【安全报告】网络安全威胁月报——201805

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。5月,绿盟科技漏洞库新增257个漏洞, 其中高危漏洞113个,微软高危漏洞32个。本次月报建议大家关注Adobe Acrobat/Reader代码执行漏洞 (CVE-2018-4990) 等,Adobe Acrobat/Reader是PDF文档阅读和编辑软件。此漏洞的利用样本已经曝光,后续可能存在被黑客大规模利用攻击的可能性。请受影响用户及时下载更新。

获取最新的威胁月报,请访问绿盟科技博客 http://blog.nsfocus.net/

一、2018年05月数据统计

1.1 高危漏洞发展趋势

2018年05月绿盟科技安全漏洞库共收录257个漏洞, 其中高危漏洞113个,微软高危漏洞32个

注:本期NVD(NATIONAL VULNERABILITY DATABASE)网站调整,CVSS评分无法检索,因此图中显示CVE高危漏洞数量为0

1.2 互联网安全漏洞

标题:VPNFilter可能造成全球威胁,FBI建议用户尽快升级路由器固件

时间:2018-05-28

摘要:俄罗斯攻击组织Apt28和Sofacy联合发起VPNFilter恶意软件攻击,根据FBI调查显示,全球超过54个国家中已感染设备超过50万台,已知14种物联网设备受到影响。 VPNFilter恶意软件能够阻止网络流量,收集通过家庭和办公室路由器的信息,完全禁用设备。VPNFilter构成的威胁远远超出了被盗密码造成的个人问题,在适当的情况下,攻击可能会在全球范围内扩散。

链接:http://toutiao.secjia.com/vpnfilter-pose-global-threat

标题:DrayTek路由器出现0day漏洞,超80000个路由器受到影响

时间:2018-05-21

摘要:DrayTek路由器出现0day漏洞,攻击者可以利用漏洞修改DNS配置,然后通过中间人攻击,将用户重定向到钓鱼网站以达到窃取数据的目的。预计超过 800,000个设备受到影响,DrayTek官方已经发布了安全公告和防护建议;受影响的用户需及时更新,防止配置被篡改。

链接:http://toutiao.secjia.com/draytek-0day-dns

标题:Red Hat DHCP代码执行漏洞CVE-2018-1111

时间:2018-05-16

摘要:在Red Hat Enterprise Linux的DHCP客户端软件包中包含的NetworkManager集成脚本中发现了命令注入漏洞。 恶意DHCP服务器或本地网络上能够欺骗DHCP响应的攻击者可以使用此漏洞在使用NetworkManager的系统上执行具有root权限的任意命令,并配置为使用DHCP协议获取网络配置。

链接:http://toutiao.secjia.com/cve-2018-1111

标题:Hadoop未授权访问高危漏洞

时间:2018-05-15

摘要: 绿盟科技威胁情报中心(NTI) 监测到,有大量的Hadoop Yarn 被攻击。黑客通过未授权的方式直接调用Hadoop Yarn集群的Rest API接口,下达运算任务。这种攻击被大量用于数字货币挖矿。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。

链接:http://toutiao.secjia.com/hadoop-unauth-access

标题:Electron流行开源框架XSS漏洞

时间:2018-05-14

摘要:Electron 是一个由node.js,V8和Chromium构成的开源框架,该框架已被广泛用于流程的桌面应用程序,包括Github桌面,WordPress等;研究员发现通过错误配置,将允许恶意应用程序访问Node.js API和模块并滥用更多操作系统功能。

链接:http://toutiao.secjia.com/electron-xss

标题:Github密码重置功能出现问题,系统日志明文存储用户密码

时间:2018-05-03

摘要:程序员依靠 Github 来安全地托管他们的开源软件项目。但近日 Github密码重置功能出现问题,日志中以明文形式记录了用户密码 ,这可能会让开发人员泄露他们的开发代码及相关敏感信息,并暴露在流行的存储库网站上。Github坚持认为只有Github的2700万用户中的一小部分受到影响。

链接:http://toutiao.secjia.com/github

标题:Sednit APT组织利用Zebrocy恶意软件正攻击各国大使馆

时间:2018-05-07

摘要:近两年来,APT攻击组织Sednit利用Zebrocy样本对韩国、瑞士国家的相关目标发起过窃密活动,该样本的主要以大使馆、外交部及外交官类作为目标,绿盟威胁情报中心(NTI)检测到到多起攻击事件,影响较广,绿盟科技专家对其攻击流程和原理进行分析并制定防护方案,请用户及时关注并注意防护。

链接:http://toutiao.secjia.com/windows-apt-zebrocy

(来源:绿盟科技威胁情报与网络安全实验室)

1.3 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏

洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

1. 2018-05-23 Microsoft Windows VBScript引擎安全漏洞(CVE-2018-8174)

NSFOCUS ID: 39836

链接:http://www.nsfocus.net/vulndb/39836

综述:Windows VBScript是Windows的脚本语言引擎。Microsoft Windows VBScript引擎处理内存对象中存在远程代码执行漏洞。

危害:远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏

2. 2018-05-09 Adobe Flash Player类型混淆远程代码执行漏洞(CVE-2018-4944)

NSFOCUS ID: 39645

链接:http://www.nsfocus.net/vulndb/39645

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 29.0.0.140及更早版本在实现上存在类型混淆安全漏洞。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统

3. 2018-05-10 Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞(CVE-2018-8120)

