攻防第三日漏洞與情報整理及解決方案

第三日的競爭也十分激烈，小精靈整理的第三天“疑似”漏洞匯總列表新鮮出爐，這些“疑似”漏洞的詳細信息還未得到確認，希望大家擦亮眼睛，多加注意！

· 某遠OA系統(tǒng)任意文件上傳漏洞

· 某潮 ClusterEngineV4.0 任意命令執(zhí)行

· 某郵eYou命令執(zhí)行漏洞

· 某達OA 11.9 SQL注入漏洞

· 某潮 ClusterEngineV4.0 登錄處任意命令執(zhí)行

· 某潮ClusterEngineV4.0 alarmConfig接口任意命令執(zhí)行

· 某潮ClusterEngineV4.0任意用戶名密碼登陸

· 某治堡壘機任意用戶登陸漏洞

· 某山終端安全系統(tǒng) V8/V9存在文件上傳漏洞

· 某安信NS-NGFW ?康防?墻 前臺RCE 

· 某尚在線客服系統(tǒng)任意文件上傳

· 某友NC 6.5反序列化漏洞命令執(zhí)行

· 某微OA8的e-mobile SQL注入

* 這些漏洞暫無官方公告，請大家持續(xù)關(guān)注~

 1、AiNTA流量探針檢測方案

AiNTA流量探針在第一時間加入了對以上網(wǎng)傳漏洞的檢測，請將規(guī)則包升級到1.1.126版本（AiNTA-v1.1.5_release_ruletag_1.1.126-202104100937）及以上版本。

規(guī)則名稱：某遠OA系統(tǒng)任意文件上傳漏洞

規(guī)則編號：93006602

規(guī)則名稱：某潮 ClusterEngineV4.0 任意命令執(zhí)行

規(guī)則編號：93006605

規(guī)則名稱：某郵eYou命令執(zhí)行漏洞

規(guī)則編號：93006603

規(guī)則名稱：某達OA 11.9 SQL注入漏洞

規(guī)則編號：93006613

規(guī)則名稱：某潮 ClusterEngineV4.0 登錄處任意命令執(zhí)行

規(guī)則編號：93006606

規(guī)則名稱：某潮ClusterEngineV4.0 alarmConfig接口任意命令執(zhí)行

規(guī)則編號：93006623

規(guī)則名稱：某潮ClusterEngineV4.0任意用戶名密碼登陸

規(guī)則編號：93006620

規(guī)則名稱：某治堡壘機任意用戶登陸漏洞

規(guī)則編號：93006617

規(guī)則名稱：某山終端安全系統(tǒng) V8/V9存在文件上傳漏洞

規(guī)則編號：93006619

規(guī)則名稱：某安信NS-NGFW ?康防?墻 前臺RCE

規(guī)則編號：93006614

規(guī)則名稱：某尚在線客服系統(tǒng)任意文件上傳

規(guī)則編號：93006621

規(guī)則名稱：某友NC 6.5反序列化漏洞命令執(zhí)行

規(guī)則編號：93006622

規(guī)則名稱：某微OA8的e-mobile SQL注入

規(guī)則編號：93006616

AiNTA探針規(guī)則升級方法：系統(tǒng)管理->手動升級，選擇“上傳升級包”。升級成功后，規(guī)則版本會變?yōu)樽钚碌陌姹咎枴?/p>

下載地址：https://bbs.dbappsecurity.com.cn/。

2、APT攻擊預警平臺

APT攻擊預警平臺已經(jīng)在第一時間加入了對以上漏洞的檢測，請將規(guī)則包升級到

GoldenEyeIPv6_C5714_strategy2.0.24730.210410.1及以上版本。

規(guī)則名稱：某遠OA系統(tǒng)任意文件上傳漏洞

規(guī)則編號：9104672
規(guī)則名稱：某潮 ClusterEngineV4.0 任意命令執(zhí)行

規(guī)則編號：9104675
規(guī)則名稱：某郵eYou命令執(zhí)行漏洞

規(guī)則編號：9104676
規(guī)則名稱：某達OA 11.9 SQL注入漏洞

規(guī)則編號：9104678
規(guī)則名稱：某潮 ClusterEngineV4.0 登錄處任意命令執(zhí)行

規(guī)則編號：9104688
規(guī)則名稱：某潮ClusterEngineV4.0 alarmConfig接口任意命令執(zhí)行

規(guī)則編號：9104687
規(guī)則名稱：某潮ClusterEngineV4.0任意用戶名密碼登陸

規(guī)則編號：9104684
規(guī)則名稱：某治堡壘機任意用戶登陸漏洞

規(guī)則編號： 9104685
規(guī)則名稱：某山終端安全系統(tǒng) V8/V9存在文件上傳漏洞

規(guī)則編號：9104680
規(guī)則名稱：某安信NS-NGFW ?康防?墻 前臺RCE

規(guī)則編號： 9104682
規(guī)則名稱：某尚在線客服系統(tǒng)任意文件上傳

規(guī)則編號：9104683
規(guī)則名稱：某友NC 6.5反序列化漏洞命令執(zhí)行

規(guī)則編號：9104681
規(guī)則名稱：某微OA8的e-mobile SQL注入

規(guī)則編號：91104686

APT攻擊預警平臺規(guī)則升級方法：系統(tǒng)->升級管理，選擇“手動升級”或“在線升級”。

對于歷史日志，可以通過大數(shù)據(jù)平臺進行回溯分析?；厮莘治霾襟E如下：

（1）檢索位置：安全分析-原始日志

（2）時間：建議對今日（04.10）原始日志進行查詢，并回溯過去一個月web日志，確認之前是否有利用情況，如日志量過大，可分成四周分別查詢。

備注：

檢索中可以基于實際情況在后面追加

 AND responseCode == "200"     # 請求響應(yīng)碼為200

 AND direction== "10"      # 訪問方向為外網(wǎng)訪問內(nèi)網(wǎng)

 AND responseCode != "403"     # 請求響應(yīng)碼不為403

上述查詢語句中已將響應(yīng)碼為404 都過濾。

安恒威脅情報中心通過威脅狩獵捕獲了大量紅藍對抗（攻防演練）的樣本，并且從中分析提取出了精準木馬控制端地址幾十條，熱點漏洞探測類ip上千條，收集整理互聯(lián)網(wǎng)各渠道威脅情報數(shù)據(jù)數(shù)千條。以上不同可信度的情報數(shù)據(jù)，已經(jīng)通過威脅情報中心 SDK/API賦能至公司各個產(chǎn)品，包括TIP、EDR、APT、SOC、迷網(wǎng)、AILPHA大數(shù)據(jù)平臺、NGFW等已經(jīng)集成安恒威脅情報中心能力的內(nèi)外部產(chǎn)品，使用這些產(chǎn)品的客戶，可以通過篩選告警數(shù)據(jù)中存在"hvv2021"的標簽數(shù)據(jù)，進行重點關(guān)注和深度分析。

建議重點關(guān)注IP：

建議重點排查清單：

更多演練情報資訊，請關(guān)注安恒威脅情報中心

如發(fā)現(xiàn)可疑IP、域名、文件，可直接上傳至

https://ti.dbappsecurity.com.cn/