来自 数据 2021-10-12 12:14 的文章

香港高防ip_高防服务器购买_解决方案

香港高防ip_高防服务器购买_解决方案

威胁参与者利用公开可用的概念验证代码,并利用脚本攻击组织和政府实体中未修补的漏洞。背景6月19日,澳大利亚网络安全中心(ACSC)发布了2020-008号公告,以回应有关威胁行为体针对澳大利亚政府机构和公司的报道。完整的咨询包括关于威胁行为体一直利用的针对政府和组织的多个脆弱性的信息:CVE公司产品CVSSv3CVE-2019-18935Telerik用户界面ASP.NET阿贾克斯9.8CVE-2019-19781Citrix应用程序交付控制器(ADC)和网关9.8CVE-2019-0604Microsoft SharePoint9.8该报告指出,这一威胁行为体正在利用公共概念证明(PoC)代码作为其攻击的一部分。它还强调了鱼叉式网络钓鱼活动,以及对该特定威胁参与者所使用的工具、技术和程序(TTP)的深入了解。分析Telerik用户界面ASP.NETAJAXCVE-2019-18935是Telerik UI中一个不安全的反序列化漏洞,Telerik UI是一个为应用程序构建表单的工具ASP.NET阿贾克斯。该漏洞存在于Telerik UI中用于异步上载文件的文件处理程序RadAsyncUpload中。该漏洞的发现归功于Code White GmbH的高级渗透测试人员Markus Wulftange和NCC Group的管理顾问Paul Taylor,他们负责进一步开发针对该漏洞的攻击代码。BishopFox的研究人员在2019年12月在CVE-2019-18935上发表了一篇博客文章。根据他们的帖子,CVE-2019-18935是Wulftange和Taylor工作的延续,他们还发现了RadAsyncUpload中的两个漏洞CVE-2014-2217和CVE-2017-11317。这两个先前发现的漏洞都允许通过两个不同的攻击向量进行无限制的文件上传。Telerik采取了措施来解决这些问题,但每次都会使脆弱性进一步演变,最终导致CVE-2019-18935。CVE-2014-2217是Telerik UI中RadControls的RadAsyncUpload控件中的绝对路径穿越漏洞ASP.NET阿贾克斯。Telerik对CVE-2014-2217的响应是向"rauPostData"添加加密,rauPostData是文件上载请求中的POST参数,包含序列化对象中的文件处理配置细节。加密实现的问题是RadAsyncUpload的AsyncUploadHandler中的加密密钥是用privatekeyforencryptionfradasyncuploadconfiguration的默认值进行硬编码的。该硬编码加密密钥的存在被指定为CVE-2017-11317。此漏洞允许修改配置文件中的TempTargetFolder变量,以定义应用程序具有写入权限的易受攻击服务器上的任何位置。2019年,Wulftange发现了CVE-2019-18935,ddos云防御买,他注意到rauPostData参数不仅包含序列化的配置对象,还包含对象定义的类型。此定义的类型由AsyncUploadHandler用于"准备.NET的JavaScriptSerializer.反序列化()方法以正确反序列化对象。"在反序列化期间,JavaScriptSerializer类调用setter方法来定义对象类型。如果攻击者将对象类型指定为远程代码执行(RCE)小工具而不是预期的Telerik.Web.UI.AsyncUploadConfiguration类型,它将允许在反序列化期间使用特殊属性,以便于执行任意代码。攻击者可以将前面提到的无限制文件上载漏洞与CVE-2019-18935结合起来,以定义在反序列化过程中可能执行此代码的对象类型。例如,上载恶意的混合模式程序集DLL,然后设置对象类型的反序列化系统配置安装.AssemblyInstaller并定义恶意文件的路径。Citrix应用程序交付控制器(ADC)和网关CVE-2019-19781是Citrix Application Delivery Controller(ADC)和网关中的一个路径遍历漏洞,Citrix于2019年12月修补了该漏洞。当时,人们对该漏洞的可利用性知之甚少,但该漏洞的严重程度足以使Tenable Security Response发布了一篇关于该漏洞的博客文章。在2020年1月中旬,Tenable Security Response撰写了另一篇博客文章,什么软件可以防御ddos,详细介绍了安全社区检测到的主动利用攻击,该攻击由SAN Internet Storm Center(ISC)确定。在一月底,另一篇安全响应博客文章被写出来,详细描述了在野外观察到的攻击的增加。SANS-ISC检测到攻击企图,并详细说明了利用漏洞脚本的泄露指示器(IoCs)。攻击者利用这些漏洞在易受攻击的目标上部署勒索软件。在2020年5月的网络安全基础设施安全局(CISA)的10大报告中,CVE-2019-19781被认为是2020年被利用最多的漏洞之一。成熟的攻击者创建了简单的攻击脚本,只需稍加修改,就可以利用目录遍历漏洞来建立反向shell。