网络安全威胁11月月报

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

11月数据统计

高危漏洞发展趋势

2016年11月绿盟科技安全漏洞库共收录173个漏洞, 其中高危漏洞109个。相比10月份的高危漏洞数量有所下降。

%e6%9c%88%e6%8a%a51

互联网安全漏洞

NTP多个漏洞

来源:https://blog.nsfocus.net/ntp-multiple-vulnerability-notifications/

简述:2016.11.21日,NTF’s Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新。此次更新发布了10个漏洞,其中1个高危 。

Nginx本地提权漏洞

来源:https://blog.nsfocus.net/local-vulnerability-analysis-protection/

简述:2016年11月15日(当地时间),legalhackers.com网站发布了一个关于Nginx服务器本地提权漏洞的通告,该通告所涉及的漏洞编号为CVE-2016-1247。基于Debian发行版系统(Debian或者Ubuntu)的Nginx服务器包被发现允许创建一个不安全的日志目录,攻击者可以利用此安全问题将用户权限从Nginx/web用户提升为root。

Mozilla Firefox浏览器多个漏洞

来源:https://blog.nsfocus.net/multiple-vulnerabilities-mozilla-firefox-browser/

简述:2016年11月15日(当地时间),Mozilla官方网站发布了一个关于Firefox浏览器的安全通告。通告中公布了27个漏洞,包括3个严重漏洞,12个高危漏洞,10个中危漏洞和2个低危漏洞。其中部分漏洞将导致拒绝服务、中间人攻击以及任意代码执行等后果。

Apache Tika任意代码执行漏洞

来源:https://blog.nsfocus.net/apache-tika-arbitrary-code-execution-vulnerability/

简述:2016年11月10日(当地时间),seclists.org网站发布了一条消息,通告了一个存在于Apache Tika组件中的任意代码执行漏洞,漏洞编号为CVE-2016-6809。Tika封装了jmatio解析器用以处理MATLAB文件。攻击者可以将任意代码注入到MATLAB文件中,并在解析器对嵌入在该MATLAB文件中的JAVA对象进行反序列化时得到执行。

Adobe Flash Player 多个远程代码执行漏洞

来源:https://blog.nsfocus.net/adobe-flash-player-multiple-remote-code-execution-vulnerability-advertisement/

简述:2016年11月8日(当地时间),Adobe官方网站发布了一个关于Adobe Flash Player产品的安全通告。通告中公布了9个漏洞,涉及到的平台包括Windows,Macintosh,Linux以及Chrome OS。利用这些漏洞时需要被攻击目标访问一个恶意页面或打开一个恶意文件。成功利用这些漏洞后,均可以导致远程代码执行。

ImageMagick命令执行漏洞

来源:https://blog.nsfocus.net/imagemagick-command-performs-vulnerability-analysis/

简述:ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱。

BIND9处理递归响应不当远程拒绝服务漏洞

来源:https://blog.nsfocus.net/bind-9-vulnerability-analysis-protection-program/

简述:ISC发布BIND9 DoS漏洞CVE-2016-8864,该漏洞出现在db.c 或 resolver.c 模块中,可能导致处理递归请求过程中出现问题,最终导致服务器停止响应。

(来源:绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

NSFOCUS 2016年11月之十大安全漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

  1. 2016-11-09 Adobe Flash Player 释放后重利用漏洞(CVE-2016-7855)

NSFOCUS ID: 35319

http://www.nsfocus.net/vulndb/35319

综述:Flash Player是多媒体程序播放器。Adobe Flash Player <= 23.0.0.205, <= 11.2.202.643版本存在释放后重利用漏洞,成功利用后可导致任意代码执行。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统。

  1. 2016-11-10 Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞(CVE-2016-7255)(MS16-135)

NSFOCUS ID: 35376

http://www.nsfocus.net/vulndb/35376

综述:Microsoft Windows是流行的计算机操作系统。Windows kernel-mode driver未正确处理内存对象,存在多个权限提升漏洞。

危害:成功利用后可使攻击者在内核模式中运行任意代码。

  1. 2016-11-09 Adobe Reader/Acrobat内存破坏漏洞(CVE-2016-7853)

NSFOCUS ID: 35320

http://www.nsfocus.net/vulndb/35320

综述:Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe Reader\Acrobat的多个版本在实现上存在内存破坏漏洞。

危害:远程攻击者利用此漏洞可执行任意代码或造成拒绝服务。

  1. 2016-11-09 Microsoft Internet Explorer/Edge远程信息泄露漏洞(CVE-2016-7227) (MS16-129)(MS16-142)

NSFOCUS ID: 35324

http://www.nsfocus.net/vulndb/35324

综述:Internet Explorer是微软公司推出的一款网页浏览器。Internet Explorer/Edge/Scripting Engine未正确处理内存对象存在信息泄露漏洞。

