序列结尾的sni触发此漏洞，成功利用该漏洞可能实现以root权限本地和远程代码执行效果。网上已有部分漏洞利用代码公开，官方也已经出了安全漏洞补丁，可以通过升级版本修复漏洞。

同时更新了在5月份已发布rdp（远程桌面服务）远程代码执行漏洞（对应cve编号：cve-2019-0708）的情报。5月发布该漏洞风险提示后，网上陆续公开了一些针对该漏洞的识别扫描代码和能导致拒绝服务的poc代码，具有稳定利用的代码仅在小范围传播，未见公开；9月有人在github上的metasploit-framework漏洞利用框架工具平台，提交了针对64位windows 7和windows server 2008 r2（只有64位）版本利用的exp代码，运行windows 8和windows 10的用户不受此漏洞的影响，对于启用了网络级身份验证（nla）的受影响系统可以部分缓解。由于nla在触发漏洞之前需要身份验证，因此受影响的系统可以抵御可能利用该漏洞的“易受攻击”恶意软件或高级恶意软件威胁。如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程代码执行（rce）攻击。出于这些原因，微软强烈建议尽快更新所有受影响的系统，无论nla是否启用。

9月还提示了开源的云镜像管理平台harbor发布的一个可被未授权创建管理员账号的漏洞（对应cve编号：cve-2019-16097）、泛微oa发布的远程代码执行漏洞、以及提示了使用广泛的php环境集成程序包phpstudy被公告疑似遭遇供应链攻击，程序包自带php的php_xmlrpc.dll模块隐藏有后门的风险。安恒应急响应中心和研究院随即对国内下载站点提供下载的phpstudy安装包进行分析，确认phpstudy2016、phpstudy2018的部分版本有后门，建议使用该版本的用户立即进行安全加固处理。

另外，还提示了有漏洞发布网站（非vbulletin官方）公布了vbulletin v5（5.0.0到5.5.4）版本存在远程命令执行的漏洞利用代码，而影响最新的5.5.4版本当时还没发布多久（对应cve编号：cve-2019-16759）。漏洞细节和测试代码已经公开，官方也已经出了安全漏洞补丁，可以通过升级版本修复漏洞。

2019年10月

2019年10月提示了泛微e-cology oa发布的两次sql注入漏洞，oracle官方发布的2019年10月安全更新公告，包含了其家族多个产品的安全漏洞公告,其中有两个oracle weblogic server的高危漏洞（对应cve编号：cve-2019-2890和cve-2019-2891），oracle weblogic server核心组件t3服务和console组件存在反序列化漏洞，恶意攻击者可以通过调用http、t3协议攻击默认监听的7001端口，通过漏洞利用工具，从而实现远程代码执行效果。当时，官方也已经出了安全漏洞补丁，可以通过更新补丁修复漏洞。

同时，还提示了php官方发布的php fpm存在远程代码执行漏洞的补丁公告。在nginx搭载php fpm的组合下，当fastcgi不安全配置时，存在远程代码执行漏洞（cve编号：cve-2019-11043）。网上已有漏洞细节和测试代码已经公开，官方也已经出了安全配置参考，可以通过安全配置加固和修复漏洞。

10月，安恒应急响应中心监测到有人在github发布了apache solr velocity模版注入远程命令执行的测试代码，经分析和测试后确认有效。apache solr官方还未发布该漏洞的安全公告和补丁，提供了临时缓解措施：

由于通过https://lucene.apache.org/solr/downloads.html下载的apache solr 安装包默认是未授权访问，在当时官方还未发布补丁的情况下，建议在不影响系统正常服务的情况下，针对apache solr 开启登陆认证，并保证口令强度足够。

2019年11月

2019年11月提示了apache solr官方更新的一个安全漏洞公告，修复了一个在linux环境下部分版本不安全配置存在远程代码执行漏洞（cve编号：cve-2019-12409）。在linux 下的环境下的apache solr 8.1.1到8.2.0版本中默认启用不安全配置（enable_remote_jmx_opts="true"），如果开启jmx监听服务，可能导致远程代码执行的风险。网上已有漏洞细节和测试代码已经公开，官方也已经出了安全漏洞补丁，可以通过升级更新版本修复漏洞，官方更新主要更新配置选项enable_remote_jmx_opts为false，因此在不影响业务系统正常运行的情况下，可以直接修改apache solr的bin目录里的solr.in.sh配置文件中的enable_remote_jmx_opts字段值为false来缓解。

同时，还提示了jenkins官方发布的多个安全漏洞的安全公告（对应cve编号：cve-2019-16538、cve-2019-16539、cve-2019-16540），cve-2019-16538漏洞主要是安全插件（script security plugin）被绕过，导致任意代码执行的风险。该安全插件默认会进行安装，当插件版本低于1.68，存在漏洞的系统面临被恶意攻击者直接执行危险命令的可能，cve-2019-16539、cve-2019-16540漏洞主要由support core plugin插件导致的任意文件删除漏洞，该插件非默认安装，插件版本低于2.64，存在的漏洞的系统面临任意文件删除的风险。官方已经出了安全漏洞补丁，可以通过升级更新版本修复漏洞。

11月还提示了安恒信息安全研究院海特实验室研究员w0lfzhang向goahead官方上报了一个内存泄漏漏洞（对应cve编号：cve-2019-5096），该漏洞在处理重定向http请求时如果http包的host头超过一定大小导致内存泄漏。goahead的websredirect 函数用了一个固定大小的栈缓冲区来保存拷贝的host头，拷贝函数会把host头拷贝至该缓冲区。当host头超过一定大小时，拷贝会失败导致该缓冲区未初始化，可能导致泄露内存信息。官方已经出了安全漏洞补丁，可以通过升级更新版本修复漏洞。

另外，安恒信息安全研究院海特实验室研究员md4向cisco官方提交了一个关于cisco asa设备的远程代码执行漏洞（对应cve编号：cve-2019-15992）。该漏洞在cisco asa和ftd设备中由于lua解释器存在问题可导致远程认证的攻击者在设备上以root权限执行系统命令，该漏洞是由于对用户提供的lua脚本中的lua函数调用没有严格的限制造成的，远程攻击者可通过该漏洞触发堆溢出然后执行任意代码。官方已经出了安全漏洞补丁，可以通过安装安全更新补丁修复漏洞。

2019年12月

2019年12月提示了harbor发布的1.7.*, 1.8.*, 1.9.*版本存在多个漏洞的安全公告（对应cve编号：cve-2019-19023、cve-2019-3990、cve-2019-19025、cve-2019-19026、cve-2019-19029），安全补丁修补了包括sql注入、用户名枚举、权限提升、csrf等多个漏洞。官方也已经出了安全漏洞补丁，可以通过更新最新代码修复漏洞。

同时，还提示了在pypi上的python3-dateutil和jeilyfish包带有恶意代码的供应链攻击。经过分析发现：实际上这两个带有恶意代码的包是仿冒的python-dateutil（目前最新2.8.1版本）和jellyfish（目前最新0.7.2版本，仿冒的版本第一个l是i的大写i），含恶意代码具体文件是：jeilyfish/_jellyfish.py中的313到338行的代码，代码的扩展恶意行为主要是盗取本地的ssh和gpg的key，并发送到指定的服务器，随后官方删除了该代码。

12月还提示了apache olingo发布的4.7.0版本修复了之前版本一个存在不安全的反序列化漏洞（对应cve编号：cve-2019-17556）。apache olingo的abstractservice类是公共api的一部分，攻击者通过xmlmetadata方法构造特定gzip压缩的序列化对象，并且经过base64加密之后发送给相关接口，即可触发漏洞，造成执行危险命令的可能性。网上已有漏洞细节公开，官方也已经出了安全漏洞补丁，可以通过升级版本修复漏洞。

3  威胁态势

边界突破

从2019年跟踪的高危漏洞来看，大部分是来自应用服务接口的远程代码执行和远程命令执行、sql注入、敏感信息泄露等有利于在攻击生命周期中用于边界突破的漏洞。特别是在6月份，大量0day漏洞和补丁绕过的nday漏洞重新被利用，主要攻击目标是针对面向互联网提供应用服务的web服务器、中间件、通用框架代码等边界节点或设备、甚至是安全设备，站在防守的角度需要重点关注边界防护能力的提升。

高级威胁

从2019年爆出的供应链攻击案例来看，从pc自带的第三方客户端软件污染到开源软件组件代码污染等，供应链攻击已经从针对特定人群（开发人员、运维人员等）正式过渡到在全网普通用户中撒网式的特定目标，具有极高的隐蔽性，同时2019年披露和发现的apt攻击增多，站在防守的角度需要重点关注高级威胁分析能力的提升。

数据泄露

从2019年公开的数据泄露案例来看，物联网的高速发展和系统敏捷建设可能导致搭建的大数据平台工具，例如elasticsearch和kibana安装配置时未设置认证或弱密码的产生不安全的场景，从而导致上亿的海量敏感数据（比如可能包括：人员身份信息、生物信息、设备信息、定位信息等大类和若干细类的信息，特别是生物信息等泄露。

生物信息一旦泄露几乎是不可逆的信息泄露，暴露在互联网的接口或被无限制访问，恶意用户可以通过全网ip探测来实现大数据软件的资产识别和偷取利用。

4  安全建议

漏洞缓解

2019年，安恒信息应急响应中心主要提供高危以上级别的安全漏洞和高级攻击事件风险提示。发布风险提示时，优先推荐涉及漏洞产品官方提供的安全更新补丁、漏洞已经修复的新版本，官方提供的临时缓解措施、具体影响的版本范围等；其次是安恒应急响应中心和研究院提供的sumap（全球资产测绘）结果匹配影响区域范围和临时缓解措施，这些措施包括安全加固配置、推荐的安全产品部署等多种灵活的安全加固方案，最小程度减少用户在缓解安全漏洞的同时对系统正常运行的影响。

安恒信息应急响应中心还提供常态化的缓解建议，主要是安全开发生命周期建议、安全运营、蓝队建设等，同时还提供必要的远程和现场应急响应支持，帮助用户第一时间解决紧迫的网络攻击事件，并进行深度追踪、分析复盘apt级别的高级威胁。

关于龙8下载

安恒信息应急响应中心

安恒信息应急响应中心是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成，联动安恒信息威胁情报中心，共同针对最新威胁情报主动发现，重大安全漏洞、安全事件进行深度挖掘、分析、溯源，并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。第一时间通过多渠道对客户进行安全预警通知，并向国家相关部门通报，同时在相关部门的指导下，对影响面极广的漏洞对外发布安全预警和应急措施建议，为安全中国，营造健康、安全的数字化经济环境助力。

分子实验室

分子实验室聚焦于企业高级威胁防御体系建设的安全研究，方向主要有：devsecops和漏洞挖掘、反入侵和反apt的蓝队防御体系建设、高级威胁分析龙8app登录的解决方案等；成员主要来自安全服务部，结合多年的实用性安全技术研究经验和专业反入侵能力，专注向高端客户提供实用性强的前沿安全技术和龙8app登录的解决方案。安恒信息应急响应中心主要由分子实验室提供常态化情报分析，研究院、平台产品线也积极参与威胁情报和分析报告提供。

（关注“安恒应急响应中心”微信公众号，获取更多安全漏洞提示）