一旦建立,攻击者就可以锁定其他未暴露在internet上的资产。Microsoft SharePointCVE-2019-0604是Microsoft SharePoint中的一个RCE漏洞,ddos软件防御,原因是在检查应用程序包的源标记时输入验证不正确。在该补丁于2019年2月首次发布时,其CVSSv3得分为8.8。Tenable Security Response在2019年12月发布了一篇针对该漏洞的博客文章,指出该漏洞在野外被活跃利用,当时距离微软最初修补该漏洞已经超过9个月。安全研究人员克里斯·多曼(Chris Doman)在2019年5月发表了一篇推文,重点介绍了加拿大网络安全中心(Cyber Centre)和沙特阿拉伯国家网络安全中心(NCSC)关于在野外积极开发的报告。SharePoint CVE-2019-0604目前正在野外被利用-沙特报告(https://t.co/m6VmF7n2Js)加拿大人呢(https://t.co/yhzY8qgxi8)国家网络安全中心。一些额外的IOC@https://t.co/gsGOoh6h9rpic.twitter.com/70LQCOmuTn-克里斯·多曼(@chrisdoman)2019年5月9日在Cloudflare和安全研究员Kevin Beaumont的进一步分析后,最初的CVSSv3分数8.8增加到9.8。Cloudflare研究人员根据2019年5月底在其博客上发表的研究结果,建议提高CVSSv3得分。该博客文章强调,该漏洞可能在未经身份验证的情况下被利用,因为"存在未经身份验证即可访问的路径"。凯文·博蒙特(Kevin Beaumont)在2019年11月发布的一篇推文中进一步支持了Cloudflare的预认证利用证据,此前他观察到针对他的蜜罐的攻击被修改为支持SharePoint。昨天我修改了BluePot来支持SharePoint蜜罐。今天,袭击者到达。各机构应认真关注CVE-2019-0604的修补工作。另外,vpn防御ddos方法,CVE评分错误,它应该是CVS9.8,因为它在没有认证的情况下工作。pic.twitter.com/SV5Oq61Ftr-凯文·博蒙特(@GossiTheDog)2019年11月26日一年后,CVE-2019-0604继续在野外被积极开发。这一缺陷是一些突出和引人注目的违规行为的根源。NCSC和加拿大网络安全中心的最初报告都指出,攻击者部署了一个版本的China Chopper web shell来危害SharePoint服务器。Palo Alto Networks的研究人员将利用CVE-2019-0604的攻击与据报与中国政府有关联的黑客组织APT27(Missary Panda)联系起来。APT27将利用SharePoint漏洞首先危害服务器,然后安装web shell,这是其他组织观察到的趋势。APT27实现的webshell包括漏洞扫描程序、窃取凭证的工具和后门。一旦APT27在服务器上获得了最初的立足点,他们就会过滤数据,扫描网络,寻找易受攻击的系统,并试图转向其他系统。在2020年5月,CVE-2020-0604也被CISA列为2016年至2019年间被利用的最大漏洞之一。概念证明以下是这三个漏洞的POC列表。CVE公司类型统一资源定位地址CVE-2019-18935攻击脚本GitHub存储库CVE-2019-18935攻击脚本GitHub存储库CVE-2019-18935攻击脚本GitHub存储库CVE-2019-19781攻击脚本Github存储库CVE-2019-19781攻击脚本Github存储库CVE-2019-19781攻击脚本Github存储库CVE-2019-0604攻击脚本GitHub存储库CVE-2019-0604概念证明GitHub存储库解决方案ACSC的"复制-粘贴妥协"建议强调了这样一个事实,即攻击者实际上是在复制粘贴概念证明代码,防御ddos云盘,并利用已知漏洞的脚本对未修补的系统发起攻击。这强调了尽快应用补丁的重要性,因为攻击者将在补丁可用几个月后利用漏洞。下面是ACSC公告中列出的三个漏洞的可用修补程序列表。产品易受攻击的版本/分支固定版本Telerik公司ASP.NET阿贾克斯v2019.3.917及以下v2019.3.1023及以上Citrix ADC和网关10.510.5.70.12及以上Citrix ADC和网关11.111.1.63.15及以上Citrix ADC和网关1212.0.63.13及以上Citrix ADC和网关12.112.1.55.18及以上Citrix ADC和网关1313.0.47.24及以上Citrix SD-WAN广域网10.2.6亿11.1.51.615Citrix SD-WAN广域网11.0.3段11.1.51.615Microsoft SharePoint企业服务器2016KB4462211Microsoft SharePoint Foundation 2010 Service Pack 2KB4461630Microsoft SharePoint Foundation 2013 Service Pack 1KB4462143Microsoft SharePoint Server 2010 Service Pack 2KB44