【安全报告】网络安全威胁月报 201708

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 https://blog.nsfocus.net/

一. 2017年8月数据统计

1.1 高危漏洞发展趋势

2017年8月绿盟科技安全漏洞库共收录181个漏洞, 其中高危漏洞69个,微软高危漏洞47个,8月监测到CVE公布高危漏洞数量为180个。相比7月份漏洞数量略有下降。

1.2 互联网安全漏洞

firefox远程代码执行漏洞CVE-2017-7801 即便失败也可以DoS 55版本之前大多受影响

来源:https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

简述:Firefox发布公告称,firefox 55版本之前存在远程代码执行漏洞CVE-2017-7801,当在窗口调整大小时, 在仍在使用中更新的样式对象的情况下, 对选取框元素进行重新布局时, 可能会出现一个使用 after-free 的漏洞。这将导致潜在的可利用的崩溃。。

 

Foxit pdf Reader爆出2个0Day 官方拒绝发补丁

来源:http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html

简述:由于官方拒绝提供补丁,专家给出两个建议,1不要打开任何来源不明的pdf文档;2 安全阅读模式要保持打开状态。绿盟科技发布《Foxit PDF Reader 0day 漏洞安全威胁通告》.

 

版本控制软件爆出远程命令执行漏洞 涉及Git、SVN、Mercurial、CVS版本控制

来源:http://toutiao.secjia.com/git-svn-mercurial-cvs-rce

简述:几个流行的版本控制系统受到可能严重的远程命令执行漏洞的影响。受影响产品的开发人员本周发布了更新补丁来修补安全漏洞。该缺陷影响版本控制软件, 如 Git (CVE-2017-1000117)、Apache Subversion (CVE-2017-9800)、Mercurial (CVE-2017-1000116) 和 CVS。由于CVS 系统上次更新已经是9年前的事情了, 因此没有为它分配 CVE 标识符。

 

Talos实验室深入我国DDoS黑市DuTe 揭露各种DDoS团伙、平台、工具及攻击

来源:http://www.sohu.com/a/165157294_804262?qq-pf-to=pcqq.group

简述:在过去的几个月里,Talos实验室发现提供在线DDoS即服务的中文网站数量有所上涨。很多网站采用几乎雷同的布局和设计,提供简单接口供用户选择攻击目标的主机、端口、攻击方法和持续时间。此外,大多数这些网站是在最近6个月内注册的。不过,这些网站由不同组织运营,拥有不同注册用户。此外,Talos还发现这些网站的管理员之间还互相攻击。Talos希望能摸清创建这些平台的攻击者,并分析这些平台最近更为流行的原因。

 

美奥斯丁市电站数据泄露大量敏感项目资料 事出Rsync数据镜像备份工具配置不当

来源:http://toutiao.secjia.com/austin-powerplant-databreach

简述:美国奥斯丁市电站发生 数据泄露 ,事件泄露了敏感信息隔离SCIF计划的大量图纸及数据,还包括了SBC (AT&T), Oracle, National Semiconductor, Exodus, Applied Materials, Solectron, 和Philips的相关资料。这些内部文档, 包含许多敏感项目, 包括保密协议、供应商资格表单、采购订单和明文 PQE 密码 (computer stuff.docx)。其中一个密码是与 PQE 使用的 GoDaddy 网络主机相关的, 拥有它就能控制公司域名。

 

NetSarang的Xmanager和Xshell多种产品被植入后门 绿盟科技发布分析与防护方案

来源:http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor

简述:NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。

(来源:绿盟科技威胁情报与网络安全实验室)

1.3 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

 

  1. 2017-08-09 Microsoft Internet Explorer/Edge远程内存破坏漏洞(CVE-2017-8635)

NSFOCUS ID: 37368

链接:http://www.nsfocus.net/vulndb/37368

综述:Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Edge是内置于Windows10版本中的网页浏览器。Microsoft Windows 浏览器处理内存对象时,JavaScript引擎呈现方式存在安全漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统

 

  1. 2017-08-14 Adobe Acrobat/Reader内存破坏漏洞(CVE-2017-3016)

NSFOCUS ID: 37404

链接:http://www.nsfocus.net/vulndb/37404

综述:Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe Acrobat Reader在实现中存在内存破坏漏洞,成功利用后可导致任意代码执行。

危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞,从而控制受害者系统

 

  1. 2017-08-21 Mozilla Firefox释放后重利用拒绝服务漏洞(CVE-2017-7806)

NSFOCUS ID: 37441

链接:http://www.nsfocus.net/vulndb/37441

综述:Mozilla Firefox是一个开源网页浏览器,使用Gecko引擎。Mozilla Firefox呈现特定SVG内容时过早释放了层管理器,在实现上存在释放后重利用漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统

 

  1. 2017-08-14 Apache Tomcat 目录遍历漏洞(CVE-2017-7675)

NSFOCUS ID: 37373

链接:http://www.nsfocus.net/vulndb/37373

综述:Apache Tomcat是一个流行的开源JSP应用服务器程序。Apache Tomcat 9.0.0.M1-9.0.0.M21、Apache Tomcat 8.5.0-8.5.15版本,在HTTP/2实

现中存在安全限制绕过漏洞。

危害:攻击者可以通过构造的URL利用此漏洞,绕过安全限制

 

  1. 2017-08-04 Apple iOS/WatchOS/tvOS/macOS内存破坏漏洞(CVE-2017-7026)

