盘点 | 2021年十大网络安全漏洞
漏洞与信息化进程相伴而生,为加强网络安全防护、避免漏洞所引发的威胁,漏洞管理成为重要IT策略。2021年,因漏洞导致的各类安全事件频发,涉及经济、民生的方方面面,提高安全意识已势在必行。以下为中科三方梳理的2021年十大网络安全漏洞,一起来看下吧。
一、Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。
Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷,就可以实现目标服务器任意命令执行,获取目标服务器权限。
由于日志记录存在的普遍性,所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见,未来数月甚至数年该漏洞才能得到比较全面的修补。
漏洞涉及CVE编号:CVE-2021-44228
漏洞影响版本:Apache log4j2 2.0 至 2.14.1 版本
二、QNAP NAS Roon Server套件认证绕过、命令注入漏洞
2021年6月11日,CNCERT发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限绕过漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相关的细节,并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中,QNAP官方于2021年6月4日重新发布修复后的应用。
在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。
勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是第一个也不会是最后一个。
漏洞涉及CVE编号:CVE-2021-28810、CVE-2021-28811
三、Microsoft Exchange高危攻击链
2021年3月3日微软紧急发布了Exchange更新补丁,披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用,其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证,可以结合
CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下:
CVE-2021-26855服务端请求伪造漏洞,可以绕过Exchange Server的身份验证。
CVE-2021-26858/CVE-2021-27065任意文件写入漏洞,需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。
漏洞涉及CVE编号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065
四、VMware vCenter Server未授权远程命令执行漏洞
Vmware vCenter Server是ESXi的控制中心,可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。
2021年5月25日,VMware官方发布安全公告,修复了VMware vCenter Server和VMware Cloud Foundation 远程代码执行漏洞(CVE-2021-21985)和身份验证漏洞(CVE-2021-21986)。其中 CVE-2021-21985漏洞攻击复杂度低,且不需要用户交互,攻击者可利用该漏洞在目标系统上执行任意命令,从而获得目标系统的管理权限。
漏洞涉及CVE编号:CVE-2021-21985
漏洞影响版本:
Vmware vCenter Server 7.0 系列 < 7.0.U2b
Vmware vCenter Server 6.7系列 < 6.7.U3n
Vmware vCenter Server 6.5 系列 < 6.5.U3p
Vmware Cloud Foundation 4.x 系列 < 4.2.1
Vmware Cloud Foundation 3.x 系列 < 3.10.2.1
五、Zyxel NAS FTP 服务未授权远程命令执行漏洞
Zyxel是国际知名品牌的网络宽带系统及解决方案的供应商。
2020年,Zyxel 多个型号NAS以及防火墙设备被曝出存在未授权RCE漏洞(CVE-2020-9054 ),该漏洞被用于地下黑市售卖,其价值高达 20000美元,漏洞成因是Zyxel NAS和防火墙产品中使用的PAM认证模块存在漏洞,未经身份认证的攻击者可以通过Web服务入口 weblogin.cgi程序的username字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件补丁。
经过验证,Zyxel官方只修复了漏洞的入口点,对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复,这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。
漏洞涉及CVE编号:CVE-2020-9054 补丁绕过
六、Windows Print Spooler 远程代码执行漏洞
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。
2021年6月29日,有安全研究人员公开了一个Windows Print Spooler 相关的exp,也被称为PrintNightmare。后经过验证,微软为该漏洞分配了一个新的CVE编号:CVE-2021-34527。利用该exp,攻击者能够以 SYSTEM 权限控制域控主机,微软在7月7日紧急修复了该漏洞。
攻击者可以通过该漏洞绕过SplAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整地控制整个域环境。
漏洞涉及CVE编号:CVE-2021-34527
七、Apache HTTPd 路径穿越和远程命令执行漏洞
2021年9月29日,国外安全研究员向Apache官方提交了Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773),官方于10 月 1日修复了该漏洞并且于10月4日发布新版本Apache HTTPd 2.4.50。
2021年10 月5日,Github上开始出现漏洞CVE-2021-41773的POC,经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取,甚至可以在cgi模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过,于是10月7日,Apache官方再次发布新版本Apache HTTPd 2.4.51修复了CVE-2021-41773的绕过问题并且注册了新的 CVE 编号CVE-2021-42013。
