【高危】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞

过去三年，我大概每年平均至少见300个企业的专家和大佬们，这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的，但每次见也多少会有新的收获。因为工作的原因，我们聊最多的话题其实是跟软件供应链安全相关的，所以我最近就特别想把过去我们这1000次交流过程中，聊到的最核心的问题都提炼出来，然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中，把这些内容重点放进去。也是希望通过这样的方式，给所有准备做，或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。

尤瓦尔·赫拉利在《人类简史》中说道：“讲故事”和“相信故事”的能力，是原始部落突破150人上限、展开大规模协作的前提。立项是什么？其实就是你在企业内部，把想做的事情以故事的形式，讲给企业管理者和同事们听，并且让他们相信这个故事，从而投入资源来帮助你实现你的故事。因为创业的缘故，平时和企业客户接触最多的一项工作，就是辅助企业安全专家大佬们，在内部申请立项。而且经常面对的是，来自各行业企业的客户的立项需求。虽然各家企业内部，立项的级别和项目内容，会有一些区别。但总体来说，立项流程。

从近期大量曝光的安全事件分析可以发现，开源组件的投毒攻击是目前黑灰产最常用的攻击手段，尤其是针对虚拟货币交易所，愈演愈烈，大概率是黑灰产尝到了开展这一类攻击的甜头，从我们实际的经验来看，针对开源组件的投毒攻击，对于所有企业来说，成功率要远远高于企业安全专家们的预期，实际上非常容易成功的。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

但从结果上来说，想要在全球范围内带来持久的影响力，必须要有真东西，必须要经得起用户的检验，必须要货真价实的为用户创造实在的价值，才有可能持续带来真正的正面影响力，不然都是泡沫和昙花一现。DeepSeek这个事情对我们的触动是非常之大的，甚至我都开始认为DeepSeek这一代的企业和企业家们，未来可能会用新的企业经营模式，给中国在全球激烈的竞争中赢得更大的影响力。一个是因为没有足够的卡和足够的钱，所以DeepSeek只能找一堆有理想的年轻人在一起埋头搞研发，搞创新，最后搞成了。

最近经常跟负责企业安全的朋友们，讨论2025年企业安全有什么新的业务方向。刚好这两天看到，海外知名IT媒体CRN发出的一篇《2024 年 10 家最热门的网络安全初创公司》文章。所以花了一下午的时间，研究了一下这些公司正在做的安全方向，以及他们产品的一些主打特性。我想，这从某种程度，也代表着行业的最新方向和趋势。所以趁着年底，我把自己看完之后的思考和分析写下来，跟朋友们分享一下，希望能给大家带来一些帮助，也欢迎大家一起交流。Cyera是一家成立于2021年的数据安全公司，总部位于美国纽约。

两年多以前我刚开始创业时，写了一篇《白帽十年，再出发，愿归来仍是少年》的文章，分享了我这个搞了十年安全研究和企业安全建设的老白帽，为什么选择创业的心路历程。一晃两年多过去了，当写下这行文字的时候，正是2024年11月19日，按工商登记时间来算，我们创办墨菲安全这家企业刚好三周年。这三年对于我们来说，经历了太多太多跌宕起伏。2021年9月从大厂安全负责人岗位上毅然离职，和团队的几个伙伴充满激情、义无反顾的冲上创业这条路。

切面服务收到任务后，结合漏洞修复信息，对存在漏洞的服务进行一键统一漏洞修复，完成整个漏洞事件的闭环。墨菲安全可以结合漏洞数据，将开源组件漏洞触发函数作为切点注入，当应用运行时，便可获取漏洞触发函数的调用栈信息，进而识别触发函数调用上下文信息，判断是否存在漏洞可达性路径，最终可以过滤掉95%左右的不可触发漏洞。安全切面技术能力的应用，就可以帮助运营人员在实际操作中，全量或下发特定的组件及风险识别任务，识别组件，并识别是否存在真实风险，以及风险资产对应的系统情况，进一步进行风险处置。

在过去一年中，墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作，展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。，该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险，提供有效协作，并做出贡献的行业安全团队。贯众覆盖超6w+主流组件，并已全球首发多个0day预警，漏洞预警已达分钟级，从容应对安全风险。

墨菲安全作为安全平行切面联盟成员，凭借“基于切面技术的软件供应链安全”产品特色和创新实践，入选首批“切面联盟技术合作伙伴计划”，成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持，当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。

wp:quote处心积虑的投毒者蛰伏三年多，精心选择对象，通过复杂的攻击手法、专业的技战术，一步步支起一张大网，企图掌控全球主流linux发行版，一旦成功他将可以随意侵入全球绝大多数的服务器，这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽，事件被及早发现，没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性，本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件，应该加强企业自身的供应链安全体系建设，才能当危机来临时应对自如。/wp:quote。

2018 年 11 月 15 日，美国国土安全部（DHS）宣布成立了信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组，这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃，2024 年 2 月 6 日，该组织刚刚宣布将工作组延长两年。

反观，今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程，据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%，据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿，到2028年还将翻一番来到20万亿，而当前软件产业链在安全上的投入恐怕连0.1%（100亿）都不到，这里面未来发展的空间非常大。传统的开发安全体系（SDL/DevSecOps）更多的关注的是软件研发过程中的安全管控，但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向，也是当前企业面临的主要安全威胁，大量勒索攻击、数据泄露事件究其原因都与此有关，再加上自主可控的大背景需求下，此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向，行业头部企业都在积极投入和规划，我们应该如何客观看待，开源安全治理到底是昙花一现的伪需求？

Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中，由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下，攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求，从而获取到运行 Solr 实例的主机上的所有系统环境变量，包括敏感信息的配置、密钥等。

Apache IoTDB是时序数据的数据管理系统，为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎，全称是Java表达式语言(Java Expression Language)，可以在 java 程序中动态地运算一些表达式在受影响版本中，由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF，调用 JEXL表达式来执行 JAVA命令，导致存在远程代码执行漏洞。

Google Chrome V8 是一个由Google开发的开源JavaScript引擎，用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中，当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时，可能未能正确处理内存或属性映射，导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入，从而可能导致代码执行。漏洞已被Google发现在野利用。

Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中存在模版注入漏洞，攻击者通过构造恶意请求，可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞。漏洞已在8.5.4版本中修复，可能与velocity引擎中对snakeyaml、antlr等组件的支持有关。

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ，使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的，这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数，但会在 OpenSSL pkey 命令行应用程序中调用。

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。GitLab 受影响版本中，由于配置Slack/Mattermost 集成时，未正确验证用户身份信息，导致攻击者可以使用其他用户身份执行 Slack 命令。2024/1/12。