> 更多黑客技能 公众号:白帽子左一
今日趣闻
文案有风险,钓鱼需谨慎
2021HW | 04/09 第一天总结
2021HW | 04/10 第二天总结
4月10日,奇安信补天情报站全面研判后,提醒广大客户关注今晚的补丁包,尽快升级,提升防护能力。
截至2021年4月10日22点,奇安信补天情报站共监测到11个漏洞,涉及到8家厂家。
今日监测到54个漏洞,涉及33家厂商。
今日炒冷饭(早已发现且被修复的过期漏洞)3个,其余漏洞中需重点关注的证实漏洞为6个,其余漏洞持续监测中。
漏洞编号:B-T-V-0037
漏洞名称:用友NC 反序列化利用(更新状态:4月9日未证实,4月10日已证实)
涉及厂商:用友
漏洞等级:高危
影响版本:NC6.5
可信度:90%
漏洞关注点:
/service/~xbrl/XbrlPersistenceServlet
是否公开:是
是否有POC:是
首次发现时间:2021年4月9日
情报来源:互联网
防护建议:
更新天眼规则升级包到规则ID:0x10020D44 版本号:3.0.0410.12745
奇安信安域Web应用防护系统 规则ID:180840014 版本号:20210410004
奇安信网神智慧防火墙 规则id:1242201 版本号:2104112000及以上版本
奇安信网神网络数据传感器 规则ID:6374 版本号:2104102130
虚拟化安全管理平台windows版 规则id:2923982 版本号:2021.04.13
虚拟化安全管理平台linux版 规则id:313824 版本号:2021.04.13
奇安信网神统一服务器安全管理平台 规则Id:63823982 版本号:10351
漏洞编号:B-T-V-0043
漏洞名称:金山终端安全系统 V8/V9存在文件上传漏洞
涉及厂商:DzzOffice
漏洞等级:高危
漏洞关注点:
dzz/shares/index.php
是否公开:是
是否有POC:是
首次发现时间:2021年4月8日
情报来源:互联网
备注:2021年4月9日相关漏洞分析及poc被公开,有利用风险
防护建议:
更新天眼规则升级包到规则ID:0x10020D4B 版本号:3.0.0410.12743
奇安信网神网络数据传感器 规则ID:6373 版本号:2104101700
奇安信网神智慧防火墙 规则id:1240501 版本号:2104102010及以上版本
漏洞编号:B-T-V-0047
漏洞名称:齐治堡垒机某版本任意用户登录
涉及厂商:齐治
漏洞等级:高危
漏洞关注点:
/audit/gui_detail_view.php
是否公开:是
是否有POC:是
首次发现时间:2021年4月9日
情报来源:互联网
防护建议:
更新天眼规则升级包到规则id: 0x10020D48 版本号:3.0.0410.12743
奇安信网神网络数据传感器 规则ID:6370 版本号:2104101200
奇安信安域Web应用防护系统 规则ID:181240001 版本号:20210410001
奇安信网神智慧防火墙 规则id:1242101 版本号:2104102010及以上版本
虚拟化安全管理平台windows版 规则id:2923977 版本号:2021.04.12
虚拟化安全管理平台linux版 规则id:313820 版本号:2021.04.12
奇安信网神统一服务器安全管理平台 规则Id:63823977 版本号:10350
漏洞编号:B-T-V-0048
漏洞名称:致远OA远程代码执行漏洞
涉及厂商:致远
漏洞等级:高危
漏洞关注点:暂不公开
是否公开:否
是否有POC:是
首次发现时间:2021年4月10日
情报来源:捕获漏洞
防护建议:
更新天眼规则升级包到规则ID:0x10020D49 版本号:3.0.0410.12743
奇安信安域Web应用防护系统 规则ID:180680004 版本号:20210410002
奇安信网神智慧防火墙 规则id:1240301 版本号:2104102010及以上版本
奇安信网神网络数据传感器 规则ID:6371 版本号:2104101200
虚拟化安全管理平台windows版 规则id:2923978 版本号:2021.04.12
虚拟化安全管理平台linux版 规则id:313821 版本号:2021.04.12
奇安信网神统一服务器安全管理平台 规则Id:63823978 版本号:10350
漏洞编号:B-T-V-0049
漏洞名称:浪潮 ClusterEngineV4.0 任意命令执行2
涉及厂商:浪潮
漏洞等级:高危
漏洞关注点:
/alarmConfig
是否公开:是
是否有POC:是
首次发现时间:2021年4月10日
情报来源:互联网
备注:2021年4月10日相关漏洞分析及poc被公开,有利用风险
防护建议:
更新天眼规则升级包到规则ID:0x10020D4A 版本号:3.0.0410.12742
奇安信网神网络数据传感器 规则ID:6372 版本号:2104101400
奇安信网神智慧防火墙 规则id:1240401 版本号:2104102010及以上版本
奇安信安域Web应用防护系统 规则ID:181250001 版本号:20210410003
