近些年,漏洞数量不断增加,各行业面临的安全挑战日益严峻,特别是在工业、新能源、金融、交通、国防、医疗等关键领域,众多数据泄露和勒索软件攻击事件明确显示出,利用安全漏洞已成为攻击者最频繁采用的手段之一。
本文将对 2024 年迄今为止那些危害性高、影响广泛且利用途径多样的安全漏洞进行详细梳理,旨在为网络安全从业者提供一个全面的安全漏洞信息汇编,以便能够更好地了解这些漏洞,并据此制定相应的安全防御策略。
2022 年和2023 年的重点漏洞信息正在整理中,将陆续发布。
| 漏洞名称 | CVE编号 |
| CrushFTP 服务器端模板注入漏洞 | CVE-2024-4040 |
| Palo Alto Networks PAN-OS命令注入漏洞 | CVE-2024-3400 |
| D-Link DNS-320 命令注入漏洞 | CVE-2024-3273 |
| D-Link DNS-320 信任管理问题漏洞 | CVE-2024-3272 |
| Android Pixel 权限升级漏洞 | CVE-2024-29748 |
| Android Pixel 信息泄露漏洞 | CVE-2024-29745 |
| JetBrains TeamCity 身份验证绕过漏洞 | CVE-2024-27198 |
| Ivanti Connect Secure 代码问题漏洞 | CVE-2024-21893 |
| Ivanti Connect Secure 命令注入漏洞 | CVE-2024-21887 |
| Fortinet FortiOS 缓冲区错误漏洞 | CVE-2024-21762 |
| Microsoft Windows 安全漏洞 | CVE-2024-21412 |
| Microsoft Exchange Server 特权提升漏洞 | CVE-2024-21410 |
| Windows SmartScreen 安全功能绕过漏洞 | CVE-2024-21351 |
| Windows 内核特权提升漏洞 | CVE-2024-21338 |
| Cisco ASA 和 FTD 权限升级漏洞 | CVE-2024-20359 |
| Cisco ASA 和 FTD 拒绝服务漏洞 | CVE-2024-20353 |
| ConnectWise ScreenConnect 身份验证绕过漏洞 | CVE-2024-1709 |
| Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞 | CVE-2024-0519 |
2024 年,重点安全漏洞盘点
1、CVE-2024-4040(CrushFTP 服务器端模板注入漏洞)
漏洞描述:CrushFTP 10.7.1 和 11.1.0 之前版本存在安全漏洞,该漏洞源于允许低权限的远程攻击者从 VFS 沙箱之外的文件系统读取文件。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update
资料来源:国家信息安全漏洞库
2、CVE-2024-3400(Palo Alto Networks PAN-OS命令注入漏洞)
漏洞描述:Palo Alto Networks PAN-OS软件的 GlobalProtect功能中存在命令注入漏洞,该漏洞影响启用了 GlobalProtect 网关和设备遥测配置的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙,未经身份验证的威胁者可利用该漏洞在防火墙上以root权限执行任意代码。
缓解措施:目前Palo Alto Networks正在开发PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 的修复程序(预计将于2024年4月14日发布),受影响用户可在修复程序可用时更新到以下版本:
PAN-OS 11.1 >= 11.1.2-h3 (ETA: By 4/14)
PAN-OS 11.0 >= 11.0.4-h1 (ETA: By 4/14)
PAN-OS 10.2 >= 10.2.9-h1 (ETA: By 4/14)
资料来源:http://www.dfxy.net/xxzx/2024/0415/c1137a24983/page.html
3、CVE-2024-3273(D-Link DNS-320 命令注入漏洞 )
漏洞描述:D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞,以及可通过system参数导致命令注入漏洞,威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令,成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。
缓解措施:目前官方已不再对这些D-Link NAS设备提供支持和维护。鉴于该漏洞的利用代码已公开,并且已发现被利用来部署恶意软件以进行僵尸网络攻击,且互联网上仍有大量在线暴露且未修复的D-Link NAS设备,受影响用户应及时停用或更换受影响产品。
资料来源:国家信息安全漏洞库
4、CVE-2024-3272 (D-Link DNS-320 信任管理问题漏洞)
漏洞描述:该漏洞问题影响了组件HTTP GET请求处理程序的文件/cgi-bin/nas_sharing.cgi的某些未知处理,对参数user的操纵与输入messagebus导致硬编码凭据,漏洞已被公开披露并可能被利用,允许攻击者执行经过身份验证的命令注入,从而导致远程、未经授权的代码执行。
缓解措施:目前官方已不再对这些D-Link NAS设备提供支持和维护。受影响用户可应用官方提供的安全建议,及时停用或更换受影响产品。
资料来源:国家信息安全漏洞库
5、CVE-2024-29748(Android Pixel 权限升级漏洞 )
漏洞描述:Android Pixel 中包含的一个权限提升漏洞,该漏洞允许攻击者中断设备管理员应用触发的恢复出厂设置。
缓解措施:用户可以在设置 > 系统 > 软件更新,查看 Pixel 手机是否获得 2024 年 4 月更新。
资料来源:https://avd.aliyun.com/detail?id=AVD-2024-29748
6、CVE-2024-29745(Android Pixel 信息泄露漏洞 )
漏洞描述:Android Pixel 在用于支持解锁、刷新和锁定受影响设备的快速启动固件中包含一个信息泄露漏洞。用户无需交互、无需额外的执行权限即可利用该漏洞,未初始化数据访问可能导致信息泄露。
缓解措施:用户可以在设置 > 系统 > 软件更新,查看 Pixel 手机是否获得 2024 年 4 月更新。
资料来源:阿里云漏洞库
