攻防第二日漏洞整理及解決方案

第二日的競(jìng)爭(zhēng)也十分激烈，小精靈整理的第二天“疑似”漏洞匯總列表新鮮出爐，這些“疑似”漏洞的詳細(xì)信息還未得到確認(rèn)，希望大家擦亮眼睛，多加注意！

· 某凌 OA 任意寫入漏洞

· 某凌 OA某處遠(yuǎn)程代碼執(zhí)行漏洞

· 某道項(xiàng)目管理軟件11.6 SQL注入漏洞

· 某遠(yuǎn) OA遠(yuǎn)程代碼執(zhí)行漏洞

· 某友 NC 反序列化 RCE 漏洞

· 某潮 ClusterEngineV4.0 任意命令執(zhí)行

· 某郵郵件系統(tǒng)遠(yuǎn)程命令執(zhí)行漏洞

· Apache Solr 存在任意文件讀取

* 這些漏洞暫無(wú)官方公告，請(qǐng)大家持續(xù)關(guān)注~

 1、AiNTA流量探針檢測(cè)方案

AiNTA流量探針在第一時(shí)間加入了對(duì)以上網(wǎng)傳漏洞的檢測(cè)，請(qǐng)將規(guī)則包升級(jí)到1.1.123版本（AiNTA-v1.1.5_release_ruletag_1.1.123-202104090748）及以上版本。

規(guī)則名稱1：某凌OA某處任意文件寫入漏洞

規(guī)則ID：93006593

規(guī)則名稱2：某凌OA某處遠(yuǎn)程代碼執(zhí)行漏洞

規(guī)則ID：93006599

規(guī)則名稱3：某道項(xiàng)目管理軟件11.6 SQL注入漏洞

規(guī)則ID：93006601

規(guī)則名稱4：某遠(yuǎn)OA遠(yuǎn)程代碼執(zhí)行漏洞

規(guī)則ID：93006592

AiNTA探針規(guī)則升級(jí)方法：系統(tǒng)管理->手動(dòng)升級(jí)，選擇“上傳升級(jí)包”。升級(jí)成功后，規(guī)則版本會(huì)變?yōu)樽钚碌陌姹咎?hào)。

2、APT攻擊預(yù)警平臺(tái)

APT攻擊預(yù)警平臺(tái)已經(jīng)在第一時(shí)間加入了對(duì)以上漏洞的檢測(cè)，請(qǐng)將規(guī)則包升級(jí)到

GoldenEyeIPv6_651F3_strategy2.0.24716.210409.1及以上版本。

規(guī)則名稱1：某凌OA某處任意文件寫入漏洞

規(guī)則ID：9104668

規(guī)則名稱2：某凌OA某處遠(yuǎn)程代碼執(zhí)行漏洞

規(guī)則ID：9104664

規(guī)則名稱3：某道項(xiàng)目管理軟件11.6 SQL注入漏洞

規(guī)則ID：9104670

規(guī)則名稱4：某遠(yuǎn)OA遠(yuǎn)程代碼執(zhí)行漏洞

規(guī)則ID：9104667

APT攻擊預(yù)警平臺(tái)規(guī)則升級(jí)方法：系統(tǒng)->升級(jí)管理，選擇“手動(dòng)升級(jí)”或“在線升級(jí)”。

對(duì)于歷史日志，可以通過(guò)大數(shù)據(jù)平臺(tái)進(jìn)行回溯分析?；厮莘治霾襟E如下：

（1）檢索位置：安全分析-原始日志

（2）時(shí)間：建議對(duì)今日（04.09）原始日志進(jìn)行查詢，并回溯過(guò)去一個(gè)月web日志，確認(rèn)之前是否有利用情況，如日志量過(guò)大，可分成四周分別查詢。

備注：

檢索中可以基于實(shí)際情況在后面追加

 AND responseCode == "200"     # 請(qǐng)求響應(yīng)碼為200

 AND direction== "10"      # 訪問(wèn)方向?yàn)橥饩W(wǎng)訪問(wèn)內(nèi)網(wǎng)

 AND responseCode != "403"     # 請(qǐng)求響應(yīng)碼不為403

上述查詢語(yǔ)句中已將響應(yīng)碼為404 都過(guò)濾。

安恒威脅情報(bào)中心通過(guò)威脅狩獵捕獲了大量紅藍(lán)對(duì)抗（攻防演練）的樣本，并且從中分析提取出了精準(zhǔn)木馬控制端地址近百條，熱點(diǎn)漏洞探測(cè)類ip上千條，收集整理互聯(lián)網(wǎng)各渠道威脅情報(bào)數(shù)據(jù)數(shù)千條。以上不同可信度的情報(bào)數(shù)據(jù)，已經(jīng)通過(guò)威脅情報(bào)中心 SDK/API賦能至公司各個(gè)產(chǎn)品，包括TIP、EDR、APT、SOC、迷網(wǎng)、AILPHA大數(shù)據(jù)平臺(tái)、NGFW等已經(jīng)集成安恒威脅情報(bào)中心能力的內(nèi)外部產(chǎn)品，使用這些產(chǎn)品的客戶，可以通過(guò)篩選告警數(shù)據(jù)中存在"hvv2021"的標(biāo)簽數(shù)據(jù)，進(jìn)行重點(diǎn)關(guān)注和深度分析。

更多演練情報(bào)資訊，請(qǐng)關(guān)注安恒威脅情報(bào)中心

如發(fā)現(xiàn)可疑IP、域名、文件，可直接上傳至

https://ti.dbappsecurity.com.cn/