2021HW | 04/11 第三天总结

> 更多黑客技能 公众号：白帽子左一

今日趣闻

文案有风险，钓鱼需谨慎

2021HW | 04/09 第一天总结

2021HW | 04/10 第二天总结

4月10日，奇安信补天情报站全面研判后，提醒广大客户关注今晚的补丁包，尽快升级，提升防护能力。

截至2021年4月10日22点，奇安信补天情报站共监测到11个漏洞，涉及到8家厂家。

今日监测到54个漏洞，涉及33家厂商。

今日炒冷饭（早已发现且被修复的过期漏洞）3个，其余漏洞中需重点关注的证实漏洞为6个，其余漏洞持续监测中。

一、需重点关注的证实漏洞

漏洞编号：B-T-V-0037
漏洞名称：用友NC 反序列化利用（更新状态：4月9日未证实，4月10日已证实）
涉及厂商：用友
漏洞等级：高危
影响版本：NC6.5
可信度：90%
漏洞关注点：
/service/~xbrl/XbrlPersistenceServlet
是否公开：是
是否有POC：是
首次发现时间：2021年4月9日
情报来源：互联网

防护建议:
更新天眼规则升级包到规则ID：0x10020D44 版本号：3.0.0410.12745
奇安信安域Web应用防护系统规则ID：180840014 版本号：20210410004
奇安信网神智慧防火墙规则id：1242201 版本号：2104112000及以上版本
奇安信网神网络数据传感器规则ID：6374 版本号：2104102130
虚拟化安全管理平台windows版规则id:2923982 版本号:2021.04.13
虚拟化安全管理平台linux版规则id:313824 版本号:2021.04.13
奇安信网神统一服务器安全管理平台规则Id:63823982 版本号:10351

漏洞编号：B-T-V-0043
漏洞名称：金山终端安全系统 V8/V9存在文件上传漏洞
涉及厂商:DzzOffice
漏洞等级：高危
漏洞关注点:
dzz/shares/index.php
是否公开：是
是否有POC：是
首次发现时间：2021年4月8日
情报来源：互联网
备注：2021年4月9日相关漏洞分析及poc被公开，有利用风险

防护建议:
更新天眼规则升级包到规则ID：0x10020D4B 版本号：3.0.0410.12743
奇安信网神网络数据传感器规则ID：6373 版本号：2104101700
奇安信网神智慧防火墙规则id：1240501 版本号：2104102010及以上版本

漏洞编号：B-T-V-0047
漏洞名称：齐治堡垒机某版本任意用户登录
涉及厂商：齐治
漏洞等级：高危
漏洞关注点：
/audit/gui_detail_view.php
是否公开：是
是否有POC：是
首次发现时间：2021年4月9日
情报来源：互联网

防护建议:
更新天眼规则升级包到规则id: 0x10020D48 版本号：3.0.0410.12743
奇安信网神网络数据传感器规则ID：6370 版本号：2104101200
奇安信安域Web应用防护系统规则ID：181240001 版本号：20210410001
奇安信网神智慧防火墙规则id：1242101 版本号：2104102010及以上版本
虚拟化安全管理平台windows版规则id:2923977 版本号:2021.04.12
虚拟化安全管理平台linux版规则id:313820 版本号:2021.04.12
奇安信网神统一服务器安全管理平台规则Id:63823977 版本号:10350

漏洞编号：B-T-V-0048
漏洞名称：致远OA远程代码执行漏洞
涉及厂商：致远
漏洞等级：高危
漏洞关注点：暂不公开
是否公开：否
是否有POC：是
首次发现时间：2021年4月10日
情报来源:捕获漏洞

防护建议:
更新天眼规则升级包到规则ID：0x10020D49 版本号：3.0.0410.12743
奇安信安域Web应用防护系统规则ID：180680004 版本号：20210410002
奇安信网神智慧防火墙规则id：1240301 版本号：2104102010及以上版本
奇安信网神网络数据传感器规则ID：6371 版本号：2104101200
虚拟化安全管理平台windows版规则id:2923978 版本号:2021.04.12
虚拟化安全管理平台linux版规则id:313821 版本号:2021.04.12
奇安信网神统一服务器安全管理平台规则Id:63823978 版本号:10350

漏洞编号：B-T-V-0049
漏洞名称：浪潮 ClusterEngineV4.0 任意命令执行2
涉及厂商：浪潮
漏洞等级：高危
漏洞关注点：
/alarmConfig
是否公开：是
是否有POC：是
首次发现时间：2021年4月10日
情报来源：互联网
备注：2021年4月10日相关漏洞分析及poc被公开，有利用风险

