绿盟科技技术博客

【威胁通告】微软发布11月补丁修复64个安全问题

2018-11-14绿盟科技CVE-2018-8416, windows11月份补丁, 威胁通告, 欺骗攻击, 特权提升漏洞, 远程代码执行

微软于周二发布了11月安全更新补丁，修复了64个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及.NET Core、Active Directory、Adobe Flash Player、Azure、BitLocker、Internet Explorer、Microsoft Drivers、Microsoft Dynamics、Microsoft Edge、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft JScript、Microsoft Office、Microsoft Office SharePoint、Microsoft PowerShell、Microsoft RPC、Microsoft Scripting Engine、Microsoft Windows、Microsoft Windows Search Component、Servicing Stack Updates、Skype for Business and Microsoft Lync、Team Foundation Server、Windows Audio Service以及Windows Kernel。

Attacking PLCs by PLC in deep

2018-11-14程擂工控蠕虫病毒, 施耐德PLC, 绿盟科技格物实验室, 罗克韦尔PLC, 西门子PLC

在Black Hat 2016，Ralf Spenneberg等人在他们的报告《PLC-Blaster: A Worm Living Solely in the PLC》中介绍了一种不依赖于计算机，只通过西门子PLC设备来进行传播和感染的工控蠕虫病毒。该病毒可以通过一台被感染的PLC来接入整个系统，接下来会通过复制传播到更多的PLC中，并且能在不影响已存在的PLC程序的前提下被执行。2018年在瑞典斯德哥尔摩举行的CS3工控安全会议中，绿盟科技格物实验室团队在参考PLC-Blaster的基础上，演示了使用一台PLC攻击其他不同厂家PLC的方法。

绿盟科技互联网安全威胁周报NSFOCUS-18-45

2018-11-13绿盟科技CVE-2018-16847, NSFOCUS-18-45, QEMU缓冲区溢出漏洞, 互联网安全威胁周报

绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-45，绿盟科技漏洞库本周新增53条，其中高危7条。本次周报建议大家关注QEMU NVM Express Controller 缓冲区溢出漏洞等，此漏洞位于nvme设备的nvme_cmb_ops例程中。攻击者可利用该漏洞造成拒绝服务，也可能运行任意代码。目前厂商已经发布了升级补丁，请用户及时到厂商主页下载补丁修复这个安全问题。

【威胁通告】VMware虚拟机逃逸漏洞CVE-2018-6981、CVE-2018-6982

2018-11-12绿盟科技CVE-2018-6981, CVE-2018-6982, vmware esxi漏洞, vmware虚拟机逃逸漏洞

VMware官方近日发布安全公告，修复了VMware ESXi，Workstation和Fusion中存在的两个严重漏洞（CVE-2018-6981和CVE-2018-6982）。漏洞均由在GeekPwn2018国际安全极客大赛上成功完成虚拟机逃逸挑战的长亭科技安全团队提供。CVE-2018-6981和CVE-2018-6982均是由VMware ESXi，Fusion和Workstation在vmxnet3虚拟网络适配器中存在未初始化的堆栈内存使用引起。CVE-2018-6981可能允许客户机在宿主机上执行代码，CVE-2018-6982则可能导致从宿主机到客户机的信息泄露。如果受影响产品启用了vmxnet3，则存在风险，非vmxnet3虚拟适配器则不受以上问题影响。

容器安全的全球威胁分析

2018-11-12绿盟科技2018绿盟科技容器安全技术报告, Docker安全, 云原生, 云计算, 容器安全, 绿盟威胁情报中心NTI

容器技术被广泛接受和使用的同时，容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了进一步了解容器以及容器环境的安全威胁，为使用容器的用户提供安全防护建议。绿盟科技携手硅谷知名容器安全公司NeuVector，联合发布《2018绿盟科技容器安全技术报告》。

【公益译文】安全意识专题 | 管理桌面安全

2018-11-08绿盟科技安全意识, 桌面安全, 社会工程, 社会工程学, 网络钓鱼

桌面安全可谓是公司网络的第一道防线。通过部署恰当的安全策略，可以阻止恶意软件和病毒在爆发后持续恶化，甚或可以完全避免此类事件发生。公司网络内的桌面安全通常由配置了强制组策略的中央服务器进行管理。当PC 系统登录到网络时，会在域控制器中进行身份认证，并接收启动脚本，这些脚本控制着网络上的计算机行为。这种集中控制简化了大型网络的管理。

【威胁通告】Cisco Stealthwatch Management Console及Unity Express高危漏洞CVE-2018-15394，CVE-2018-15381

2018-11-08绿盟科技Cisco 漏洞, CVE-2018-15381, CVE-2018-15394, 反序列化

当地时间11月7日，Cisco官方发布安全通告称修复了Stealthwatch Management Console以及Unity Express的2个高危漏洞。CVE-2018-15394，该漏洞源于系统配置存在隐患，一个未授权的攻击者可以远程绕过验证流程，从而受影响的系统上以管理员身份执行代码。CVE-2018-15381，该漏洞源于对用户提供的内容进行反序列化操作是没有进行足够的过滤。攻击者可以向受影响的系统RMI服务发送一个恶意的java序列化对象来触发该漏洞，从而以root权限执行任意shell命令。