Windows DNS Server 远程命令执行漏洞(CVE-2020-1350)
漏洞信息
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。DNS主要在53端口上使用 UDP 协议来处理请求。DNS查询由来自客户端的单个UDP请求和来自服务器的单个UDP响应组成。除了将名称转换为IP地址外,DNS还有其他用途,例如,邮件传输代理使用DNS找到发送电子邮件的最佳邮件服务器:MX记录提供了域和exchanger邮件之间的映射,这可以提供额外的容错和负载。攻击者向受影响的DNS服务器发送特定的请求包,当Windows DNS Server 无法正确处理请求时,就会导致远程代码执行。成功利用此漏洞的攻击者可以获得服务器控制权限,也可以利用该服务器作为跳板,发展其他服务器发起恶意攻击,造成极大的影响。影响版本
漏洞主要影响Windows server,具体受影响的版本包括:Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core inastallation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012 (Server Core installation)Windows Server 2012 R2 (Server Core installation)Windows Server 2016 (Server Core installation)Windows Server 2019 (Server Core installation)Windows Server version 1903 (Server Core installation)Windows Server version 1909 (Server Core installation)Windows Server version 2004 (Server Core installation)漏洞分析
此漏洞已经存在了17年,CVSS 3.1评分为10分。漏洞危险程度为紧急。由图可见,攻击复杂度低,不需要额外的权限,不需要用户交互,就可以极大程度地影响信息系统的机密性、完整性和可用性。通过发送包含大于64kb的SIG记录的DNS响应可以造成基于堆的缓冲区溢出,可造成DOS攻击以及远程命令执行。
及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。Windows server / Windows 检测并开启Windows自动更新流程如下:- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
若环境受限无法进行自动更新可通过下载补丁进行手动更新:通过补丁下载链接自行寻找对应操作系统版本的漏洞补丁,并进行补丁下载安装,补丁下载地址:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350临时修复建议
若环境受限暂时无法更新,可临时进行以下注册表更改降低风险,以限制允许的最大入站 TCP DNS 响应数据包的大小:Weblogic 多个远程代码执行漏洞
(CVE-2020-9546,CVE-2018-11058,CVE-
2020-14625,CVE-2020-14644,CVE-2020-14645,CVE-2020-14687,CVE-2017-5645)
漏洞信息
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。它极大的方便了系统管理,以及简化部署步骤,在世界范围内被广泛运用。在中国常见于电信、政府行业和金融行业。CNVD秘书处对WebLogic服务在全球范围内的分布情况进行分析,结果显示该服务的全球用户规模约为6.9万,其中位于我国境内的用户规模约为2.9万。近日,Oracle发布了大量安全补丁,涉及旗下产品(Databa se Server、Weblogic Server、Java SE、MySQL等)的433个漏洞。此次修复的漏洞中包括8个和Weblogic相关的高危漏洞(CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645 Centralized Thirdparty Jars (Log4j)、CVE-2017-5645 Console (Log4j))。
影响范围
Oracle WebLogic Server 10.3.6.0.0Oracle WebLogic Server 12.1.3.0.0Oracle WebLogic Server 12.2.1.3.0Oracle WebLogic Server 12.2.1.4.0Oracle WebLogic Server 14.1.1.0.0Centralized Thirdparty Jars (jackson-databind)Security Service (RSA BSAFE)Centralized Thirdparty Jars (Log4j)可以通过如下命令查看软件版本,若版本在漏洞影响范围内,则存在漏洞:WebLogic Server 中的 RMI(远程方法调用)通信使用T3协议在WebLogic Server和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据。服务器实例将跟踪所连接的每个 Java 虚拟机(Java Virtual Machine,简称 JVM),并创建单个 T3 连接以承担 JVM 的所有流量。简而言之,T3协议用于在Weblogic和其他Java程序之间传输数据。IIOP协议也是如此。而此次的漏洞利用难度低,攻击者可借此实现远程代码执行,其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和 T3、IIOP协议有关。
修复建议
补丁下载地址:https://www.oracle.com/security-alerts/cpujul2020.html临时修复建议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:7001 deny t3 t3s。3. 保存生效(无需重启)。用户可通过关闭 IIOP 协议对相关漏洞进行缓解。操作如下:进入WebLogic控制台,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启 Weblogic 项目,使配置生效。若业务允许,建议使用白名单限制weblogic的访问,从而降低风险。
本周发生的事件均比较严重,都能导致RCE(Remote Command Execute),即远程命令执行。
Window DNS Server的远程命令执行已被微软官方承认,这个漏洞被利用的可能性是很高的。攻击者可能会去找到Windows域环境,尤其是域控制器。域控制器失陷将会对企业安全造成灾难性的后果;一些互联网服务的提供商也可能将其公共的DNS服务器设置为WinDNS。DNS服务器一旦被控制,会存在域名劫持风险。
Weblogic的漏洞由于修补不完全,外加Weblogic使用面广、可利用性高,影响面尤其广泛,很多漏洞的CVSS评分都是9.8、9.9甚至为10,多个漏洞在黑产层面被利用,例如挖矿程序。因此受关注度高,总被攻击者盯上,导致频繁地被爆出漏洞。使用此服务器的用户或企业应及时关注官方报道及官方补丁并进行定期的更新。
总的来说,本周的漏洞造成的结果都比较严重,建议有使用这些漏洞版本的服务尽快按修复建议修复漏洞。