NSFOCUS ID: 39709

链接:http://www.nsfocus.net/vulndb/39709

综述:Microsoft Windows是流行的计算机操作系统。Win32k 组件没有正确处理内存中的对象,存在特权提升漏洞。

危害:成功利用此漏洞的攻击者可以在内核模式中运行任意代码

4. 2018-05-15 Adobe Acrobat/Reader任意代码执行安全漏洞(CVE-2018-4946)

NSFOCUS ID: 39745

链接:http://www.nsfocus.net/vulndb/39745

综述:Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe Acrobat/Reader在实现上存在释放后重利用安全漏洞。

危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞,从而控制受害者系统

5. 2018-04-26 Drupal远程代码执行漏洞(CVE-2018-7602)

NSFOCUS ID: 39515

链接:http://www.nsfocus.net/vulndb/39515

综述:Drupal是一款开源的内容管理平台。Drupal 7.x和8.x等版本在实现上存在代码执行漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问

6. 2018-05-15 Adobe Photoshop CC任意代码执行漏洞(CVE-2018-4946)

NSFOCUS ID: 39783

链接:http://www.nsfocus.net/vulndb/39783

综述:Adobe Photoshop CC是数字影像处理软件。Photoshop CC 19.1.3 <= 19.x,18.1.3 <=  18.x版本在实现上存在安全漏洞。

危害:攻击者可以通过诱使受害者打开恶意图片文件来利用此漏洞,从而控制受害者系统

7. 2018-05-14 Google Chrome V8代码执行漏洞(CVE-2018-6122)

NSFOCUS ID: 39733

链接:http://www.nsfocus.net/vulndb/39733

综述:Google Chrome是由Google开发的一款Web浏览工具。Google Chrome 66.0.3359.170之前版本在实现上存在代码执行漏洞,可使远程攻击者利用此漏洞执行任意代码。

危害:攻击者可以通过诱使受害者打开恶意网页文件来利用此漏洞,从而控制受害者系统

8. 2018-04-27 Foxit Reader Text Annotations释放后重利用远程代码执行漏洞(CVE-2018-9958)

NSFOCUS ID: 39566

链接:http://www.nsfocus.net/vulndb/39566

综述:Foxit Reader是一款小型的PDF文档查看器和打印程序。Foxit Reader在Text Annotations处理中存在安全漏洞,攻击者利用此漏洞可在当前进程上下文中执行任意代码。

9. 2018-05-02 Oracle PeopleSoft Enterprise PeopleTools 远程安全漏洞(CVE-2018-2772)

NSFOCUS ID: 39589

链接:http://www.nsfocus.net/vulndb/39589

综述:PeopleSoft Enterprise PeopleTools提供了一套全面的开发工具集,支持PeopleSoft应用软件的开发和运行。Oracle PeopleSoft Enterprise PeopleTools组件在实现上存在安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问

10. 2018-05-23 多个CPU硬件信息泄露漏洞(CVE-2017-5753)

NSFOCUS ID: 39837

链接:http://www.nsfocus.net/vulndb/39837

综述:CPU hardware是运行在中央处理器中用于管理和控制CPU的固件。微处理器若利用推测执行及分支预测,在实现中存在安全漏洞,可使包括Apple、Google、

Intel、Linux Kernel、Microsoft、Mozilla等在内的多家厂商CUP硬件和操作系统受到影响。

危害:本地攻击者可以通过旁道分析,利用该漏洞读取内存信息。

1.4 DDoS攻击类型

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者地址向互联网上大量的智能设备发起请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是倍。

更多相关信息,请关注绿盟科技威胁报告。

二. 博文精选

GDPR正式生效 企业如何建设隐私数据安全防护?

隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)的正式实施,隐私保护与伴随而来的数据安全成为了企业必须面对的课题。本文针对隐私保护和数据安全方面的内容,展现一个相对全面,客观的视角,帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势,以及如何落地该法案。

http://blog.nsfocus.net/gdpr/

路由器漏洞分析入门:D-Link Service.Cgi远程命令执行漏洞

在正在到来的物联网时代,路由器是一个家庭里面的核心,连接着各种智能设备,路由器会被更多的黑客盯上,用于发动DDos,传播木马、病毒、挖矿软件等。本文以D-Link路由器的一个远程命令执行漏洞为例带你入门路由器漏洞分析。

路由器漏洞分析入门:D-Link Service.Cgi远程命令执行漏洞

(来源:绿盟科技博客)

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

FIRST ANNUAL CONFERENCE

时间:24-29 June, 2018

简介: The event is sponsored by the Forum of Incident Response and Security Teams (FIRST), an international confederation of more than 350 trusted computer incident response teams from over 80 countries.

网址:https://www.first.org/conference/2018/

INFOSECURITY EUROPE

时间:5-7 June, 2018

简介:InfoSecurity Europe is an annual conference that’s evolved into one of Europe’s largest and most highly-regarded information security events. Its reputation is bolstered by the conference’s free rate of admission.

网址: http://www.infosecurityeurope.com/

GARTNER SECURITY & RISK MANAGEMENT SUMMIT

时间:4-7 June, 2018

简介:This year’s conference will consist of five programs: CISO, Security Trends and Capabilities, Technical Insights: Security Architecture, Risk and Business Resilience, and Marketplace for Security..

网址: http://www.infosecurityeurope.com/

APPSEC EUROPE

时间:2-6 July, 2018

简介:AppSec Europe is an annual conference hosted by the Open Web Application Security Project (OWASP), a non-profit organization which strives to raise the visibility of software security worldwide. Each AppSec Europe conference features technical talks, debate panels, training sessions, hands-on learning workshops, and keynote addresses from industry leaders. This year’s conference will feature Amit Klein, who is VP Security Research at SafeBreach.

网址: http://2018.appsec.eu/

发表评论