漏洞涉及CVE编号:CVE-2021-41773,CVE-2021-42013
八、Confluence Webwork OGNL表达式注入漏洞
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。
2021年8月25日,Confluence发布漏洞公告,Confluence Webwork OGNL存在表达式注入漏洞,编号为:CVE-2021-26084。
经过分析,2021年9月1日,国外安全研究人员公开了该漏洞细节,未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证,无需授权访问的接口
/pages/createpage-entervariables.action 存在OGNL表达式注入的问题,这也使得该漏洞的影响面和危害进一步扩大。
漏洞涉及CVE编号:CVE-2021-26084
漏洞影响版本:
Confluence Server & Confluence Data Center < 6.13.23
Confluence Server & Confluence Data Center < 7.11.6
Confluence Server & Confluence Data Center < 7.12.5
Confluence Server & Confluence Data Center < 7.4.11
九、锐捷网关未授权远程命令执行漏洞
2021年1⽉12⽇,⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于/guest_auth/guestIsUp.php接口未过滤用户输入,直接拼接到命令执行,未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。
该漏洞影响范围比较广,通过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录(数据查询日期:2021年1月19日),主要分布在中国。
十、GitLab未授权远程命令执行漏洞
GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。
2021年4⽉14⽇,GitLab 官⽅发布安全通告,GitLab CE/EE 中存在认证 RCE 漏洞,并分配漏洞编号CVE-2021-22205,随后也有相关的POC公布,但由于需要认证,该漏洞影响范围有限。
2021年10月25日,HN Security发文称,有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞,并公开了攻击者使用的payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低,带来的是漏洞影响范围的扩大,影响有限的漏洞也能发挥出惊人的破坏力。
漏洞涉及CVE编号:CVE-2021-22205
盘点 | 2021年十大网络安全漏洞相关推荐
- 盘点 2021 年十大网络安全事件
在网络安全领域,2021年注定是不平静的一年.世界各地频发网络安全事件,诸如数据泄漏.勒索软件.黑客攻击等等层出不穷,有组织.有目的的网络攻击形势愈加明显,网络安全风险持续增加.另外,我国也颁布了多项 ...
- 2021年十大网络安全发展趋势预测
由于今年COVID-19疫情大流行.全球经济受损等原因,数据泄露.网络渗透.大量数据盗窃和销售.身份盗窃和勒索软件频频爆发.2020年将近尾声,2021年又将有哪些新的网络安全趋势.威胁和事件? 本篇 ...
- 2021年十大开源web应用防火墙
开源web应用防火墙是网络安全的重要部分,Cloudflare认为:十年后数字经济的网络安全基础设施会像水过滤系统一样普及,而这个过滤系统的核心就是waf.对于服务器来说,部署WEB应用防火墙十分重要 ...
- 【干货】2020年人工智能十大技术进展及2021年十大技术趋势.pdf(附下载链接)...
大家好,我是文文(微信号:sscbg2020),今天给大家分享北京智源人工智能研究院发布的干货报告<2020年人工智能十大技术进展及2021年十大技术趋势.pdf>,人工智能赛道的伙伴们别 ...
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
- Web 应用程序的十大安全漏洞
应用程序的安全性非常重要,解决安全问题的方法有很多,但一个有效的入门方法是解决 OWASP(开放 Web 应用程序安全项目)确定的十大安全问题.在本文中,我们将介绍当前应用程序的十大安全漏洞. OWA ...
- 福布斯2021年十大最佳人工智能硕士课程,清华、港大入选
来源:AI科技评论 本文约2400字,建议阅读5分钟 本文为你分享福布斯网站发布的"2021年十大最佳人工智能和数据科学硕士项目"榜单. 如今,人工智能成为科技和商业领域最热门的话 ...
- 最新技术前沿与产业风向标来了,百度研究院发布2021年十大趋势
允中 发自 凹非寺 量子位 报道 | 公众号 QbitAI 2020年, AI技术已发展到可大规模生产的工业化阶段 AI芯片大规模落地的关键年: 通用自然语言理解能力有了大幅度提升: 更多自动驾驶汽 ...
最新文章
- 卷积神经网络通俗解读
- KVM总结-KVM性能优化之网络性能优化
- oracle巡检 博客,自己总结了一下巡检的工作 for Oracle RAC
- 【图示】小程序云开发和不使用云开发的区别
- Android系统共享一套sdk
- whether logo retrieval will block the application
- applecare多少钱?_否,AppleCare +无法覆盖丢失或被盗的iPhone
- 糖豆人维修服务器多长时间,服务器不稳定的《糖豆人》凭啥还这么火?只因做到了这三点...
- Java 数组及多维数组
- fms +fme 视频直播
- 每天学一点flash(6) FLASH 8 和 FLASH CS3 加载外部文本的区别 (转载)
- 妙启动_十张图带你了解中国国产奶酪巨头——妙可蓝多发展情况
- Python帮助文档的查看方式——Python初学者必看
- CSDN markdown 数学公式指导手册
- 初中数学抽象教学的案例_《数学核心素养“数学抽象”的实践案例研究》
- unity 给图片边缘_Unity 截图选择框,中间全透明,边缘半透明
- 公司内部邮件格式范文
- flyaway mysql_golang通用连接池,支持GRPC,RPC,TCP
- SVG格式图片的放大
- OSChina 周一乱弹 ——有2个小混蛋大晚上……