绿盟科技发布了6月互联网安全威胁月报,月报编号NSFOCUS-2018-6。6月,绿盟科技漏洞库新增145个漏洞, 其中高危漏洞68个,微软高危漏洞50个。本次周报建议大家关注Adobe Flash Player远程代码执行漏洞(CVE-2018-5002)等,在Adobe Flash Player 29.0.0.171及更早版本上存在类型混淆漏洞,成功利用后可使攻击者执行任意代码。目前,已经出现针对这个漏洞的攻击。Adobe为此发布了一个安全公告(APSB18-19)以及相应补丁,请用户及时下载更新。
报告完整版如下:
绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 https://blog.nsfocus.net/
一. 2018年06月数据统计
1.1 高危漏洞 发展趋势
2018年06月绿盟科技安全漏洞库共收录145个漏洞, 其中高危漏洞68个,微软高危漏洞50个,整体态势平稳
1.2 互联网安全事件
标题:Acfun 用户信息泄露信息
时间:2018-06-14
摘要:幕视频网站AcFun(A站)发布官方声明称其网站被黑客攻击,千万条用户信息泄露,包括用户名ID与密码等。这些泄露的用户信息在暗网上已被公开出售,同时出售的还包括其他商家的用户信息。攻击者在论坛中表示自己也是A站的忠实用户,只是为了提醒A站能及时修补漏洞,在达到目的以后,删除了已获取到的数据。
链接:https://blog.nsfocus.net/acfun/
标题:思科任意代码执行漏洞
时间:2018-06-21
摘要:6月20日,Cisco官方发布安全通告修复了多个不同程度的安全漏洞,其中包括5个严重漏洞。 其余19个漏洞的SIR为 高 。 成功利用这些漏洞可能允许攻击者未经授权访问受影响的设备,获得受影响设备的特权,执行任意代码,执行任意命令,访问敏感信息或导致拒绝服务(DoS)情况在受影响的设备上。
链接: http://toutiao.secjia.com/article/page?topid=110378
标题:全新恶意软件VPNFilter控制全球至少50万台网络设备
时间:2018-06-01
摘要:有一款名为VPNFilter的恶意软件被发现感染了至少50万的网络设备,Talos团队在近几个月来一直在与各威胁情报厂商和执法机构合作,通过研究后发现,这款恶意软件十分先进,可能是由国家资助或与国家级别的攻击者发起的,是一种先进的模块化恶意软件系统(modular malware system)。 本文揭示了该恶意软件的技术细节并提出了防护措施。
链接:https://blog.nsfocus.net/vpnfilter/
标题:Windows又爆0day 远程代码执行漏洞 微软未修复
时间:2018-06-01
摘要:windows系统又发现一起0day漏洞,该漏洞是由系统中的JScript组件造成的,允许远程攻击者在用户的PC上执行恶意代码, 虽然微软并未提供计划推出补丁的确切时间表,但一位发言人表明他们正在进行修复。
链接: http://toutiao.secjia.com/article/page?topid=110258
标题: Boleto巴西最大支付系统严重漏洞
时间:2018-06-22
摘要:Boleto支付系统在巴西境内大量支持使用,针对它的恶意软件及变种甚至被用来直接在ATM机中盗取现金。 正如赛门铁克的一份新白皮书所述 ,Boleto恶意软件试图拦截和操纵合法的Boletos,以便将Boleto的钱发送给攻击者而不是原始收件人。 各种Boleto恶意软件家族可能通过垃圾邮件活动或DNS劫持抵达受感染的计算机。
链接: http://toutiao.secjia.com/article/page?topid=110380
标题:Git远程执行漏洞
时间:2018-06-01
摘要:Git被发现存在一个远程代码执行漏洞(CVE-2018-11235)。目前POC已发布,链接地址:https://www.exploit-db.com/exploits/44822/?rss
链接:https://blog.nsfocus.net/cve-2018-11235-2/
标题:福斯康姆Foscam摄像头爆高危漏洞
时间:2018-06-08
摘要:研究人员发现Foscam公司发布的摄像头存在三个高危漏洞, 这些漏洞允许攻击者控制易受攻击的摄像头,Foscam目前已针对漏洞发布了固件更新,请受影响的用户及时更新。
链接: http://toutiao.secjia.com/article/page?topid=110294
标题:Zacinlo间谍恶意软件感染Win10
时间:2018-06-20
摘要:研究 人员发现了一个强大的恶意软件,可以接管您的计算机并通过广告向您发送垃圾邮件。 他们在最终有效载荷之后命名为’Zacinlo’,把它当作一个复杂代码的临时名称。尽管如此,Zacinlo恶意软件已经出现了将近六年的时间,严重感染了许多Windows用户。此外,该恶意软件还会不断截取受害者桌面的屏幕截图。 这些屏幕截图然后被传回,所以恶意软件本质上也可以作为间谍,并秘密地收集您的活动的屏幕截图。
链接: http://toutiao.secjia.com/article/page?topid=110368
标题:谷歌reCAPTCHA认证机制被发现可绕过
时间:2018-06-01
摘要:谷歌多年来致力于改进和加强的reCAPTCHA出现可绕过漏洞,该漏洞的攻击需要Web应用程序中的HTTP请求参数被修改。换句话说,Web应用程序会以不安全的方式向reCAPTCHA API发送验证请求。这种设计机制,虽然减少了验证缺陷的严重程度,但也导致了100%的利用成功率。目前,谷歌已修改该漏洞并发布测试版。
