根据国家信息安全漏洞库(CNNVD)统计,本周(2024.01.22~2024.01.28)CNNVD接报漏洞347个,其中信息技术产品漏洞(通用型漏洞)270个,网络信息系统漏洞(事件型漏洞)77个,其中华云安报送29个;CNNVD收录漏洞通报97份,其中华云安报送1份。
本周重点关注漏洞包括:CVE-2024-0605 Mozilla Focus 任意代码执行漏洞、CVE-2024-23897 任意文件读取漏洞、CVE-2023-51702 配置文件泄露漏洞、CVE-2024-0402 任意文件写入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-0605 Mozilla Focus 任意代码执行漏洞
威胁等级:高危
漏洞描述:
2024年01月22日,华云安思境安全团队监测到 Mozilla 官方发布安全通告,披露了 Mozilla Focus 122 之前 IOS 版本存在任意代码执行漏洞。Firefox Focus 是 Mozilla 开发的一款专为移动设备打造的隐私保护浏览器。攻击者可能利用该漏洞执行任意代码。
情报来源:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-03/
02 CVE-2024-23897 任意文件读取漏洞
威胁等级:超危
2024年01月24日,华云安思境安全团队监测发现 Jenkins 官方发布安全通告,披露了 Jenkins 2.441 及之前版本、LTS 2.426.2 及之前版本存在任意文件读取漏洞。Jenkins是一个开源的、提供友好操作界面的持续集成工具,主要用于持续、自动的构建或测试软件项目、监控外部任务的运行。攻击者可能利用该漏洞读取 Jenkins 控制器文件系统。
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
03 CVE-2023-51702 配置文件泄露漏洞
2024年01月24日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Airflow 2.3.0 版本至2.6.0 之前版本存在配置文件泄露漏洞。Apache Airflow 是一个开源的工作流程自动化和调度平台,可以帮助开发人员和数据工程师在数据处理和ETL任务中创建、调度和监控工作流程。攻击者可能利用该漏洞获取配置文件并使用它来访问 Kubernetes 集群。
https://lists.apache.org/thread/89x3q6lz5pykrkr1fkr04k4rfn9pvnv9
04 CVE-2024-0402 任意文件写入漏洞
2024年01月26日,华云安思境安全团队监测发现 GitLab 官方发布安全通告,披露了 GitLab CE/EE 16.0版本至16.6.6之前版本、16.7版本至16.7.4之前版本、16.8版本至16.8.1之前版本存在任意文件写入漏洞。GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。攻击者可能利用该漏洞将文件写入 GitLab 服务器上的任意位置。
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
