騰訊安全威脅情報中心推出2022年2月必修安全漏洞清單

騰訊安全威脅情報中心推出2022年2月份必修安全漏洞清單，所謂必修漏洞，就是運維人員必須修復、不可拖延、影響范圍較廣的漏洞，不修復就意味著黑客攻擊入侵后會造成十分嚴重的后果。

騰訊安全威脅情報中心參考“安全漏洞的危害及影響力、漏洞技術細節披露情況、該漏洞在安全技術社區的討論熱度”等因素，綜合評估該漏洞在攻防實戰場景的風險。當漏洞綜合評估為風險嚴重、影響面較廣、技術細節已披露，且被安全社區高度關注時，就將該漏洞列為必修安全漏洞候選清單。

騰訊安全威脅情報中心定期發布安全漏洞必修清單，以此指引政企客戶安全運維人員修復漏洞，從而避免重大損失。

以下是2022年2月份必修安全漏洞清單詳情：

一、Windows DNS 服務器遠程代碼執行漏洞

概述：

2022年2月9日騰訊安全發現，Microsoft官方發布當月補丁，其中披露了Windows DNS 服務器遠程代碼執行漏洞（CVE-2022-21984）, 漏洞CVSS評分8.8.

該漏洞僅當啟用動態更新(dynamic updates)時服務器才會受到影響，該配置非默認配置，默認狀態下不受影響。但該配置是一種相對常用配置，部分服務器環境中可能使用該配置，如果使用，則攻擊者可以完全接管您的 DNS 并以高權限執行任意代碼。

騰訊安全專家建議所有用戶盡快升級到安全版本。 

漏洞狀態：

風險等級：

影響版本：

• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 11 for ARM64-based Systems
• Windows 11 for x64-based Systems
• Windows Server, version 20H2 (Server Core Installation)
• Windows 10 Version 20H2 for ARM64-based Systems
• Windows 10 Version 20H2 for 32-bit Systems
• Windows 10 Version 20H2 for x64-based Systems
• Windows Server 2022 Azure Edition Core Hotpatch
• Windows Server 2022 (Server Core installation)
• Windows Server 2022
• Windows 10 Version 21H1 for 32-bit Systems
• Windows 10 Version 21H1 for ARM64-based Systems
• Windows 10 Version 21H1 for x64-based Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems

修復建議：

微軟已發布相關補丁，使用Windows自動更新修復以上漏洞，官方鏈接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21948

二、 Apple WebKit遠程代碼執行漏洞

概述：

2022年2月11日，騰訊安全監測發現蘋果發布了緊急iOS更新，并將其中一個漏洞CVE-2022-22620標記為“可能已被積極利用”。

蘋果官方對該漏洞的描述為Webkit組件存在一個Use-afrer-free漏洞，當訪問攻擊者特定的Web頁面時，觸發漏洞可能造成任意代碼執行，該漏洞目前已被CISA 列入聯邦企業必修漏洞清單。 

目前官方已發布補丁，騰訊安全專家建議受影響用戶盡快升級。

WebKit是一種用來讓網頁瀏覽器繪制網頁的排版引擎。它被用于Apple Safari。其分支Blink被用于基于Chromium的網頁瀏覽器，如Opera與Google Chrome。

 漏洞狀態：

風險等級：

影響版本：

• iOS/iPadOS系統版本< 15.3.1

修復建議：

根據影響版本中的信息，排查并升級到安全版本：

https://support.apple.com/en-us/HT213093

三、Samba 遠程代碼執行漏洞

概述：

2022年2月7日，騰訊安全監測到Samba官方公開披露了一個Samba遠程代碼執行漏洞CVE-2021-44142。漏洞出現在smbd解析EA metadata 的過程中，攻擊者利用此漏洞，就能遠程以系統管理員(root)權限執行任意代碼。凡是安裝了Samba并使用vfs_fruit模塊的主機都受到此漏洞的影響，CVSS評分9.9。

騰訊安全專家建議受影響用戶盡快升級，漏洞威脅等級：高危。

Samba 是適用于 Linux 和 Unix 的標準 Windows 互操作性程序套件。

自1992 年以來，Samba 為所有使用 SMB/CIFS 協議的客戶端提供安全、穩定和快速的文件和打印服務，例如所有版本的 DOS 和 Windows、OS/2、Linux 等。

Samba 是將 Linux/Unix 服務器和桌面無縫集成到 Active Directory 環境中的重要組件。它既可以用作域控制器，也可以用作常規域成員。

Samba 是一個軟件包，它在設置、配置以及系統和設備的選擇方面為網絡管理員提供了靈活性和自由度。

 漏洞狀態：

風險等級：

影響版本：

• Samba版本 < 4.13.17

修復建議：

目前Samba官方已給出安全補丁，建議用戶盡快升級至安全版本，用戶可參考以下鏈接：

https://www.samba.org/samba/history/security.html

【備注】：建議您在升級前做好數據備份工作，避免出現意外。

四、Google Chrome遠程代碼執行漏洞

概述：

騰訊安全近期監測發現Google Threat Analysis group報告了 Chrome 中的一個0day漏洞 (CVE-2022-0609)，并表示該漏洞目前已被在野利用。同時這也是 Chrome在2022 年的第一個在野0day漏洞。

