【安全报告】网络安全威胁月报——201805

绿盟科技发布了6月互联网安全威胁月报,月报编号NSFOCUS-2018-6。6月,绿盟科技漏洞库新增145个漏洞, 其中高危漏洞68个,微软高危漏洞50个。本次周报建议大家关注Adobe Flash Player远程代码执行漏洞(CVE-2018-5002)等,在Adobe Flash Player 29.0.0.171及更早版本上存在类型混淆漏洞,成功利用后可使攻击者执行任意代码。目前,已经出现针对这个漏洞的攻击。Adobe为此发布了一个安全公告(APSB18-19)以及相应补丁,请用户及时下载更新。

报告完整版如下:

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 http://blog.nsfocus.net/

一. 2018年06月数据统计

1.1 高危漏洞 发展趋势

2018年06月绿盟科技安全漏洞库共收录145个漏洞, 其中高危漏洞68个,微软高危漏洞50个,整体态势平稳

1.2 互联网安全事件

标题:Acfun 用户信息泄露信息

时间:2018-06-14

摘要:幕视频网站AcFun(A站)发布官方声明称其网站被黑客攻击,千万条用户信息泄露,包括用户名ID与密码等。这些泄露的用户信息在暗网上已被公开出售,同时出售的还包括其他商家的用户信息。攻击者在论坛中表示自己也是A站的忠实用户,只是为了提醒A站能及时修补漏洞,在达到目的以后,删除了已获取到的数据。

链接:http://blog.nsfocus.net/acfun/

标题:思科任意代码执行漏洞

时间:2018-06-21

摘要:6月20日,Cisco官方发布安全通告修复了多个不同程度的安全漏洞,其中包括5个严重漏洞。 其余19个漏洞的SIR为 高 。 成功利用这些漏洞可能允许攻击者未经授权访问受影响的设备,获得受影响设备的特权,执行任意代码,执行任意命令,访问敏感信息或导致拒绝服务(DoS)情况在受影响的设备上。

链接: http://toutiao.secjia.com/article/page?topid=110378

标题:全新恶意软件VPNFilter控制全球至少50万台网络设备

时间:2018-06-01

摘要:有一款名为VPNFilter的恶意软件被发现感染了至少50万的网络设备,Talos团队在近几个月来一直在与各威胁情报厂商和执法机构合作,通过研究后发现,这款恶意软件十分先进,可能是由国家资助或与国家级别的攻击者发起的,是一种先进的模块化恶意软件系统(modular malware system)。 本文揭示了该恶意软件的技术细节并提出了防护措施。

链接:http://blog.nsfocus.net/vpnfilter/

标题:Windows又爆0day 远程代码执行漏洞 微软未修复

时间:2018-06-01

摘要:windows系统又发现一起0day漏洞,该漏洞是由系统中的JScript组件造成的,允许远程攻击者在用户的PC上执行恶意代码, 虽然微软并未提供计划推出补丁的确切时间表,但一位发言人表明他们正在进行修复。

链接: http://toutiao.secjia.com/article/page?topid=110258

标题: Boleto巴西最大支付系统严重漏洞

时间:2018-06-22

摘要:Boleto支付系统在巴西境内大量支持使用,针对它的恶意软件及变种甚至被用来直接在ATM机中盗取现金。 正如赛门铁克的一份新白皮书所述 ,Boleto恶意软件试图拦截和操纵合法的Boletos,以便将Boleto的钱发送给攻击者而不是原始收件人。 各种Boleto恶意软件家族可能通过垃圾邮件活动或DNS劫持抵达受感染的计算机。

链接: http://toutiao.secjia.com/article/page?topid=110380

标题:Git远程执行漏洞

时间:2018-06-01

摘要:Git被发现存在一个远程代码执行漏洞(CVE-2018-11235)。目前POC已发布,链接地址:https://www.exploit-db.com/exploits/44822/?rss

