腾讯安全威胁情报中心推出2022年2月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年2月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列为必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2022年2月份必修安全漏洞清单详情:
一、Windows DNS 服务器远程代码执行漏洞
概述:
2022年2月9日腾讯安全发现,Microsoft官方发布当月补丁,其中披露了Windows DNS 服务器远程代码执行漏洞(CVE-2022-21984), 漏洞CVSS评分8.8.
该漏洞仅当启用动态更新(dynamic updates)时服务器才会受到影响,该配置非默认配置,默认状态下不受影响。但该配置是一种相对常用配置,部分服务器环境中可能使用该配置,如果使用,则攻击者可以完全接管您的 DNS 并以高权限执行任意代码。
腾讯安全专家建议所有用户尽快升级到安全版本。
漏洞状态:
风险等级:
影响版本:
- Windows 10 Version 21H2 for x64-based Systems
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows 11 for ARM64-based Systems
- Windows 11 for x64-based Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 20H2 for x64-based Systems
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows 10 Version 21H1 for 32-bit Systems
- Windows 10 Version 21H1 for ARM64-based Systems
- Windows 10 Version 21H1 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
修复建议:
微软已发布相关补丁,使用Windows自动更新修复以上漏洞,官方链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21948
二、 Apple WebKit远程代码执行漏洞
概述:
2022年2月11日,腾讯安全监测发现苹果发布了紧急iOS更新,并将其中一个漏洞CVE-2022-22620标记为“可能已被积极利用”。
苹果官方对该漏洞的描述为Webkit组件存在一个Use-afrer-free漏洞,当访问攻击者特定的Web页面时,触发漏洞可能造成任意代码执行,该漏洞目前已被CISA 列入联邦企业必修漏洞清单。
目前官方已发布补丁,腾讯安全专家建议受影响用户尽快升级。
WebKit是一种用来让网页浏览器绘制网页的排版引擎。它被用于Apple Safari。其分支Blink被用于基于Chromium的网页浏览器,如Opera与Google Chrome。
漏洞状态:
风险等级:
影响版本:
- iOS/iPadOS系统版本< 15.3.1
修复建议:
根据影响版本中的信息,排查并升级到安全版本:
https://support.apple.com/en-us/HT213093
三、Samba 远程代码执行漏洞
概述:
2022年2月7日,腾讯安全监测到Samba官方公开披露了一个Samba远程代码执行漏洞CVE-2021-44142。漏洞出现在smbd解析EA metadata 的过程中,攻击者利用此漏洞,就能远程以系统管理员(root)权限执行任意代码。凡是安装了Samba并使用vfs_fruit模块的主机都受到此漏洞的影响,CVSS评分9.9。
腾讯安全专家建议受影响用户尽快升级,漏洞威胁等级:高危。
Samba 是适用于 Linux 和 Unix 的标准 Windows 互操作性程序套件。
自1992 年以来,Samba 为所有使用 SMB/CIFS 协议的客户端提供安全、稳定和快速的文件和打印服务,例如所有版本的 DOS 和 Windows、OS/2、Linux 等。
Samba 是将 Linux/Unix 服务器和桌面无缝集成到 Active Directory 环境中的重要组件。它既可以用作域控制器,也可以用作常规域成员。
Samba 是一个软件包,它在设置、配置以及系统和设备的选择方面为网络管理员提供了灵活性和自由度。
漏洞状态:
风险等级:
影响版本:
- Samba版本 < 4.13.17
修复建议:
目前Samba官方已给出安全补丁,建议用户尽快升级至安全版本,用户可参考以下链接:
https://www.samba.org/samba/history/security.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
四、Google Chrome远程代码执行漏洞
概述:
腾讯安全近期监测发现Google Threat Analysis group报告了 Chrome 中的一个0day漏洞 (CVE-2022-0609),并表示该漏洞目前已被在野利用。同时这也是 Chrome在2022 年的第一个在野0day漏洞。
