HW行动愈演愈烈，已经进化到了各支队伍军备的竞争，伴随这竞争的不断继续，一个个漏洞浮出水平。

下面就由小编来对近期的漏洞预警做一个合集，素材同样全部来自互联网，仅供各位蓝军参考。

1. Windows RDP 远程桌面漏洞（CVE-2019-0708、CNVD-2019-14264）

2. Windows NTLM认证漏洞安全预警（CVE-2019-1040）

3. Coremail邮件系统存在配置信息泄露漏洞（CNVD-2019-16798）

4. Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞（CNVD-C-2019-78549）

5. Apache Axis远程命令执行漏洞（暂无补丁）

6. Oracle WebLogic 远程命令执行漏洞预警（CVE-2019-2725补丁绕过，暂无补丁）

7. 某厂商SSLVPN厂商注入漏洞

8. 某软件安全漏洞
   

MicrosoftWindows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的组件。

2019年5月14日，微软发布了本月安全更新补丁，其中修复了远程桌面协议（RDP）远程代码执行漏洞。未经身份验证的攻击者利用该漏洞，向目标Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段，因此漏洞利用无需进行用户交互操作，存在被不法分子利用进行蠕虫攻击的可能。

1.禁用远程桌面服务。

2.通过主机防火墙对远程桌面服务端口进行阻断（默认为TCP 3389）。

3.启用网络级认证（NLA），此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。

目前，微软官方已发布补丁修复此漏洞，CNVD建议用户立即升级至最新版本：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

2019年6月11日，微软官方在6月的补丁中发布了漏洞CVE-2019-1040的安全补丁。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制Windows域内的任何机器，包括域控服务器，危害较大。XFSEC团队提醒用户和企业采取必要防御应对措施。该漏洞成因在于Microsoft服务器并不验证'msvAvFlag'字段，即服务器允许无MIC的NTLM_AUTHENTICATE消息，这使得不强制执行签名的服务器容易受到中间人攻击，当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时，攻击者可以修改NTLM身份验证流程中的签名要求，完全删除签名验证，并尝试中继到目标服务器，不强制执行签名的服务器都易受到攻击。

1.强制执行SMB签名，开启域中所有服务器的强制SMB执行功能。(在Windows域环境下，默认只有域控服务器开启了强制SMB签名)

2.尽量不使用NTLMv1，因为NTLMv1的安全性较低，可以通过设置GPO来完全禁止。

3.启用所有域控服务器的强制LDAPS Channel Binding功能。(此功能默认不启用。启用后有可能造成兼容性问题)

4.启用所有域控服务器的强制LDAP Signing功能，防止LDAP中的NTLM中继。(此功能默认不启用。启用后有可能造成兼容性问题)

5.开启EPA，防止Web服务器上的NTLM中继，强制所有Web服务器(OWA，ADFS)只接受EPA的请求。

6.开启所有的重要服务器(比如所有Exchange服务器)上相关应用的Channel Binding功能。(如IIS的Channel Binding功能）

7.减少使用NTLM，即使是安全配置和完全修补的NTLM也比Kerberos更不安全。

微软官方已推出更新补丁，请所有受影响的 Windows 客户端、服务器及时安装更新补丁。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

目前，论客公司已发布补丁进行修复，针对Coremail XT5和Coremail XT3/CM5版本，补丁编号为CMXT5-2019-0002，程序版本号1.1.0-alpha build20190524(3813d273)。

如已安装的程序包的版本号日期早于20190524，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。

如有疑问，也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统，客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位，在我国境内应用较为广泛。

2019年6月15日，国家信息安全漏洞共享平台（CNVD）收录了由论客科技（广州）有限公司报送的Coremail邮件系统服务未授权访问漏洞和服务接口（API）参数注入漏洞。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷，使得攻击者综合利用上述漏洞，在未授权的情况下远程访问Coremail部分服务接口，通过参数构造注入进行文件操作。

该漏洞影响的Coremail邮件系统版本如下：

1. Coremail XT 3.0.4至 XT5.0.8A版本受上述两个漏洞影响；

2. XT 5.0.9及以上版本已修复上述两个漏洞。

1.在不影响正常使用的情况下，通过部署VPN服务限制对Coremail服务器的公网访问；

2.在Web服务器（nginx/apache）上限制外网对 /apiws 路径的访问。

建议使用Coremail产品构建邮件服务的信息系统运营者，立即自检，发现存在漏洞及时修复。

目前，论客公司已发布补丁进行修复：

1.针对CoremailXT3/CM5版本，补丁编号为CMXT3-2019-0001，程序版本号XT3.0.8 dev build 20190610(cb3344cf)；

2.针对CoremailXT5，补丁编号为CMXT5-2019-0001，程序版本号XT5.0.9abuild 20190604(696d1518)。

如已安装的程序包的版本号日期早于20190604，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。如有疑问，可通过400-888-2488 或support@coremail.cn联系厂商售后人员提供协助。

Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的，分布式的计算应用。Axis是在Apache软件基金会主持下制订的。

近日，互联网爆发出Apache Axis远程命令执行漏洞。攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令

受影响版本：

ApacheAxis <= 1.4

1.配置URL访问控制策略：

部署于公网的Axis服务器，可通过ACL禁止对

/services/AdminService及/services/FreeMarkerService路径的访问。

2.禁用Axis远程管理功能：

Axis <= 1.4版本默认关闭了远程管理功能，如非必要请勿开启。

若需关闭，则需修改Axis目录下WEB-INF文件夹中的server-config.wsdd文件，将其中"enableRemoteAdmin"的值设置为false。

删除wls9_async_response.war、wls_wsat.war及相关文件夹，并重启weblogic服务

禁止_async/*及wls-wsat/*形式的URL路径访问

使用1.7及以上的java版本运行WebLogic（针对目前流传的低版本JDK利用）

网络中一直流传着这张图片，没有找到出处，真实性不可考。

专注渗透测试技术

全球最新网络攻击技术