漏洞编号:B-T-V-0054
漏洞名称:金山WPS存在远程堆损坏漏洞
涉及厂商:金山
漏洞等级:高危
是否公开:是
是否有POC:否
首次发现时间:2021年4月9日
情报来源:互联网
漏洞列表:
漏洞编号:B-T-V-0035
漏洞名称:Apache Solr任意文件读取漏洞(状态更新:4月8日未证实,4月10日确认为炒冷饭)
涉及厂商:Apache Solr
漏洞等级:高危
影响版本:Solr全版本
漏洞关注点:
/solr/db/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd
是否公开:是
是否有POC:是
首次发现时间:2021年3月17日
情报来源:互联网
漏洞编号:B-T-V-0046
漏洞名称:Apache Struts 2.x REST远程代码执行(实际为S2-052)
涉及厂商:Apache Struts
漏洞等级:高危
影响版本:2.1.1到2.3.x之前的2.3.x和2.5.13之前的2.5.x
漏洞关注点:
com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource
是否公开:是
是否有POC:是
首次发现时间:2017年9月6日
情报来源:互联网
漏洞编号:B-T-V-0053
漏洞名称:用友NC协同管理软件存在目录遍历漏洞
涉及厂商:用友
漏洞等级:高危
影响版本:未知
漏洞关注点:
/NCFindWeb?service=IPreAlertConfigService&filename=
是否公开:是
是否有POC:是
首次发现时间:2015年10月15日
情报来源:互联网
漏洞编号:B-T-V-0050
漏洞名称:coremail疑似存在漏洞
涉及厂商:论客
漏洞等级:高危
可信度:50%
是否公开:否
是否有POC:否
首次发现时间:2021年4月10日
情报来源:互联网
漏洞编号:B-T-V-0051
漏洞名称:Exchange疑似存在某漏洞
涉及厂商:微软
漏洞等级:不明确
可信度:10%
是否公开:否
是否有POC:否
首次发现时间:2021年4月10日
情报来源:互联网
情报编号:B-T-I-0005
危险等级:高
评判类型:攻击队IP
涉及行业:金融/财税/能源/企业
攻击队IP:221.236.18.88,122.10.82.221,68.132.136.198,116.1.86.117,45.77.148.89,42.193.3.60,68.150.109.112,119.52.193.79,216.244.66.239,203.248.175.71
处置建议:封禁&溯源
情报编号:B-T-I-0006
危险等级:高
评判类型:攻击队IP
涉及行业:金融/财税/能源/烟草/企业
攻击队IP:139.214.87.183,51.210.166.116,167.71.175.162,139.155.230.32,47.98.187.238,42.193.37.228,123.56.72.196,14.116.218.7,121.5.39.223,37.49.225.166
处置建议:封禁&溯源
情报编号:B-T-I-0007
危险等级:高
评判类型:攻击队IP
涉及行业:金融/环境/通信/企业
攻击队IP:
80.82.77.33,39.103.130.139,42.51.34.229,101.69.134.96,58.216.2.51,58.216.2.59,121.89.205.44,121.5.147.143,221.213.198.194,183.201.200.142
处置建议:封禁&溯源
情报编号:B-T-I-0008
危险等级:高
评判类型:攻击队IP
涉及行业:财税/电力/企业
攻击队IP:
223.149.126.81,58.216.2.67,58.216.2.180,39.99.241.200,130.61.76.90,42.193.12.196,122.228.23.154,101.69.134.100,150.138.138.79,114.228.56.150
处置建议:封禁&溯源
情报编号:B-T-I-0009
危险等级:高
评判类型:攻击队IP
涉及行业:财税/通信/能源/电力/企业
攻击队IP:
58.216.2.86,39.103.201.163,114.228.62.108,58.216.2.195,138.197.89.132,223.149.126.176,106.120.139.59,58.216.2.87,121.196.214.192,221.237.189.210
处置建议:封禁&溯源
情报编号:B-T-I-0010
危险等级:高
评判类型:攻击队IP
涉及行业:财税/电力/企业
攻击队IP:58.246.221.40,58.246.221.42,47.101.53.132,39.99.155.39,39.101.177.198,39.99.253.241,101.69.134.98,47.92.78.22,113.142.198.120,117.136.33.147
处置建议:封禁&溯源
