漏洞预警┃TikTok使用不安全协议；WebSphere 远程代码执行漏洞

Posted 2021-04-01 上海控安研发与转化功能型平台

漏洞预警

WebSphere 远程代码执行漏洞（CVE-2020-4276、CVE-2020-4362）

漏洞信息

WebSphere是IBM的软件平台。它包含了编写、运行和监视全天候高强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施，如服务器、服务和工具。WebSphere提供了可靠、灵活和健壮的软件。

CVE-2020-4276 和 CVE-2020-4362 是由长亭科技安全研究员 Noxxx 发现的存在于 WebSphere SOAP Connector 服务中的远程代码执行漏洞。当WebSphere Application Server的SOAP连接器的管理请求中使用基于令牌的认证时，未经授权的远程攻击者可以构造恶意的认证请求，在目标服务器造成远程特权提升，并执行恶意代码，获取系统权限。

影响范围

• WebSphere Application Server 9.0.x

• WebSphere Application Server 8.5.x

• WebSphere Application Server 8.0.x

• WebSphere Application Server 7.0.x 

漏洞分析

信息安全的三要素为机密性、完整性、可用性。此漏洞对这三要素的影响都较高，但需要一定的权限，且攻击复杂度高，所以CVSS最终评分为7.5，判定为高危。

CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

通过这张表我们不难看出，尽管攻击复杂度高，但对系统的影响是巨大的，可以远程命令执行（Remote Command Execution）。远程命令执行是指攻击者可以通过网络对目标系统进行操作，包括执行恶意代码，获取系统权限。若是被竞争对手发现，也可能盗取你的机密文件，删掉你的数据库甚至整个系统。

对企业来说，我们无法修改这些漏洞的代码，所以要及时看到所用软/硬件发布的漏洞预警，及时打补丁，避免损失。

除了及时打补丁外，企业也要做到及时备份系统及数据库，建议使用异地备份，按数据更新快慢来决定备份的频率。防止出现异常后无法恢复数据造成损失。

修复建议

• WebSphere Application Server V9.0.0-V9.0.5.3: 更新安全补丁PH21511 及PH23853

• WebSphere Application Server V8.5.0.0-V8.5.5.17: 更新安全补丁PH21511 及PH23853

• WebSphere Application Server V8.0.0.0-V8.0.0.15: 升级到8.0.0.15 版本，然后更新安全补丁PH21511 及PH23853

• WebSphere Application Server V7.0.0.0-V7.0.0.45: 升级到7.0.0.45 版本，然后更新安全补丁PH21511 及PH23853

可以通过运行IBM Installation Manager 进行更新，根据程序提示进行补丁下载、漏洞修复的工作。

TikTok使用不安全协议

漏洞信息

TikTok是抖音短视频国际版，随着TikTok在海外接连获得佳绩，抖音短视频已经成为中国产品在海外获得成功的又一杰出代表，被视为中国移动产品出海的新模式。

但近日，TikTok披露了一个安全隐患，当部分视频没有启用HTTPS，将会受到攻击者拦截追踪，甚至是篡改视频内容。开发人员Talal Haj Baktry和Tommy Mysk两人发现了TikTok这一漏洞，并进行了验证。结果发现安卓或者ios客户端的TikTok用户的历史观看记录泄露，并且可以通过入侵本地网络，将客户端的视频换成其他的虚假视频。

影响范围

TikTok

漏洞分析

数据加密传输，是HTTP和HTTPS之间的本质性区别。

HTTP协议是一种使用明文数据传输的网络协议，但随着互联网的发展，人们在互联网上的需求越来越多，例如支付等敏感操作。明文传输已经会让用户存在一个非常大的安全隐患，如果你的支付密码可能会被第三方截获，你还会放心使用这个HTTP协议的网站吗？

而HTTPS是HTTP协议的升级，是在HTTP协议的基础上增加了数据加密，就算你的数据被第三方截获，但由于数据是加密的，他仍然得不到你的信息，所以你的个人信息还是安全的。

本周安全态势分析

本周发生的事件有WebSphere远程命令执行和TikTok使用不安全协议。

0

1

对于WebSphere的远程命令执行来说，作为用户，只能及时更新补丁，做好备份。作为企业来说，也无法保证自己写的代码一定没有问题，但还是需要在上线前做好一切的安全检测，尽最大可能保证用户的信息安全。

0

2

国内的安全相对于国外来说起步较晚，公众的安全意识也普遍偏低，国内市场不安全的软件其实很多，公众的不在意或者说市场监管力度的不足都导致企业自身也不太重视安全。对于字节跳动来说，其出海之路坎坷不断，根源在于自身审核机制的缺失、侵犯用户隐私、误导未成年人等诸多问题。一味盲目追求流量以及商业变现，让字节跳动在“保护用户隐私和数据安全”方面，还远赶不上其扩张的步伐。或许，字节跳动真应当放缓脚步，认真思考下企业的社会责任，回归到“记录美好生活”的愿景本身上来。