防护建议:
更新天眼规则升级包到规则ID：0x10020D4A 版本号：3.0.0410.12742
奇安信网神网络数据传感器规则ID：6372 版本号：2104101400
奇安信网神智慧防火墙规则id：1240401 版本号：2104102010及以上版本
奇安信安域Web应用防护系统规则ID：181250001 版本号：20210410003

漏洞编号：B-T-V-0054
漏洞名称：金山WPS存在远程堆损坏漏洞
涉及厂商：金山
漏洞等级：高危
是否公开：是
是否有POC：否
首次发现时间：2021年4月9日
情报来源：互联网

二、炒冷饭漏洞

漏洞列表：

漏洞编号：B-T-V-0035
漏洞名称：Apache Solr任意文件读取漏洞(状态更新：4月8日未证实，4月10日确认为炒冷饭)
涉及厂商：Apache Solr
漏洞等级：高危
影响版本：Solr全版本
漏洞关注点：
/solr/db/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd
是否公开：是
是否有POC：是
首次发现时间：2021年3月17日
情报来源：互联网

漏洞编号：B-T-V-0046
漏洞名称：Apache Struts 2.x REST远程代码执行(实际为S2-052)
涉及厂商：Apache Struts
漏洞等级：高危
影响版本：2.1.1到2.3.x之前的2.3.x和2.5.13之前的2.5.x
漏洞关注点：
com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource
是否公开：是
是否有POC：是
首次发现时间：2017年9月6日
情报来源：互联网

漏洞编号：B-T-V-0053
漏洞名称：用友NC协同管理软件存在目录遍历漏洞
涉及厂商：用友
漏洞等级：高危
影响版本：未知
漏洞关注点：
/NCFindWeb?service=IPreAlertConfigService&filename=
是否公开：是
是否有POC：是
首次发现时间：2015年10月15日
情报来源：互联网

三、持续监测漏洞

漏洞编号：B-T-V-0050
漏洞名称：coremail疑似存在漏洞
涉及厂商：论客
漏洞等级：高危
可信度：50%
是否公开：否
是否有POC：否
首次发现时间：2021年4月10日
情报来源：互联网

漏洞编号：B-T-V-0051
漏洞名称：Exchange疑似存在某漏洞
涉及厂商：微软
漏洞等级：不明确
可信度：10%
是否公开：否
是否有POC：否
首次发现时间：2021年4月10日
情报来源：互联网

四、恶意IP情报通报

情报编号：B-T-I-0005
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/能源/企业
攻击队IP：221.236.18.88,122.10.82.221,68.132.136.198,116.1.86.117,45.77.148.89,42.193.3.60,68.150.109.112,119.52.193.79,216.244.66.239,203.248.175.71
处置建议：封禁&溯源

情报编号：B-T-I-0006
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/能源/烟草/企业
攻击队IP：139.214.87.183,51.210.166.116,167.71.175.162,139.155.230.32,47.98.187.238,42.193.37.228,123.56.72.196,14.116.218.7,121.5.39.223,37.49.225.166
处置建议：封禁&溯源

情报编号：B-T-I-0007
危险等级：高
评判类型：攻击队IP
涉及行业：金融/环境/通信/企业
攻击队IP：
80.82.77.33,39.103.130.139,42.51.34.229,101.69.134.96,58.216.2.51,58.216.2.59,121.89.205.44,121.5.147.143,221.213.198.194,183.201.200.142
处置建议：封禁&溯源

情报编号：B-T-I-0008
危险等级：高
评判类型：攻击队IP
涉及行业：财税/电力/企业
攻击队IP：
223.149.126.81,58.216.2.67,58.216.2.180,39.99.241.200,130.61.76.90,42.193.12.196,122.228.23.154,101.69.134.100,150.138.138.79,114.228.56.150
处置建议：封禁&溯源

情报编号：B-T-I-0009
危险等级：高
评判类型：攻击队IP
涉及行业：财税/通信/能源/电力/企业
攻击队IP：
58.216.2.86,39.103.201.163,114.228.62.108,58.216.2.195,138.197.89.132,223.149.126.176,106.120.139.59,58.216.2.87,121.196.214.192,221.237.189.210
处置建议：封禁&溯源

情报编号：B-T-I-0010
危险等级：高
评判类型：攻击队IP
涉及行业：财税/电力/企业
攻击队IP：58.246.221.40,58.246.221.42,47.101.53.132,39.99.155.39,39.101.177.198,39.99.253.241,101.69.134.98,47.92.78.22,113.142.198.120,117.136.33.147
处置建议：封禁&溯源