情报编号:B-T-I-0011
危险等级:高
评判类型:攻击队IP
涉及行业:金融/财税/电力/企业
攻击队IP:121.201.72.2,39.101.167.221,39.103.134.84,114.228.50.100,106.75.119.46,101.32.218.253,211.91.248.29,211.91.248.28,47.92.35.221,113.96.198.245,115.216.242.9,218.91.30.171
处置建议:封禁&溯源
情报编号:B-T-I-0012
危险等级:高
评判类型:攻击队IP
涉及行业:环境/财税/电力/企业
攻击队IP:119.52.194.164,39.101.129.203,39.99.158.49,122.228.23.160,47.254.247.217,8.208.101.38,114.117.166.86,114.228.58.90,122.51.147.168,113.142.198.185
处置建议:封禁&溯源
2个安全工具发布更新,具体信息如下:
1、冰蝎
Behinder_v3.0 Beta 72021.4.8修复问题如下:
1.数据库查询内容显示不正常;
2.关闭主界面后,虚拟终端后台线程继续请求;
3.某些场景下中文路径显示乱码;
4.优麒麟系统无法弹出窗口;
5.某些不能自动保存;
6.某些场景下提示数据库被锁定;
7.目标https证书过期连接问题;
8.Jar包缩小,Jar包执行不再区分操作系统平台,提供跨平台版本;
9.删除了一些特征;
10.其他一些问题;
2、goby
测试版(1.8.239)•2
021年4月2日更新情况如下:
•总共有44个新漏洞:Weblogic Server RCE(CVE-2021-2109),Apache Flink Upload(CVE-2020-17518),lanproxy目录遍历(CVE-2021-3019),Ruijie EG RCE,Apache Druid RCE(CVE -2021-25646)等;
•添加IP库:活动挂图战斗!通过根域,快速定义目标网络资产图;
•添加ICON映射功能:支持查询规则以搜索当前任务资产,例如查询ip,端口,应用,协议,标题等;
•新服务器管理:支持添加多个远程服务器,并支持服务器管理;
•添加对Windows 32位,mips和arm版本的支持:当前仅限于命令行启动,启动方法与Windows 64位相同,运行goby-cmd:
./goby-cmd -apiauth用户:pass -mode api -bind 0.0 .0.0:8361
•新协议:星号,梭子鱼-bcp,信标ccnet,ceph,daap,firebird,nomachine-nx,remoting,rtmp,stun,svrloc,varnish-cli等;
•新扩展:弱密码字典:DictionaryConfig,定时任务功能:任务队列等;
•支持指定多个poc进行扫描;
•解决在线升级问题;
•优化漏洞利用的编码显示;
•纠正pocs的一些错误;
•解决了由中国主题引起的白屏问题;
•解决了无法显示网站屏幕截图的问题;
•优化部分隐藏的深层但经常使用的功能交互;
威胁情报信息收集2600余条,部分情况如下:
红队IP:
36.32.3.116
112.117.113.39
111.162.145.36
36.5.197.212
23.233.237.73
92.118.160.25
175.9.44.160
58.19.216.52
58.253.182.54
89.252.131.18
218.206.249.133
119.52.194.164
139.214.87.158
222.178.134.72
45.146.165.165
45.148.10.45
45.155.205.151
45.155.205.211
116.85.44.231
124.64.18.205
125.111.7.14
148.81.111.121
106.121.3.115
185.172.111.212
扫描二次验证过的 cobalt strike 地址:
1.14.4.51
1.14.19.101
1.15.29.198
1.15.48.111
1.15.67.142
HW日记(来源于网络)
2021年4月10日 周六 阴
早晨只是在朋友圈发了一句"你可以试探",结果,中午遭遇两个0day攻击,一上来就是核武器。业务系统临时下线处理还被攻击队频繁举报非法防守,我晓得,他瞄上我了!
暮色来袭,坚守了30小时,拖着疲惫的身躯回家,迷迷糊糊中,走进一个梦境。愿梦里没有攻击!
2021年4月10日 星期六 晴
今天邮件网关截获到一个HR发送过来的宏病毒Word文档,客户让我火速分析。心头一紧,我啷个会分析这个,我只是一个混吃等死的废物罢了,抱着忐忑的心把文件丢到虚拟机里,刚丢进去火绒就告警了宏病毒,客户说你把宏代码截取出来看看它的行为.
我的WPS不支持宏,我沉默了,也许在这一刻,我的临时工身份已经彻底暴露,客户的脸色不是很好,今天中午的饭到现在也没送来,可能我已经不配吃他们的午饭了。生而为人,我很抱歉。