NSFOCUS ID: 37304

链接:http://www.nsfocus.net/vulndb/37304

综述:iOS是由苹果公司为iPhone开发的操作系统。watchOS是Apple Watch的操作系统。tvOS是AppleTV设计系统,基于iOS。Mac OS是一套运行于苹果Macintosh系列电脑上的操作系统。Apple iOS、macOS、tvOS、watchOS在”Kernel”组件实现上存在安全漏洞。

危害:攻击者可以利用此漏洞来对系统进行非授权的访问

 

  1. 2017-08-09 Microsoft Windows 远程代码执行漏洞(CVE-2017-8591)

NSFOCUS ID: 37328

链接:http://www.nsfocus.net/vulndb/37328

综述:Microsoft Windows是流行的计算机操作系统。Windows Input Method Editor (IME)未正确处理内存对象,在实现中存在安全漏洞。

危害:远程攻击者可以利用这些漏洞控制受害者系统

 

  1. 2017-07-26 Oracle MySQL Server远程安全漏洞(CVE-2017-3643)

NSFOCUS ID: 37267

链接:http://www.nsfocus.net/vulndb/37267

综述:Oracle MySQL Server是一个轻量的关系型数据库系统。MySQL Server <= 5.7.18版本,在Server: DML组件实现中存在安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问

 

  1. 2017-08-04 Schneider Electric Pro-face GP-Pro EX任意代码执行漏洞(CVE-2017-9961)

NSFOCUS ID: 37291

链接:http://www.nsfocus.net/vulndb/37291

综述:Pro-face GP-Pro EX是Pro-face GP4000, GP4100, GP4000M, LT4000M, LT3000, EZ Series, SP5000 Smart Portal系列产品的开发软件。GP Pro EX 4.07.000版本在实现上存在不受控制的搜索路径元素。

危害:攻击者可以迫使进程加载任意DLL,并在当前进程中执行任意代码

 

  1. 2017-08-16 SIMPlight SCADA Software DLL加载本地代码执行漏洞(CVE-2017-9661)

NSFOCUS ID: 37418

链接:http://www.nsfocus.net/vulndb/37418

综述:SIMPlight SCADA是建筑管理系统及自动化设备软件。SIMPlight SCADA Software 4.3.0.27及之前版本存在不受控制的搜索路径元素漏洞。

危害:攻击者可以迫使进程加载任意DLL,并在当前进程中执行任意代码

 

  1. 2017-08-21 Bitdefender Total Security权限提升漏洞(CVE-2017-10950)

NSFOCUS ID: 37449

链接:http://www.nsfocus.net/vulndb/37449

综述:Bitdefender Total Security是恶意软件防护软件。Bitdefender Total Security在bdfwfpf驱动程序处理0x8000E038 IOCTL实现上存在代码执行漏洞。

危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问。

1.4 DDoS攻击类型

8月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近35541次攻击,与7月份相比,攻击次数增大,这个月的攻击类型分布来看,NTP重新成为了最主要的攻击类型.

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。更多相关信息,请关注绿盟科技DDoS威胁报告。
  • 攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

二. 博文精选

绿盟科技发布金融行业安全月刊-201708

随着国家安全战略的建立、《中华人民共和国网络安全法》等法律法规的颁布和实施、监管机构的推动、企业机构自身业务的发展,相信几乎所有的C Level级别的高管都认同网络安全的重要性和关键性。在这些新的形势下,很多机构的高管们都在思索和探讨如何持续改进和完善机构的网络安全治理,本文将根从企业网络安全的视角尝试提出以下六个建议供机构的高管们做参考。

【安全报告|下载】绿盟科技发布金融行业安全月刊-201708

 

卡巴斯基发布2017Q2APT趋势报告 预测Q3APT趋势 力推私有威胁情报门户

卡巴斯基近日发布2017 Q2 APT趋势报告,报告罗列了Q2重大安全事件,其中提到了针对两个重大事件WannaCry或Petya,进行了系列深度分析。报告还对Q3 APT趋势作出预测,包括6个方面。

http://toutiao.secjia.com/kaspersky-2017q2-apt-trends-report

 

TechWorld2017热点回顾 | 威胁情报如何驱动新一代智能安全防护体系

最近“威胁情报”在网络安全界备受关注。什么是威胁情报呢?简单来说,威胁情报就是能够帮助识别安全威胁并作出明智决定的知识。那威胁情报要如何具体实践呢?

【视频】TechWorld2017热点回顾 | 威胁情报如何驱动新一代智能安全防护体系

 

绿盟科技发布《2017上半年DDoSWeb应用攻击态势报告》

DDoS攻击和Web应用攻击是当今互联网面临的较为突出的两大安全威胁。

绿盟科技发布《2017上半年DDoS与Web应用攻击态势报告》

 

(来源:绿盟科技博客)

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

DerbyCon

时间:September 20-24, 2017

简介: DerbyCon is an infosec conference that prides itself on its family feel. That means industry professionals, hobbyists, and people with an interest in security are welcome to attend.

网址:https://www.derbycon.com/

nullcon

时间:September 19th – 22nd 2017.

简介: This event was launched in 2010 with the intention of providing an “integrated platform for exchanging information on the latest attack vectors, zero day vulnerabilities and unknown threats” (organizers own words).

网址:http://nullcon.net/website/

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment