攻防第五日漏洞與情報整理及解決方案

某安信天擎終端安全管理系統(tǒng)控制臺存在遠程命令執(zhí)行漏洞（CNVD-2021-27267）

漏洞描述：

某安信天擎終端安全管理系統(tǒng)是面向政企單位推出的一體化終端安全產(chǎn)品解決方案。該產(chǎn)品集防病毒、終端安全管控、終端準入、終端審計、外設管控、EDR等功能于一體，兼容不同操作系統(tǒng)和計算平臺，幫助客戶實現(xiàn)平臺一體化、功能一體化、數(shù)據(jù)一體化的終端安全立體防護。

某安信天擎終端安全管理系統(tǒng)控制臺存在遠程命令執(zhí)行漏洞，攻擊者可以利用該漏洞通過向控制臺服務器的80端口發(fā)送特定構造的請求，實現(xiàn)在控制臺服務器執(zhí)行任意命令從而控制服務器。

影響產(chǎn)品：

某安信科技集團股份有限公司 天擎終端安全管理系統(tǒng) V6

修復方案：

目前廠商已經(jīng)發(fā)布漏洞相應的補丁，請盡快從如下鏈接下載安裝： 

1、6.6.0.6340： 
Windows安裝包 
http://dl.qianxin.com/skylar6/QAXSkylar-6.6.0.6340_Win_82B9FD197BF2400EC468817A73C01195.exe 
Linux安裝包 
http://dl.qianxin.com/skylar6/QAXSkylar-6.6.0.6340_Linux_5CAB6CC77AFFA6F5F615B87A04DE1158.tar 
整包MD5： 
Windows：82B9FD197BF2400EC468817A73C01195
Linux：5CAB6CC77AFFA6F5F615B87A04DE1158
可覆蓋范圍： 
之前所有LTS6.6系列版本 
之前所有LTS6.3系列版本 
6.0.0.2450之后的LTS6.0系列版本 

2、6.7.0.4130： 
Windows安裝包 
http://dl.qianxin.com/skylar6/QAXSkylar-6.7.0.4130_Win_A878284208ACA2AC3B4BEB4E74616B75.exe 
Linux安裝包 
http://dl.qianxin.com/skylar6/QAXSkylar-6.7.0.4130_Linux_F42E6E099374CAE8B8EF516CCAEC3611.tar 
整包MD5： 
Windows：A878284208ACA2AC3B4BEB4E74616B75
Linux：F42E6E099374CAE8B8EF516CCAEC3611
可覆蓋范圍： 
6.7系列已發(fā)布的LTS低版本 
6.6.0.6010及之前的LTS6.6系列版本 
之前所有LTS6.3系列版本 
6.0.0.2450之后的LTS6.0系列版本

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-27267

· 某達OA 前臺文件上傳漏洞

· 某康威視流媒體管理服務器后臺任意文件讀取

· 某山V8終端安全系統(tǒng)默認弱口令漏洞

· *olarWinds 多個高危漏洞通告（CVE-2021-25275: 代碼執(zhí)行漏洞、CVE-2021-25276: 信息泄漏漏洞、CVE-2021-25276: 安全配置錯誤漏洞）

* 這些漏洞暫無官方公告，請大家持續(xù)關注~

 1、AiNTA流量探針檢測方案

AiNTA流量探針在第一時間加入了對以上網(wǎng)傳漏洞的檢測，請將規(guī)則包升級到1.1.130版本（AiNTA-v1.1.5_release_ruletag_1.1.130）及以上版本。

規(guī)則名稱：某達OA 前臺文件上傳漏洞

規(guī)則編號：93006638

規(guī)則名稱：某康威視流媒體管理服務器后臺任意文件讀取

規(guī)則編號：93006645

AiNTA探針規(guī)則升級方法：系統(tǒng)管理->手動升級，選擇“上傳升級包”。升級成功后，規(guī)則版本會變?yōu)樽钚碌陌姹咎枴?/p>

2、APT攻擊預警平臺

APT攻擊預警平臺已經(jīng)在第一時間加入了對以上漏洞的檢測，請將規(guī)則包升級到

GoldenEyeIPv6_9738D_strategy2.0.24740.210412.1及以上版本。

規(guī)則名稱：某達OA 前臺文件上傳漏洞

規(guī)則編號：9104700

規(guī)則名稱：某康威視流媒體管理服務器后臺任意文件讀取

規(guī)則編號：9104702

APT攻擊預警平臺規(guī)則升級方法：系統(tǒng)->升級管理，選擇“手動升級”或“在線升級”。

* AiNTA流量探針和APT攻擊預警平臺的規(guī)則升級包請到安恒社區(qū)下載：

https://bbs.dbappsecurity.com.cn/。

對于歷史日志，可以通過大數(shù)據(jù)平臺進行回溯分析。回溯分析步驟如下：

（1）檢索位置：安全分析-原始日志

（2）時間：建議對本日原始日志進行查詢，并回溯過去一個月web日志，確認之前是否有利用情況，如日志量過大，可分成四周分別查詢。

備注：

檢索中可以基于實際情況在后面追加

 AND responseCode == "200"     # 請求響應碼為200

 AND direction== "10"      # 訪問方向為外網(wǎng)訪問內(nèi)網(wǎng)

 AND responseCode != "403"     # 請求響應碼不為403

上述查詢語句中已將響應碼為404 都過濾。

安恒威脅情報中心通過威脅狩獵捕獲了大量紅藍對抗（攻防演練）的樣本，并且從中分析提取出了精準木馬控制端地址幾十條，熱點漏洞探測類ip上千條，收集整理互聯(lián)網(wǎng)各渠道威脅情報數(shù)據(jù)數(shù)千條以上不同可信度的情報數(shù)據(jù)。安恒信息各產(chǎn)品包括TIP、EDR、APT、SOC、迷網(wǎng)、AILPHA大數(shù)據(jù)平臺、NGFW等已經(jīng)通過SDK/API集成至產(chǎn)品內(nèi)部。使用這些產(chǎn)品的客戶，可以通過篩選告警中包含"hvv2021"標簽的數(shù)據(jù)，進行重點關注和深度分析。

建議重點關注IP：

建議重點排查清單：

更多演練情報資訊，請關注安恒威脅情報中心

如發(fā)現(xiàn)可疑IP、域名、文件，可直接上傳至

https://ti.dbappsecurity.com.cn/