7、CVE-2024-27198(JetBrains TeamCity 身份验证绕过漏洞)
漏洞描述:JetBrains TeamCity 在2023.11.4版本之前存在身份认证绕过漏洞,攻击者可以利用该漏洞绕过认证机制,直接执行管理员操作,并结合后台功能,造成远程代码执行漏洞。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://www.jetbrains.com/help/teamcity/previous-releases-downloads.html#Current+version%3A+TeamCity+2023.11.4
资料来源:国家信息安全漏洞库
8、CVE-2024-21893(Ivanti Connect Secure 代码问题漏洞)
漏洞描述:Ivanti Connect Secure 、Ivanti Policy Secure9.x、22.x系列版本和Ivanti Neurons for ZTA存在代码问题漏洞,该漏洞源于SAML 组件中的存在服务器端请求伪造漏洞,允许攻击者无需身份验证访问某些受限资源。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
资料来源:国家信息安全漏洞库
9、CVE-2024-21887(Ivanti Connect Secure 命令注入漏洞)
漏洞描述:Ivanti Connect Secure 9.x、22.x系列版本、 Ivanti Policy Secure 9.x、22.x系列版本存在命令注入漏洞,该漏洞源于Web 组件中存在命令注入,允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
资料来源:国家信息安全漏洞库
10、CVE-2024-21762(Fortinet FortiOS 缓冲区错误漏洞 )
漏洞描述:Fortinet FortiOS存在缓冲区错误漏洞,该漏洞源于存在越界写入,允许攻击者通过特制请求执行未经授权的代码或命令。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://fortiguard.com/psirt/FG-IR-24-015
资料来源:国家信息安全漏洞库
11、CVE-2024-21412(Microsoft Windows 安全漏洞)
漏洞描述:漏洞影响网际网络捷径文件的安全功能,攻击者可发送假造的恶意文件诱使目标用户点击连接,以下载或打开文件,绕过一般Windows会跳出提醒用户当心的对话窗口。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
资料来源:国家信息安全漏洞库
12、CVE-2024-21410 (Microsoft Exchange Server 特权提升漏洞)
漏洞描述:攻击者可利用该漏洞将用户泄露的Net-NTLMv2哈希中继到易受攻击的Exchange Server,并以用户身份进行身份验证,提升权限、访问敏感数据。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
资料来源:国家信息安全漏洞库
13、CVE-2024-21351 (Windows SmartScreen 安全功能绕过漏洞)
漏洞描述:威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞,成功利用可能导致绕过 SmartScreen安全功能。该漏洞允许威胁者将代码注入 SmartScreen 并可能获得代码执行权限,从而可能导致数据泄露。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
资料来源:国家信息安全漏洞库
14、CVE-2024-21338 (Windows 内核特权提升漏洞)
漏洞描述:Microsoft Windows 内核包含一个公开的 IOCTL,该漏洞在 appid.sys 中的 IOCTL(输入和输出控制)调度程序中存在访问控制不足漏洞,允许本地攻击者实现权限提升。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338
资料来源:国家信息安全漏洞库
15、CVE-2024-20359(Cisco ASA 和 FTD 权限升级漏洞)
漏洞描述:Cisco Adaptive Security Appliance (ASA) 、Cisco Firepower Threat Defense (FTD)存在安全漏洞,该漏洞源于从系统闪存读取文件时对文件的验证不当,可允许本地权限从管理员升级到根权限。攻击者利用该漏洞可以在下次重新加载设备后在受影响的设备上执行任意代码。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h
资料来源:国家信息安全漏洞库
16、CVE-2024-20353(Cisco ASA 和 FTD 拒绝服务漏洞)
漏洞描述:Cisco Adaptive Security Appliance (ASA) Software 和 Cisco Firepower Threat Defense (FTD) Software存在安全漏洞,该漏洞源于解析 HTTP 标头时错误检查不完整。攻击者利用该漏洞导致设备意外重新加载,从而导致拒绝服务。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
资料来源:国家信息安全漏洞库
17、CVE-2024-1709(ConnectWise ScreenConnect 身份验证绕过漏洞)
漏洞描述:ConnectWise ScreenConnect 包含一个身份验证绕过漏洞,该漏洞允许对管理界面具有网络访问权限的攻击者在受影响的设备上创建新的管理员级帐户,直接访问机密信息或关键系统。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
资料来源:国家信息安全漏洞库
18、CVE-2024-0519(Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞)
漏洞描述:Google Chrome 120.0.6099.224前面的版本在通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。
缓解措施:可通过官方补丁更新解决该威胁,免费更新链接:https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html
资料来源:国家信息安全漏洞库
注:所有资料来源于,国家漏洞中心,阿里云社区等公开漏洞平台