链接:http://blog.nsfocus.net/cve-2018-11235-2/

标题:福斯康姆Foscam摄像头爆高危漏洞

时间:2018-06-08

摘要:研究人员发现Foscam公司发布的摄像头存在三个高危漏洞, 这些漏洞允许攻击者控制易受攻击的摄像头,Foscam目前已针对漏洞发布了固件更新,请受影响的用户及时更新。

链接: http://toutiao.secjia.com/article/page?topid=110294

标题:Zacinlo间谍恶意软件感染Win10

时间:2018-06-20

摘要:研究 人员发现了一个强大的恶意软件,可以接管您的计算机并通过广告向您发送垃圾邮件。 他们在最终有效载荷之后命名为’Zacinlo’,把它当作一个复杂代码的临时名称。尽管如此,Zacinlo恶意软件已经出现了将近六年的时间,严重感染了许多Windows用户。此外,该恶意软件还会不断截取受害者桌面的屏幕截图。 这些屏幕截图然后被传回,所以恶意软件本质上也可以作为间谍,并秘密地收集您的活动的屏幕截图。

链接: http://toutiao.secjia.com/article/page?topid=110368

标题:谷歌reCAPTCHA认证机制被发现可绕过

时间:2018-06-01

摘要:谷歌多年来致力于改进和加强的reCAPTCHA出现可绕过漏洞,该漏洞的攻击需要Web应用程序中的HTTP请求参数被修改。换句话说,Web应用程序会以不安全的方式向reCAPTCHA API发送验证请求。这种设计机制,虽然减少了验证缺陷的严重程度,但也导致了100%的利用成功率。目前,谷歌已修改该漏洞并发布测试版。

链接: http://toutiao.secjia.com/article/page?topid=110251

(来源:绿盟科技威胁情报与网络安全实验室)

1.3 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

1. 2018-06-12 Adobe Flash Player栈缓冲区溢出漏洞(CVE-2018-5002)

NSFOCUS ID: 40042

http://www.nsfocus.net/vulndb/40042

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 29.0.0.171及更早版本在实现上存在栈缓冲区溢出漏洞。危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统。

2. 2018-06-06 Adobe Acrobat和Reader任意代码执行漏洞(CVE-2018-4971)

NSFOCUS ID: 40020

http://www.nsfocus.net/vulndb/40020

综述:Adobe Acrobat是一套PDF文件编辑和转换工具,Reader是一套PDF文档阅读软件。Adobe Acrobat和Reader中存在释放后重用漏洞,远程攻击者可借助恶意的页面和文件利

用该漏洞执行任意代码。危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞,从而控制受害者系统。

3. 2018-06-14 Microsoft Chakra脚本引擎远程内存破坏漏洞(CVE-2018-8229)

NSFOCUS ID: 40065

http://www.nsfocus.net/vulndb/40065

综述:Chakra是微软Microsof Edge浏览器使用的JavaScript引擎。Microsoft Edge在Chakra脚本引擎内存对象处理中存在远程代码执行漏洞。危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统。

4. 2018-06-14 Microsoft Windows Cortana本地权限提升漏洞(CVE-2018-8140)

NSFOCUS ID: 40070

http://www.nsfocus.net/vulndb/40070

综述:Microsoft Windows是流行的计算机操作系统。Windows Cortana在检索用户输入服务的数据时没有考虑状态,在实现上存在权限提升漏洞。危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问。

5. 2018-06-19 McAfee Threat Intelligence Exchange Server 代码注入漏洞(CVE-2017-3907)

NSFOCUS ID: 40115

http://www.nsfocus.net/vulndb/40115

综述:McAfee Threat Intelligence Exchange(TIE)Server是一套威胁检测与相应解决方案。McAfee TIE Server 2.1.0及之前版本,ePolicy Orchestrator (ePO)扩展存在代码注入漏洞。危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问。

6. 2018-05-24 Trend Micro Email Encryption Gateway SQL注入漏洞(CVE-2018-10352)

NSFOCUS ID: 39854

http://www.nsfocus.net/vulndb/39854

综述:Trend Micro Encryption for Email是电子邮件加密解决方案。Trend Micro Email Encryption Gateway 5.5在formChangePass类中存在SQL注入安全漏洞。危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问。