链接: http://toutiao.secjia.com/article/page?topid=110251
(来源:绿盟科技威胁情报与网络安全实验室)
1.3 绿盟科技漏洞库十大漏洞
声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。
http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten
1. 2018-06-12 Adobe Flash Player栈缓冲区溢出漏洞(CVE-2018-5002)
NSFOCUS ID: 40042
http://www.nsfocus.net/vulndb/40042
综述:Flash Player是多媒体程序播放器。Adobe Flash Player 29.0.0.171及更早版本在实现上存在栈缓冲区溢出漏洞。危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统。
2. 2018-06-06 Adobe Acrobat和Reader任意代码执行漏洞(CVE-2018-4971)
NSFOCUS ID: 40020
http://www.nsfocus.net/vulndb/40020
综述:Adobe Acrobat是一套PDF文件编辑和转换工具,Reader是一套PDF文档阅读软件。Adobe Acrobat和Reader中存在释放后重用漏洞,远程攻击者可借助恶意的页面和文件利
用该漏洞执行任意代码。危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞,从而控制受害者系统。
3. 2018-06-14 Microsoft Chakra脚本引擎远程内存破坏漏洞(CVE-2018-8229)
NSFOCUS ID: 40065
http://www.nsfocus.net/vulndb/40065
综述:Chakra是微软Microsof Edge浏览器使用的JavaScript引擎。Microsoft Edge在Chakra脚本引擎内存对象处理中存在远程代码执行漏洞。危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统。
4. 2018-06-14 Microsoft Windows Cortana本地权限提升漏洞(CVE-2018-8140)
NSFOCUS ID: 40070
http://www.nsfocus.net/vulndb/40070
综述:Microsoft Windows是流行的计算机操作系统。Windows Cortana在检索用户输入服务的数据时没有考虑状态,在实现上存在权限提升漏洞。危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问。
5. 2018-06-19 McAfee Threat Intelligence Exchange Server 代码注入漏洞(CVE-2017-3907)
NSFOCUS ID: 40115
http://www.nsfocus.net/vulndb/40115
综述:McAfee Threat Intelligence Exchange(TIE)Server是一套威胁检测与相应解决方案。McAfee TIE Server 2.1.0及之前版本,ePolicy Orchestrator (ePO)扩展存在代码注入漏洞。危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问。
6. 2018-05-24 Trend Micro Email Encryption Gateway SQL注入漏洞(CVE-2018-10352)
NSFOCUS ID: 39854
http://www.nsfocus.net/vulndb/39854
综述:Trend Micro Encryption for Email是电子邮件加密解决方案。Trend Micro Email Encryption Gateway 5.5在formChangePass类中存在SQL注入安全漏洞。危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问。
7. 2018-06-01 ImageMagick释放后重利用漏洞(CVE-2018-11624)
NSFOCUS ID: 39936
http://www.nsfocus.net/vulndb/39936
综述:ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。ImageMagick 7.0.7-36 Q16版本,coders/mat.c/ReadMATImage实现中存在释放后重利用漏洞。危害:远程攻击者可以通过诱使受害者打开恶意图片来利用此漏洞,从而控制受害者系统。
8. 2018-06-07 Apache Storm 任意文件写漏洞(CVE-2018-8008)
NSFOCUS ID: 40022
http://www.nsfocus.net/vulndb/40022
