页面篡改网络攻击事件的紧急预警
发布时间:2021-12-01
点击数:
页面篡改网络攻击事件的紧急预警
一、安全预警
近期,发现境外组织利用“Confluence 远程代码执行漏洞、 Struts2 远程命令执行漏洞、WebLogic 反序列化漏洞、Apache S hiro 反序列化漏洞、用友 UFIDA NC 远程代码执行漏洞、Jboss 等远程代码执行漏洞”进行网站内容篡改的网络攻击事件,鉴于 事件严重性,系统应用范围较广,因此威胁影响范围较大; 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
境外组织利用“ATLASSIAN CONFLUENCE 远程代码执 行漏洞、Struts2 远程命令执行漏洞、WebLogic 反序列化漏洞、 Apache Shiro 反序列化漏洞、用友 UFIDA NC 远程代码执行漏 洞、Jboss 等远程代码执行漏洞” 获取服务器权限,将网页内容 进行篡改威胁系统安全。
(二)攻击方式
1. Oracle WebLogic Server 多个安全漏洞
该组件涉及的漏洞主要有远程代码执行、WebLogic 反序列 化、 SSRF 漏洞、XXE 注入漏洞,成功利用该漏洞可拿到服务 器权限威胁系统安全。
影响范围
CVE 编号:CVE-2021-2135、CVE-2021-2136、CVE-2021-2157、CVE-2021-2211、CVE-2021-2109
受影响版本:WebLogic Server 10.3.6.0.0、WebLogic Server 12.1.3.0.0、WebLogic Server 12.2.1.3.0、WebLogic Server 12.2.1.4.0、WebLogic Server 14.1.1.0.0
处置建议
目前官方已提供程序补丁,下载地址如下: https://www.oracle.com/security-alerts/cpuapr2021.html
2. ATLASSIAN CONFLUENCE 远程代码执行漏洞
该漏洞可使攻击者在经过身份验证或在特定环境下未经身份 验证的情况下,可构造 OGNL 表达式进行注入,实现在 Confluence Server 或 Data Center 上执行任意代码。
影响范围
CVE 编号:CVE-2021-26084
受影响版本:Confluence < 6.13.23、6.14.0 ≤ Confluence < 7.4.11、7.5.0 ≤ Confluence < 7.11.6、7.12.0 ≤ Confluence < 7.12.5、Confluence < 7.13.0
处置建议
目前官方已提供缓解方案,可访问以下地址获知: https://confluence.atlassian.com/doc/confluence-security-advisory-2 021-08-25-1077906215.html
3. Struts2 远程命令执行漏洞
该组件涉及的漏洞主要为远程代码执行漏洞,成功利用该 漏洞可拿到服务器权限威胁系统安全。
影响范围
CVE 编号:CVE-2013-2251 (S2-016)、CVE-2017-5638 (S2-045、S2-046)
受影响版本:Struts2.0.0 - Struts2.3.15、Struts 2.3.5- Struts 2.3.31 Struts 2.5- Struts 2.5.10
处置建议
目前官方已提供程序补丁,可访问以下地址获知修复方式: https://cwiki.apache.org/confluence/display/WW/S2-016 https://cwiki.apache.org/confluence/display/WW/S2-045 https://cwiki.apache.org/confluence/display/WW/S2-046 将 Struts2 更新至最新版本。
4.Apache Shiro 反序列化漏洞
该组件涉及的漏洞主要为远程代码执行漏洞,成功利用该 漏洞可拿到服务器权限威胁系统安全。
影响范围
CVE 编号:CVE-2016-4437
受影响版本:Apache Shiro < 1.2.4
处置建议
修改 Apache Shiro 默认的密钥 Key
将 Apache Shiro 更新至最新版本。
5.JBoss 反序列化漏洞
该组件涉及的漏洞主要为远程代码执行漏洞,成功利用该 漏洞可拿到服务器权限威胁系统安全。
影响范围
CVE 编号:CVE-2017-12149、CVE-2017-7504
受影响版本:JBoss 5.x/6.x、JBoss 4.x
处置建议
将 JBoss 更新至最新版本。
5. 用友 UFIDA NC 远程代码执行漏洞
该组件涉及的漏洞主要为远程代码执行漏洞,成功利用该 漏洞可拿到服务器权限威胁系统安全。
影响范围
CNVD 编号:CNVD-2021-30167
受影响版本:用友 NC <= 6.5
处置建议
厂商已提供漏洞修补方案,授权用户可以访问下载链接进行 下载,补丁下载地址:http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af 483007db179a236016f594d37c01f22aa5f5d19
三、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接