根据国家信息安全漏洞库(CNNVD)统计,本周(2024.01.29~2024.02.04)CNNVD接报漏洞298个,其中信息技术产品漏洞(通用型漏洞)230个,网络信息系统漏洞(事件型漏洞)68个;CNNVD收录漏洞通报127份。
本周重点关注漏洞包括:CVE-2024-0204 Fortra GoAnywhere MFT 身份验证绕过漏洞、CVE-2024-24747 MinIO 权限提升漏洞、CVE-2023-50940 IBM PowerSC 敏感信息泄露漏洞、CVE-2023-44313 Apache ServiceComb Service-Center 敏感信息泄露漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-0204 Fortra GoAnywhere MFT 身份验证绕过漏洞
威胁等级:超危
漏洞描述:
2024年01月29日,华云安思境安全团队监测到 Fortra 官方发布安全通告,披露了 Fortra GoAnywhere MFT 6.x >= 6.0.1版本、Fortra GoAnywhere MFT 7.x < 7.4.1版本存在身份验证绕过漏洞。Fortra GoAnywhere Managed File Transfer(MFT)是一种基于Web的托管文件传输解决方案,可实现文件的安全传输,并全面记录并保留访问共享文件的人员操作日志,确保传输过程的透明性与可追溯性。攻击者可能利用该漏洞绕过身份验证创建具有管理员权限的新用户帐户,进行未授权访问。
情报来源:
https://www.fortra.com/security/advisory/fi-2024-001
02 CVE-2024-24747 MinIO 权限提升漏洞
威胁等级:高危
漏洞描述:
2024年02月02日,华云安思境安全团队监测发现 MinIO 官方发布安全通告,披露了 MinIO < RELEASE.2024-01-31T20-20-33Z 版本存在权限提升漏洞。MinIO 是一款专为 AI 等云原生工作负载而设计的开源对象存储服务器,兼容亚马逊的S3协议,支持Kubernetes,满足现代应用开发中对存储的高要求。攻击者可能利用该漏洞权限提升。
情报来源:
https://github.com/minio/minio/releases
03 CVE-2023-50940 IBM PowerSC 敏感信息泄露漏洞
威胁等级:超危
漏洞描述:
2024年02月03日,华云安思境安全团队监测发现 IBM 官方发布安全通告,披露了 IBM PowerSC 1.3 版本、IBM PowerSC 2.0 版本、 IBM PowerSC 2.1 版本存在敏感信息泄露漏洞。IBM PowerSC 是 IBM 公司的一套保护私有云的安全性与合规性解决方案,能够全面加强企业私有云基础设施的防护,有效应对来自内外的各种安全威胁。攻击者可能利用该漏洞执行特权操作并获取敏感信息。
情报来源:
https://exchange.xforce.ibmcloud.com/vulnerabilities/275130
04 CVE-2023-44313 Apache ServiceComb Service-Center 敏感信息泄露漏洞
威胁等级:高危
漏洞描述:
2024年02月04日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache ServiceComb Service-Center 2.1.0 及之前版本存在敏感信息泄露漏洞。Apache ServiceComb Service Center 是一个服务注册中心,可提供服务实例注册、发现、依赖管理、黑白名单控制等管理能力。攻击者可能利用该漏洞通过特制请求获取服务器敏感信息。
情报来源:
https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
