CCERT月报：宝塔服务器运维面板曝严重漏洞

　　8月，高招工作正常开展，期间教育网运行平稳，未发现影响严重的安全漏洞。网站安全事件数量较7月稍有上升。近期没有特别需要关注的蠕虫木马病毒。

2020年7~8月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　1.微软2020年8月的月度例行安全公告，共修复了微软旗下多款产品中存在的120个安全漏洞。涉及的产品包括Windows操作系统、IE/Edge浏览器、ChakraCore、脚本引擎、SQL Server、.Net 框架、Windows编解码器库等多个Windows平台下的应用软件和组件。这里面需要特别关注的是Excel软件远程代码执行漏洞（CVE-2020-1563）及EDGE浏览器PDF文档阅读器远程代码执行漏洞（CVE-2020-1568），这两个漏洞都可以通过引诱用户打开特定的文档来进行利用。一旦攻击成功，攻击者将能以用户当前的权限执行任意命令。建议用户尽快使用系统自带的自动更新功能进行补丁更新。相关漏洞的详细信息可参见：https：//portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Aug。

　　2.8月Apache Struts2官方发布了安全通告，公布了两个安全漏洞S2-059（CVE-2019-0230）和S2-060（CVE-2019-0233）。其中S2-059属于远程代码执行漏洞，造成漏洞的原因是因为Apache Struts2的框架在被强制使用时，会对标签的属性进行二次赋值，攻击者可以将包含攻击代码的值赋给标签进而达到执行任意代码的目的。该漏洞被利用的前提条件是Struts标签属性中强制使用OGNL表达式时，才可能被触发。另一个S2-060漏洞存在于文件上传功能中，攻击者可以通过特殊参数请求导致服务崩溃，达到拒绝服务的效果。上述两个漏洞在2019年11月份发布的Struts 2.5.22版本中均已修复，建议未升级的用户尽快升级进行防护。

　　3.宝塔服务器运维面板是百塔网络科技有限公司旗下一款服务器管理软件，支持Windows和Linux系统，可以通过Web端远程控制管理服务器，是很多网管及系统员爱使用的管理软件。宝塔运维面板软件相关版本中使用phpmyadmin系统管理数据信息，由于该系统的用户身份权限配置不当，通过访问phpmyadmin的特殊管理端口（tcp 888）可以无需身份认证直接登录数据库，从而进一步管理该系统所管理的服务器。目前宝塔面板软件官方已经发布了最新版本修复该漏洞，建议相关管理员尽快升级，如果无法确认是否存在类似风险，可以通过在边界防火墙上限制tcp 888端口来临时缓解该风险。

　　4.终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。最近发现国内部分厂商的EDR平台在实现上存在系列RCE漏洞，攻击者利用相关漏洞，可在未授权的情况下向目标服务器发送恶意构造的HTTP请求，从而获得目标服务器的权限，实现远程命令执行。相关漏洞涉及国内多个EDR厂商。建议用户尽快联系相关厂商进行确认和产品升级，同时出于安全考虑，请将相关安全产品使用防火墙保护在内部网络中。

　　安全提示

　　得益于国内对网络安全工作的重视，各种实战类的攻防演练开展得如火如荼。随着演练的开展，众多的国产软件漏洞也被暴露出来，这里面首当其冲的就是各类国产安全产品的漏洞。这让用户多少有些心慌，原本用来保护安全的产品为何变成了最大的风险点？其实大可不必心慌，这是正常现象，安全产品里的各种功能也是软件实现的，是软件就一定会存在漏洞。最近暴露出来的之所以都是安全产品的漏洞，除了有厂商自身疏忽的原因外，更多是因为这些安全产品已经是网络中直面攻击的第一道防线，它们承受的攻击最多。这世上本来就没有绝对的安全，所谓的安全始终是动态的防护过程，我们只需认真地去应对这个过程，有了漏洞及时修补，通过合理的策略将可能的风险控制在最小的范围内。

　　（本文刊载于《中国教育网络》杂志2020年9月刊，作者：郑先伟，单位为中国教育和科研计算机网应急响应组；责编：项阳）