目前该漏洞已被CISA 列入联邦企业必修漏洞清单,由于已被在野利用,腾讯安全专家建议所有用户尽快升级到安全版本。
漏洞状态:
风险等级:
影响版本:
- Chrome 版本 < 98.0.4758.102
修复建议:
目前Google官方已给出安全补丁,建议用户尽快升级至安全版本:
通过导航到菜单并选择帮助>关于 Google Chrome 来修补 Google Chrome
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
五、Cisco路由器远程代码执行漏洞
概述:
腾讯安全检测发现在2022年2月15日Cisco官方披露了Cisco Small Business RV Series Routers安全漏洞(CVE-2022-20699)。
Cisco Small Business RV340、RV340W、RV345 和 RV345P 双广域网千兆 VPN 路由器的 SSL VPN 模块中的漏洞可能允许未经身份验证的远程攻击者在受影响的设备上执行任意代码。
此漏洞是由于处理特定 HTTP 请求时边界检查不足所致。攻击者可以通过向充当 SSL VPN 网关的受影响设备发送恶意 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上以root权限执行代码,漏洞威胁等级:高危,CVSS评分10.0。
漏洞状态:
风险等级:
影响版本:
- RV340 双广域网千兆 VPN 路由器
- RV340W 双广域网千兆无线-AC VPN 路由器
- RV345 双广域网千兆 VPN 路由器
- RV345P 双广域网千兆 POE VPN 路由器
修复建议:
目前Cisco官方已给出安全补丁,建议用户尽快升级至安全版本,官方链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
六、Linux Snap 权限提升漏洞
概述:
2月18日腾讯安全监测发现国外安全团队披露出Linux Snap 存在本地提权漏洞,漏洞编号CVE-2021-44730,CVE-2021-44731。攻击者利用此漏洞可导致本地权限提升等危害。
Snap 是Canonical 开发的包管理系统,默认安装于Ubuntu 16.04 及其后的发行版本中。snap-confine 是 snapd 内部使用的一个程序,用于构建 snap 应用程序的执行环境。
CVE-2021-44730:
由于对 snapd 中 snap-confine 二进制文件位置的验证不充分,可允许攻击者可以将此二进制文件硬链接到另一个位置的用户,导致 snap-confine 执行其他任意二进制文件,从而提升权限。
CVE-2021-44731:
当为快照准备私有挂载命名空间时,快照限制中存在竞争条件问题。 这可允许本地攻击者通过在 snap 的私有挂载命名空间中绑定挂载他们自己的内容,并导致 snap-confine 执行任意代码提升至 root权限。
漏洞状态:
风险等级:
影响版本:
- 该漏洞目前主要影响范围为ubuntu发行版:
- Ubuntu 21.10 snapd/snap-confine < 2.54.3+21.10.1
- Ubuntu 20.04 LTS snapd/snap-confine < 2.54.3+20.04
- Ubuntu 18.04 LTS snapd/snap-confine < 2.54.3+18.04
- Ubuntu 16.04 ESM 待官方更新
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
Ubuntu 21.10 snapd/snap-confine >= 2.54.3+21.10.1
Ubuntu 20.04 LTS snapd/snap-confine >= 2.54.3+20.04
Ubuntu 18.04 LTS snapd/snap-confine >= 2.54.3+18.04
Ubuntu 16.04 ESM 待官方更新
【备注】:建议您在升级前做好数据备份工作,避免出现意外。参考链接:
https://ubuntu.com/security/notices/USN-5292-1
https://ubuntu.com/security/CVE-2021-44730
https://ubuntu.com/security/CVE-2021-44731
七、向日葵远程控制软件远程代码执行漏洞
概述:
腾讯安全检测发现在2022年2月16日,上海贝锐信息科技股份有限公司 向日葵远控软件,被披露了存在远程代码执行漏洞,漏洞编号CNVD-2022-10270,CNVD-2022-03672。攻击者利用此漏洞可导致远程代码执行等危害。
向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。
向日葵远程控制软件存在未授权访问漏洞,启动服务端软件后,会开放未授权访问端口,攻击者可通过未授权访问无需密码直接获取session,并借此远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
- 向日葵个人版(Windows) <= 11.0.0.33
- 向日葵简约版 <= V1.0.1.43315(2021.12)
修复建议:
官方已发布漏洞补丁及修复版本,请及时升级至安全版本。