综述:Apache Storm是一套采用Clojure(并发编程语言)开发的免费开源的分布式实时计算系统。Apache Storm <= 1.0.6、<= 1.2.1、1.1.2版本,在实现中存在任意文件写入漏洞。危害:攻击者可通过带有目录遍历文件名的特制压缩文档,利用该漏洞在该文件股权连接到目标目录
时,使文件解压到目标以外的文件夹。
9. 2018-06-19 QEMU 堆缓冲区溢出漏洞(CVE-2018-11806)
NSFOCUS ID: 40116
http://www.nsfocus.net/vulndb/40116
综述:QEMU是一套模拟处理器软件。QEMU在slirp/mbuf.c/m_cat中存在基于堆的缓冲区溢出漏洞,该漏洞源于程序没有正确
的检测用户提交数据的长度,导致复制数据的大小超过了基于堆的固定长度缓冲区。危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问。
10. 2018-05-25 GNU glibc栈缓冲区溢出漏洞(CVE-2018-11236)
NSFOCUS ID: 39873
http://www.nsfocus.net/vulndb/39873
综述:GNU C Library是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.27及之前版本,在32位架构上stdlib/canonicalize.c存在整数溢出漏洞。危害:攻击者可以利用这些漏洞控制受害者系统。
1.4 DDoS攻击类型
小提示
- Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
- NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
- SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。
攻击者伪造了发现请求,伪装被害者地址向互联网上大量的智能设备发起请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是倍。
更多相关信息,请关注绿盟科技威胁报告。
二. 博文精选
Proofpoint发布2018年第一季度威胁报告
Proofpoint发布了2018年第一季度威胁报告,在前几个月中,威胁情况日益多样化,和前两年相比勒索软件活动数量减少,报告从电子邮件,Web攻击和社交媒体诈骗三个维度分析威胁态势。 社会工程是普遍存在的,电子邮件欺诈攻击继续增长和发展,而绝大多数基于网络的威胁也包括社交工程技术。 社交媒体支持欺诈也被称为“钓鱼网络钓鱼”,尽管社交平台在算法上阻止链接垃圾邮件的努力减少了一倍。。
http://toutiao.secjia.com/article/page?topid=110371/
Drupal远程代码执行漏洞威胁态势分析
Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的攻击非常频繁,绿盟科技威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从业人员提供建议和参考。
(来源:绿盟科技博客)
三. 安全会议
安全会议是从近期召开的若干信息安全会议中选出,仅供参考。
DEF CON 26
时间:August 9 – 12, 2018
简介: DEF CON started back in 1993, originally intended as a party for members of “Platinum Net,” a Fido protocol-based hacking network out of Canada. Typically held in July or August, DEF CON has evolved into a much larger, more prominent event for information security professionals, attended by hackers, cryptographers, lawyers, law enforcement agents, and a variety of professionals representing a range of disciplines.
网址:https://ww.defcon.org/
Black Hat
时间:August 4-9, 2018
简介:The Black Hat conference series is a favorite among infosec professionals for its technical emphasis. Black Hat USA, for example, has been in operation for the past 19 years; each of its iterations promotes a vendor-neutral environment and offers up top research that’s selected by a board of the industry’s most esteemed infosec professionals. This year’s Black Hat USA will take place on 4-9 August at the Mandalay Bay Resort and Casino in Las Vegas, Nevada, USA..
网址:https://blackhat.com/index.html
