重大漏洞说明

重大漏洞说明

1.IIS远程代码执行漏洞

说明：IIS远程代码执行漏洞，通过利用此漏洞，攻击者可在受害者机器上远程执行代码或者提升权限，属于高危安全漏洞。造成此漏洞的原因在于：Http.sys（处理HTTP请求的内核模式驱动程序）错误解析构造的HTTP请求时，在实现上存在远程代码执行漏洞，成功利用此漏洞后，攻击者可在System账户上下文中执行任意代码。

目前该漏洞可导致服务器远程蓝屏宕机，此外不排除执行恶意指令控制服务器的可能性。针对此漏洞，微软公司已经发布了安全补丁。

验证工具：wget

验证环境：KALI

验证方法：wget –i文件名--debug --header="Range: bytes=0-18446744073709551615"

存在漏洞返回结果：

修复方法：建议安装对应版本的系统补丁。

2. IIS写权限漏洞

说明：IIS是微软公司开发的一种Web服务器，通过IIS可以发布网站对外提供服务。如果对IIS配置不当，对网站目录的权限控制不严，用户在访问网站时如果使用PUT方法写入恶意代码到服务器，最终导致服务器可以被远程控制。

验证工具：curl

验证环境：KALI

验证方法：curl -v -X OPTIONS 192.168.1.1 (例)

返回结果：

Allow返回中没有PUT则认为通过。

修复方法：建议WEB服务器扩展里设置WebDA V为禁止；网站主目录权限配置里禁用写入权限，可上传目录禁用执行权限。

3.WebLogicJava反序列过程远程命令执行漏洞

说明：WebLogicJava反序列过程远程命令执行漏洞，利用此漏洞可以实现远程代码执行，属于高危安全漏洞。受此漏洞影响的包括WebLogic、WebSphere、JBoss、Jenkins、OpenNMS等java组件与应用。

验证方法：检查工具

修复方法：根据weblogic版本修复方式也不相同，建议联系软件厂商进行修复，以免自行修复发生未知错误影响系统运行。

4.海康威视摄像头漏洞

说明：海康威视摄像头漏洞，利用默认口令登录设备后，可以实时查看设备监控区域的图像，容易造成信息泄露。

修复建议：建议加强口令管理，并对管理的源ip进行地址限制。

5.心脏滴血漏洞

说明：心脏滴血漏洞，利用此漏洞可以获取用户的密码、cookie等信息，造成敏感信息泄露，属于高危安全漏洞。

验证工具：python

验证环境：linux或windows

返回结果：如果没有漏洞就会返回

Connection from: 127.0.0.1:40736

Possibly not vulnerable

如果存在漏洞，大概会有这样一个返回：

Connection from: 127.0.0.1:40738

Client returned 65535 (0xffff) bytes

0000: 180303400002 ff ff 2d 03035234 c6 6d 86 ...@....-..R4.m. 0010: 8d e8 4097 da ee 7e 21 c4 1d 2e 9f e9 605f 05 ..@...~!.....`_. 0020: b0 ce af 7e b7 958c 33423f d5 00 c0 300000 ...~...3B?...0.. 0030: 05000f 00010100000000000000000000 ................ 0040: 00000000000000000000000000000000 ................ *

4000: 00000000001803034000000000000000 ........@....... 8000: 00000000000000000000180303400000 .............@.. ...

e440: 1d 2e 9f e9 605f 05 b0 ce af 7e b7 958c 3342 ....`_....~...3B e450: 3f d5 00 c0 30000005000f 000101000000 ?...0........... fff0: 000000000000000000000000000000 ...............

修复建议：建议升级openssl为最新版本。

6.SHIFT后门

说明：shift后门应用于安装Windows操作系统的计算机，Windows操作系统提供了粘滞键的功能，通过连续按5次shift键实现调用，其在系统中对应的程序为sethc.exe。为了实现shift后门，黑客会用命令行程序或资源管理器程序替换setch.exe，通过利用shift后门，黑客可以在通过远程桌面访问时绕过验证，直接获取计算机的控制权。属于高危信息安全隐患。

验证方法：通过连续按5次shift键，如打开命令提示符或直接打目录等，说明存在该漏洞。

修复建议：建议进行全盘杀毒、备份数据、进行全盘格式化重新安装操作系统。

7.Tomcat弱口令、mysql弱口令、mssql弱口令、远程登录

弱口令

说明：由于人员没有按照集团公司安全基线要求对服务器及终端进行密码设置，导致自身的服务器及终端密码过于简单，从而被攻击者利用并控制主机。

修复建议：建议加强口令管理，对远程连接的源IP进行地址限制。

8.受戒礼

说明：通过“受戒礼”攻击，攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本，导致账户、密码、信用卡信息等重要敏感信息暴露，并且可以通过中间人（Man-in-the-middle）进行会话劫持。

验证环境：linux

验证方法：openssl s_client –connect IP:443 -cipher RC4

返回值：如果能够查看到证书信息，那么就是存在风险漏洞如果显示sslv3 alerthandshake failure，表示改服务器没有这个漏洞。

修复建议：该漏洞可通过在Web服务器上禁用RC4加密算法进行规避。建议各系统管理员搭建与生产系统相同的测试环境进行验证无误后，尽快对受影响系统进行修复。常用Web服务器的修改方法可参考如下示例。由于业务不同，各系统环境千差万别，实例仅供参考，请根据各自现状进行调整。

对于NGINX的修补：