危害:成功利用后可使攻击者检测用户的特定文件。

  1. 2016-10-24 Oracle Database Server远程安全漏洞(CVE-2016-5555)

NSFOCUS ID: 35187

http://www.nsfocus.net/vulndb/35187

综述:Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。Oracle Database Server 11.2.0.4, 12.1.0.2版本中,OJVM组件存在安全漏洞。

危害:远程用户利用此漏洞可影响机密性、可用性、完整性。

  1. 2016-11-21 Siemens SIMATIC CP 1543-1权限提升漏洞(CVE-2016-8561)

NSFOCUS ID: 35430

http://www.nsfocus.net/vulndb/35430

综述:Siemens SIMATIC CP 1543-1通讯处理器可以将S7-1500控制器连接到以太网络。Siemens SIMATIC CP 1543-1 < 2.0.28之前版本,存在安全漏洞。

危害:远程用户通过访问某些TIA门户及项目数据,利用此漏洞可提升权限。

  1. 2016-11-23 libtiff tools/tiffcp.c堆缓冲区溢出安全漏洞(CVE-2016-9540)

NSFOCUS ID: 35445

http://www.nsfocus.net/vulndb/35445

综述:LibTIFF是一个用来读写标签图像文件格式(简写为TIFF)的库。libtiff 4.0.6版本在tools/tiffcp.c中存在缓冲区溢出安全漏洞,在处理构造的图形时,可导致越界写操作。

危害:攻击者可以通过诱使受害者打开恶意tiff文件来利用此漏洞,从而控制受害者系统。

  1. 2016-11-07 WebKit 多个内存破坏漏洞(CVE-2016-4677)

NSFOCUS ID: 35296

http://www.nsfocus.net/vulndb/35296

综述:WebKit是一种用来让网页浏览器绘制网页的排版引擎。Safari处理Array对象中存在安全漏洞,构造的Array对象可触发内存访问已分配缓冲区之外区域。

危害:攻击者利用此漏洞可在当前进程中执行任意代码。

  1. 2016-11-01 Foxit Reader/PhantomPDF任意代码执行漏洞(CVE-2016-8876)

NSFOCUS ID: 35274

http://www.nsfocus.net/vulndb/35274

综述:Foxit Reader是一款小型的PDF文档查看器和打印程序。Foxit Reader/PhantomPDF < 8.1 (Windows)在实现上存在越界读漏洞。

危害:远程攻击者通过构造的TIFF图形,利用此漏洞可执行任意代码。

  1. 2016-10-31 OpenJPEG 堆缓冲区溢出漏洞(CVE-2016-9118)

NSFOCUS ID: 35264

http://www.nsfocus.net/vulndb/35264

综述:OpenJPEG库是用C语言编写的开源JPEG 2000编码解码器。OpenJPEG 2.1.2在convert.c:1719 pnmtoimage函数中存在堆缓冲区溢出漏洞,可导致任意代码执行或拒绝服务。

危害:攻击者可以通过诱使受害者打开恶意jpg文件来利用此漏洞,从而控制受害者系统。

(来源:绿盟科技威胁情报与网络安全实验室)

DDoS攻击类型

11月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了超过17万次攻击,与10月份相比,攻击次数相近,但是其中SSDP的数量明显有上升,这可能跟近期物联网频繁的漏洞有关系。其中UDP Flood、NTP Flood、SSDP Flood这类反射型攻击占据了绝大部分,这三类攻击的一个共性就是攻击的放大倍数比较高。其次SYN FLOOD的比率明显下降。这个月的整体攻击模式和上一个月相比有较为明显的变化。

%e6%9c%88%e6%8a%a52

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。更多相关信息,请关注绿盟科技DDoS威胁报告。
  • 攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

博客精选

威胁情报的定义及使用

美国SANS研究院联合绿盟科技联合发布报告《威胁情报的定义及使用》,旨在帮助决策者判断组织是否已做好准备将威胁情报融入其安全项目。

https://blog.nsfocus.net/threat-intelligence-definition/

Python安全编码之预防LDAP注入

LDAP(Lightweight Directory Access Protocol)轻量级目录协议,是一种在线目录访问协议,主要用于资源查询,是X.500的一种简便的实现。它是一种树结构,查询效率很高,插入效率稍低。目录和数据库有很多相似之处,都用于存放数据,可以查询插入,目录可以存放各种数据,而数据库的数据则有比较严格的约束条件。

https://blog.nsfocus.net/preventing-ldap-injection-python-security-encoding/

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

DEEPSEC

时间:NOV 8–9

简介: The 2016 Threat Intelligence Summit will help you create a threat intelligence program that will allow you to anticipate, detect, and respond to incidents faster and more effectively. Come hear real case studies and exchange ideas with security professionals from all industries..

网址:http://threatintelligence.misti.com/

%e6%9c%88%e6%8a%a53

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment