2017网络安全威胁4月月报

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

2017年4月数据统计

高危漏洞发展趋势

2017年4月绿盟科技安全漏洞库共收录175个漏洞, 其中高危漏洞86个,微软高危漏洞39个,上月监测到CVE公布高危漏洞数量为316个。相比3月份的高危漏洞数量持续上升。

互联网安全漏洞

VMSA-2017-0008.1

来源:http://blog.nsfocus.net/vmsa-2017-0008-1/

简述:当地时间2017年4月19日(北京时间2017年4月20日),VMWARE官方发布安全通告,VMware Unified Access Gateway, Horizon View and Workstation产品存在多个严重漏洞。

Squirrelmail 远程代码执行漏洞

来源:http://blog.nsfocus.net/squirrelmail-remote-code-execution-vulnerability/

简述:Squirrelmail被爆出存在一个远程代码执行漏洞(CVE-2017-7692,CNNVD-201704-561)。该漏洞是由于在传递一个字符串给popen调用之前,没有对其进行过滤和无害化处理。因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码。

mbed TLS远程代码执行漏洞

来源:http://toutiao.secjia.com/dahua-webcam-vulnerability-analysis-protection

简述:ARM 旗下的mbedTLS被爆出存在一个远程代码执行漏洞(CVE-2017-2784)。ARM mbedTLS 2.4.0的x509证书解析代码中存在无可用的栈指针漏洞。 由mbedTLS库解析时,特制的x509证书可能造成无效的栈指针,从而导致潜在的远程代码执行

Jackson框架Java反序列化远程代码执行漏洞

来源:http://blog.nsfocus.net/jackson-framework-java-vulnerability-analysis/

简述:Jackson框架被发现存在一个反序列化代码执行漏洞。该漏洞存在于Jackson框架下的enableDefaultTyping方法,通过该漏洞,攻击者可以远程在服务器主机上越权执行任意代码,从而取得该网站服务器的控制权。

HPE Vertica Analytics Platform远程特权访问漏洞

来源:http://blog.nsfocus.net/hpe-vertica-analytics-platform-remote-privilege-access-vulnerability/

简述:地时间2017年4月17日(北京时间2017年4月18日),HP官方发布安全通告,披露了一个由Fortinet提供的关于HPE Vertica Analytics Platform产品存在远程特权访问的漏洞,CVE编号为CVE-2017-5802。

Microsoft Office OLE2Link(CVE-2017-0199)漏洞

来源:http://toutiao.secjia.com/struts2-vulnerability-analysis-and-protection-cve-2017-5638

简述:2017年4月7日McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞(CVE-2017-0199)的相关细节。攻击者可以向受害人发送一个带有OLE2link对象附件的恶意邮件,诱骗用户打开。

Apache Log4j反序列化漏洞

来源:http://blog.nsfocus.net/apache-log4j-deserialization-vulnerability/

简述:北京时间18日清晨,Apache Log4j 被曝出存在一个反序列化漏洞(CVE-2017-5645)。攻击者可以通过发送一个特别制作的2进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码。

phpcms v9.6注册功能远程getshell 0day漏洞分析

来源:http://blog.nsfocus.net/phpcms-v9-6-getshell-0day-vulnerability-analysis/

简述:phpcms在国内应该使用很多,前几天被爆出来一个getshell的0day,这个漏洞无需登录即可远程直接getshell,所以影响很大。phpcms官方4月12日发布了9.6.1版本,对漏洞进行了补丁修复。

phpcms v9.6注册功能远程getshell 0day漏洞分析

来源:http://blog.nsfocus.net/phpcms-v9-6-getshell-0day-vulnerability-analysis/

简述:phpcms在国内应该使用很多,前几天被爆出来一个getshell的0day,这个漏洞无需登录即可远程直接getshell,所以影响很大。phpcms官方4月12日发布了9.6.1版本,对漏洞进行了补丁修复。

方程式组织泄漏大量针对Windows攻击工具威胁

来源:http://blog.nsfocus.net/microsoft-windows-large-0-day-vulnerability/

简述:Shadow Brokers组织公布了此前窃取的部分方程式(Equation Group)组织的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖,因为这部分文件包含了数个令人震撼的黑客工具,用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分:Windows, Swift以及Odd。

(来源:绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

 

  1. 2017-04-12 Microsoft Office OLE功能远程代码执行漏洞(CVE-2017-0199)

NSFOCUS ID: 36350

链接:http://www.nsfocus.net/vulndb/36350

综述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Office在实现上存在远程代码执行漏洞,可使攻击者执行任意代码,完全控制受影响系统。

危害:远程攻击者可以通过诱使受害者打开恶意文档来利用此漏洞,从而控制受害者系统

 

  1. 2017-04-12 Microsoft Internet Explorer远程权限提升漏洞(CVE-2017-0210)

NSFOCUS ID: 36356

链接:http://www.nsfocus.net/vulndb/36356

综述:Internet Explorer是微软公司推出的一款网页浏览器。Internet Explorer 未正确实现跨域策略时,在实现上存在特权提升漏洞,可使攻击者获取访问域中信息并将其插入其他域。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统

 

  1. 2017-04-21 SAMSUNG Tizen系统多个安全漏洞

NSFOCUS ID: 36488

链接:http://www.nsfocus.net/vulndb/36488

综述:Tizen是三星产品主流操作系统,广泛使用在三星智能电视、智能手表和Z系列智能手机中。Tizen系统在实现中存在多个安全漏洞,攻击者可以利用这些漏洞控制三星设备,植入任意恶意代码等。

危害:攻击者可以利用这些漏洞控制三星设备,植入任意恶意代码等

 

  1. 2017-04-14 Adobe Flash Player释放后重利用远程代码执行漏洞(APSB17-10)

NSFOCUS ID: 36397

链接:http://www.nsfocus.net/vulndb/36397

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 25.0.0.127及之前版本在sound类中存在释放后重利用漏洞,成功利用后可导致任意代码。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统

 

  1. 2017-04-21 Action Message Format (AMF3) Java远程代码执行漏洞

NSFOCUS ID: 36487

链接:http://www.nsfocus.net/vulndb/36487

综述:AMF3是Adobe Action Message Format的最新版本,用于ActionScript对象图形序列化的压缩二进制格式。Java AMF3在功能实现上存在多个漏洞,多个应用了AMF3的产品都受此漏洞的影响。

危害:远程攻击者可以利用这些漏洞控制受害者系统

 

  1. 2017-04-10 Apple iOS 任意代码执行漏洞(CVE-2016-6975)

NSFOCUS ID: 36325

链接:http://www.nsfocus.net/vulndb/36325

综述:iOS是由苹果公司为移动设备所开发的操作系统,支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple iOS < 10.3.1版本在Wi-Fi实现中,未能防止通过构造的访问点造成的栈缓冲区溢出。

危害:攻击这可以通过此漏洞在Wi-Fi芯片上执行代码

 

  1. 2017-03-27 Microsoft Windows Server ScStoragePathFromUrl函数缓冲区溢出漏洞(CVE-2017-7269)

NSFOCUS ID: 36239

链接:http://www.nsfocus.net/vulndb/36239

综述:Windows Server是微软发布的一系列服务器操作系统。Microsoft Windows Server 2003 R2在Internet Information Services (IIS)6.0的WebDAV服务实现中,ScStoragePathFromUrl函数存在缓冲区溢出漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器

 

  1. 2017-04-05 Google Android权限提升漏洞(CVE-2017-0554)

NSFOCUS ID: 36301

链接:http://www.nsfocus.net/vulndb/36301

综述:Android是基于Linux开放性内核的手机操作系统。Google Android在CameraBase实现上存在权限提升漏洞,可使本地恶意应用执行任意代码。

危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问

 

  1. 2017-04-18 Apache Log4j远程代码执行漏洞(CVE-2017-5645)

NSFOCUS ID: 36412

链接:http://www.nsfocus.net/vulndb/36412

综述:Apache Log4j是一个基于Java的日志记录工具。Apache Log4j 2.x < 2.8.2版本,若使用TCP或UDP套接字服务器接收其他应用的序列化日志事件。

危害:攻击者发送构造的二进制负载,反序列化时,可执行任意代码

 

  1. 2017-04-21 VMware Workstation/Horizon Client堆缓冲区溢出漏洞(CVE-2017-4909)

NSFOCUS ID: 36480

链接:http://www.nsfocus.net/vulndb/36480

综述:VMware Workstation 是一款功能强大的桌面虚拟计算机。VMware Workstation /Horizon Client在TPView.dll的True Type Font解析器及JPEG2000解析器中存在多个堆缓冲区溢出漏洞。

危害:攻击者可以通过诱使受害者打开恶意文件来利用此漏洞,从而控制受害者系统。

(来源:绿盟科技威胁情报与网络安全实验室)

DDoS攻击类型

4月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了超过2.5万次攻击,与3月份相比,攻击次数下降,但在这个月的攻击类型中,相比上个月CHARGEN攻击占比增长很明显

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

更多相关信息,请关注绿盟科技DDoS威胁报告。

博文精选

RSA会议主题回顾

 

2016DDoS威胁报告

日前,绿盟科技联合中国电信云堤发布《2016年DDoS威胁报告》,报告总结及分析了2016全年DDoS攻击发展态势,并就DDoS防护生态环境给出了相关建议,其中DDoS防护策略、方案及技术手段,可以帮助各组织及机构持续改善自己的DDoS防护技术及体系。

http://blog.nsfocus.net/2016-annual-ddos-threat-report/

 

金融行业需要关注《网络安全法》

《网络安全法》正式出台,对于加强互联网和网络安全方面的法律约束具有重要意义,对金融机构提出新的网络安全工作思路和要求,起到推进作用。本文梳理的关注点分布在工作依据、工作原则、网络运行、个人信息、监测与预警、内部审计6个方面,期许通过完善和加强这些方面的管理机制和技术防护措施,从而整体提升金融行业网络安全防护水平。

http://blog.nsfocus.net/network-security-law-points/

 

恶意样本分析手册

在计算机系统中,我们是以字节为单位的,每个地址单元都对应着一个字节,一个字节为 8bit。但是在C语言中除了8bit的char之外,还有16bit的short型,32bit的long型(要看具体的编译器),另外,对于位数大于 8位的处理器,例如16位或者32位的处理器,由于寄存器宽度大于一个字节,那么必然存在着一个如何将多个字节安排的问题。

http://blog.nsfocus.net/sample-analysis-manual-theory/

 

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

Gartner Security Risk Management Summit

时间:12-15 June, 2017

简介: The premier gathering of security, risk management and business continuity management leaders,Gartner Security & Risk Management Summit 2017 delivers the insight you need to guide your organization to a secure digital business future. The comprehensive agenda addresses the latest threats, flexible new security architectures, governance strategies, the chief information security officer role and more. It’s a unique opportunity to reinvent your approach to security and risk for the digital age, based on Gartner’s trusted independent research and practical recommendations.

网址:http://www.gartner.com/events/na/security#

AppSec Europe Conference

时间:May 8-12, 2017

简介:Welcome to OWASP Annual AppSec EU Security Conference, the premier application security conference for European developers and security experts. AppSec EU provides thought leadership, amazing talks, informative sessions, and great social experiences.

https://2017.appsec.eu/

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论