情报编号：B-T-I-0011
危险等级：高
评判类型：攻击队IP
涉及行业：金融/财税/电力/企业
攻击队IP：121.201.72.2,39.101.167.221,39.103.134.84,114.228.50.100,106.75.119.46,101.32.218.253,211.91.248.29,211.91.248.28,47.92.35.221,113.96.198.245,115.216.242.9,218.91.30.171
处置建议：封禁&溯源

情报编号：B-T-I-0012
危险等级：高
评判类型：攻击队IP
涉及行业：环境/财税/电力/企业
攻击队IP：119.52.194.164,39.101.129.203,39.99.158.49,122.228.23.160,47.254.247.217,8.208.101.38,114.117.166.86,114.228.58.90,122.51.147.168,113.142.198.185
处置建议：封禁&溯源

五.安全工具

2个安全工具发布更新，具体信息如下：

1、冰蝎

Behinder_v3.0 Beta 72021.4.8修复问题如下：

1.数据库查询内容显示不正常；
2.关闭主界面后，虚拟终端后台线程继续请求；
3.某些场景下中文路径显示乱码；
4.优麒麟系统无法弹出窗口；
5.某些不能自动保存；
6.某些场景下提示数据库被锁定；
7.目标https证书过期连接问题；
8.Jar包缩小，Jar包执行不再区分操作系统平台，提供跨平台版本；
9.删除了一些特征；
10.其他一些问题；

2、goby

测试版（1.8.239）•2

021年4月2日更新情况如下：

•总共有44个新漏洞：Weblogic Server RCE（CVE-2021-2109），Apache Flink Upload（CVE-2020-17518），lanproxy目录遍历（CVE-2021-3019），Ruijie EG RCE，Apache Druid RCE（CVE -2021-25646）等；

•添加IP库：活动挂图战斗！通过根域，快速定义目标网络资产图；

•添加ICON映射功能：支持查询规则以搜索当前任务资产，例如查询ip，端口，应用，协议，标题等；

•新服务器管理：支持添加多个远程服务器，并支持服务器管理；

•添加对Windows 32位，mips和arm版本的支持：当前仅限于命令行启动，启动方法与Windows 64位相同，运行goby-cmd：

./goby-cmd -apiauth用户：pass -mode api -bind 0.0 .0.0：8361

•新协议：星号，梭子鱼-bcp，信标ccnet，ceph，daap，firebird，nomachine-nx，remoting，rtmp，stun，svrloc，varnish-cli等；

•新扩展：弱密码字典：DictionaryConfig，定时任务功能：任务队列等；

•支持指定多个poc进行扫描；

•解决在线升级问题；

•优化漏洞利用的编码显示；

•纠正pocs的一些错误；

•解决了由中国主题引起的白屏问题；

•解决了无法显示网站屏幕截图的问题；

•优化部分隐藏的深层但经常使用的功能交互；

六.威胁情报

威胁情报信息收集2600余条，部分情况如下：

红队IP：

36.32.3.116112.117.113.39111.162.145.3636.5.197.21223.233.237.7392.118.160.25175.9.44.16058.19.216.5258.253.182.5489.252.131.18218.206.249.133119.52.194.164139.214.87.158222.178.134.7245.146.165.16545.148.10.4545.155.205.15145.155.205.211116.85.44.231124.64.18.205125.111.7.14148.81.111.121106.121.3.115185.172.111.212

扫描二次验证过的 cobalt strike 地址：

1.14.4.51    1.14.19.101    1.15.29.198    1.15.48.111    1.15.67.142

HW日记（来源于网络）

2021年4月10日周六阴

早晨只是在朋友圈发了一句"你可以试探"，结果，中午遭遇两个0day攻击，一上来就是核武器。业务系统临时下线处理还被攻击队频繁举报非法防守，我晓得，他瞄上我了！

暮色来袭，坚守了30小时，拖着疲惫的身躯回家，迷迷糊糊中，走进一个梦境。愿梦里没有攻击！

2021年4月10日星期六晴

今天邮件网关截获到一个HR发送过来的宏病毒Word文档，客户让我火速分析。心头一紧，我啷个会分析这个，我只是一个混吃等死的废物罢了，抱着忐忑的心把文件丢到虚拟机里，刚丢进去火绒就告警了宏病毒，客户说你把宏代码截取出来看看它的行为.

我的WPS不支持宏，我沉默了，也许在这一刻，我的临时工身份已经彻底暴露，客户的脸色不是很好，今天中午的饭到现在也没送来，可能我已经不配吃他们的午饭了。生而为人，我很抱歉。

本文整理来源于：IRT工业安全红队，补天平台