目前該漏洞已被CISA 列入聯邦企業必修漏洞清單，由于已被在野利用，騰訊安全專家建議所有用戶盡快升級到安全版本。

 漏洞狀態：

風險等級：

影響版本：

• Chrome 版本 < 98.0.4758.102

修復建議：

目前Google官方已給出安全補丁，建議用戶盡快升級至安全版本:

通過導航到菜單并選擇幫助>關于 Google Chrome 來修補 Google Chrome

https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html 

五、Cisco路由器遠程代碼執行漏洞

概述：

騰訊安全檢測發現在2022年2月15日Cisco官方披露了Cisco Small Business RV Series Routers安全漏洞(CVE-2022-20699)。

Cisco Small Business RV340、RV340W、RV345 和 RV345P 雙廣域網千兆 VPN 路由器的 SSL VPN 模塊中的漏洞可能允許未經身份驗證的遠程攻擊者在受影響的設備上執行任意代碼。

此漏洞是由于處理特定 HTTP 請求時邊界檢查不足所致。攻擊者可以通過向充當 SSL VPN 網關的受影響設備發送惡意 HTTP 請求來利用此漏洞。成功的利用可能允許攻擊者在受影響的設備上以root權限執行代碼，漏洞威脅等級：高危，CVSS評分10.0。

 漏洞狀態：

風險等級：

影響版本：

• RV340 雙廣域網千兆 VPN 路由器
• RV340W 雙廣域網千兆無線-AC VPN 路由器
• RV345 雙廣域網千兆 VPN 路由器
• RV345P 雙廣域網千兆 POE VPN 路由器 

修復建議：

目前Cisco官方已給出安全補丁，建議用戶盡快升級至安全版本,官方鏈接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

六、Linux Snap 權限提升漏洞

概述：

2月18日騰訊安全監測發現國外安全團隊披露出Linux Snap 存在本地提權漏洞，漏洞編號CVE-2021-44730，CVE-2021-44731。攻擊者利用此漏洞可導致本地權限提升等危害。

Snap 是Canonical 開發的包管理系統，默認安裝于Ubuntu 16.04 及其后的發行版本中。snap-confine 是 snapd 內部使用的一個程序，用于構建 snap 應用程序的執行環境。

CVE-2021-44730：

由于對 snapd 中 snap-confine 二進制文件位置的驗證不充分，可允許攻擊者可以將此二進制文件硬鏈接到另一個位置的用戶，導致 snap-confine 執行其他任意二進制文件，從而提升權限。

CVE-2021-44731：

當為快照準備私有掛載命名空間時，快照限制中存在競爭條件問題。 這可允許本地攻擊者通過在 snap 的私有掛載命名空間中綁定掛載他們自己的內容，并導致 snap-confine 執行任意代碼提升至 root權限。

 漏洞狀態：

風險等級：

影響版本：

• 該漏洞目前主要影響范圍為ubuntu發行版：
• Ubuntu 21.10 snapd/snap-confine < 2.54.3+21.10.1
• Ubuntu 20.04 LTS snapd/snap-confine < 2.54.3+20.04
• Ubuntu 18.04 LTS snapd/snap-confine < 2.54.3+18.04
• Ubuntu 16.04 ESM 待官方更新

修復建議：

官方已發布漏洞補丁及修復版本，請評估業務是否受影響后，酌情升級至安全版本

Ubuntu 21.10 snapd/snap-confine >= 2.54.3+21.10.1

Ubuntu 20.04 LTS snapd/snap-confine >= 2.54.3+20.04

Ubuntu 18.04 LTS snapd/snap-confine >= 2.54.3+18.04

Ubuntu 16.04 ESM 待官方更新

【備注】：建議您在升級前做好數據備份工作，避免出現意外。參考鏈接：

https://ubuntu.com/security/notices/USN-5292-1

https://ubuntu.com/security/CVE-2021-44730

https://ubuntu.com/security/CVE-2021-44731

七、向日葵遠程控制軟件遠程代碼執行漏洞

概述：

騰訊安全檢測發現在2022年2月16日，上海貝銳信息科技股份有限公司 向日葵遠控軟件，被披露了存在遠程代碼執行漏洞，漏洞編號CNVD-2022-10270，CNVD-2022-03672。攻擊者利用此漏洞可導致遠程代碼執行等危害。

向日葵是一款免費的，集遠程控制電腦手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透的一體化遠程控制管理工具軟件。

向日葵遠程控制軟件存在未授權訪問漏洞，啟動服務端軟件后，會開放未授權訪問端口，攻擊者可通過未授權訪問無需密碼直接獲取session，并借此遠程執行任意代碼。

 漏洞狀態：

風險等級：

影響版本：

• 向日葵個人版（Windows） <= 11.0.0.33
• 向日葵簡約版 <= V1.0.1.43315（2021.12）

修復建議：

官方已發布漏洞補丁及修復版本，請及時升級至安全版本。