7. 2018-06-01 ImageMagick释放后重利用漏洞(CVE-2018-11624)

NSFOCUS ID: 39936

http://www.nsfocus.net/vulndb/39936

综述:ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。ImageMagick 7.0.7-36 Q16版本,coders/mat.c/ReadMATImage实现中存在释放后重利用漏洞。危害:远程攻击者可以通过诱使受害者打开恶意图片来利用此漏洞,从而控制受害者系统。

8. 2018-06-07 Apache Storm 任意文件写漏洞(CVE-2018-8008)

NSFOCUS ID: 40022

http://www.nsfocus.net/vulndb/40022

综述:Apache Storm是一套采用Clojure(并发编程语言)开发的免费开源的分布式实时计算系统。Apache Storm <= 1.0.6、<= 1.2.1、1.1.2版本,在实现中存在任意文件写入漏洞。危害:攻击者可通过带有目录遍历文件名的特制压缩文档,利用该漏洞在该文件股权连接到目标目录

时,使文件解压到目标以外的文件夹。

9. 2018-06-19 QEMU 堆缓冲区溢出漏洞(CVE-2018-11806)

NSFOCUS ID: 40116

http://www.nsfocus.net/vulndb/40116

综述:QEMU是一套模拟处理器软件。QEMU在slirp/mbuf.c/m_cat中存在基于堆的缓冲区溢出漏洞,该漏洞源于程序没有正确

的检测用户提交数据的长度,导致复制数据的大小超过了基于堆的固定长度缓冲区。危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问。

10. 2018-05-25 GNU glibc栈缓冲区溢出漏洞(CVE-2018-11236)

NSFOCUS ID: 39873

http://www.nsfocus.net/vulndb/39873

综述:GNU C Library是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.27及之前版本,在32位架构上stdlib/canonicalize.c存在整数溢出漏洞。危害:攻击者可以利用这些漏洞控制受害者系统。

1.4 DDoS攻击类型

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者地址向互联网上大量的智能设备发起请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是倍。

更多相关信息,请关注绿盟科技威胁报告。

二. 博文精选

Proofpoint发布2018年第一季度威胁报告

Proofpoint发布了2018年第一季度威胁报告,在前几个月中,威胁情况日益多样化,和前两年相比勒索软件活动数量减少,报告从电子邮件,Web攻击和社交媒体诈骗三个维度分析威胁态势。 社会工程是普遍存在的,电子邮件欺诈攻击继续增长和发展,而绝大多数基于网络的威胁也包括社交工程技术。 社交媒体支持欺诈也被称为“钓鱼网络钓鱼”,尽管社交平台在算法上阻止链接垃圾邮件的努力减少了一倍。。

http://toutiao.secjia.com/article/page?topid=110371/

Drupal远程代码执行漏洞威胁态势分析

Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的攻击非常频繁,绿盟科技威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从业人员提供建议和参考。

Drupal远程代码执行漏洞威胁态势分析

(来源:绿盟科技博客)

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

DEF CON 26

时间:August 9 – 12, 2018

简介: DEF CON started back in 1993, originally intended as a party for members of “Platinum Net,” a Fido protocol-based hacking network out of Canada. Typically held in July or August, DEF CON has evolved into a much larger, more prominent event for information security professionals, attended by hackers, cryptographers, lawyers, law enforcement agents, and a variety of professionals representing a range of disciplines.

网址:https://ww.defcon.org/

Black Hat

时间:August 4-9, 2018

简介:The Black Hat conference series is a favorite among infosec professionals for its technical emphasis. Black Hat USA, for example, has been in operation for the past 19 years; each of its iterations promotes a vendor-neutral environment and offers up top research that’s selected by a board of the industry’s most esteemed infosec professionals. This year’s Black Hat USA will take place on 4-9 August at the Mandalay Bay Resort and Casino in Las Vegas, Nevada, USA..

网址:https://blackhat.com/index.html

发表评论