绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 https://blog.nsfocus.net/
2017年6月数据统计
高危漏洞发展趋势
2017年6月绿盟科技安全漏洞库共收录203个漏洞, 其中高危漏洞110个,微软高危漏洞95个,上月监测到CVE公布高危漏洞数量为387个。相比5月份漏洞数量有所上扬。
互联网安全漏洞
Spring Web Flow 远程代码执行漏洞(CVE-2017-4971)
来源:https://blog.nsfocus.net/spring-web-flow-remote-code-execution-vulnerability/
简述:Spring Web Flow发布了更新补丁修复了一个Spring Web Flow 在数据绑定上存在的一个漏洞(CVE-2017-4971, CNNVD-201706-147)。该漏洞源于在Model的数据绑定上没有指定相关model的具体属性,从而导致恶意的表达式可以通过表单提交并且被执行,导致远程代码执行。
VMware vSphere Data Protection (VDP)安全漏洞
来源:https://blog.nsfocus.net/vdp-security-vulnerabilities/
简述:VMware官方发布通告,披露了2个存在于vSphere Data Protection(VDP)的漏洞:VDP Java反序列化漏洞(CVE-2017-4914, CNNVD-201706-260),攻击者可以通过该漏洞远程执行任意代码;VDP本地存储vCenter服务器凭据漏洞(CVE-2017-4917),本地存储的凭据采取的加密方式可逆,攻击者可能获取明文的凭据。VMware官方已经发布了相关升级补丁修复了该漏洞。
暗云III木马程序
来源:https://blog.nsfocus.net/dark-clouds-iii-trojan-program/
简述:一款名为暗云III的木马被发现在网络上有大面积的攻击行为,该木马通过下载站点大规模传播,随后会感染磁盘MBR来实现开机自动,大量用户被检测到受感染。
Linux 多个内核拒绝服务漏洞
来源:https://blog.nsfocus.net/linux-multiple-kernel-denial-service-vulnerabilities/
简述:Linux内核存在的多个拒绝服务漏洞被公布,涉及CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077,影响几乎所有Linux kernel 2.5.69 ~Linux kernel 4.11的内核版本。
TP-LINK WR841N V8 Router 代码执行漏洞
来源:https://blog.nsfocus.net/tp-link-wr841n-v8-router-code-execution-vulnerability/
简述:IoT安全公司Senrio 披露了存在于TP-LINK WR841N V8版本的路由器的2个安全漏洞,成功利用漏洞可以使得攻击者在该路由器上执行任意代码。据Senrio的研究人员表示,该型号的路由器的配置服务(configuration service)存在一个逻辑漏洞(CVE-2017-9466),攻击者可以绕过访问限制来重置路由器的验证信息(密码等)。
多个Apache httpd安全漏洞
来源:https://blog.nsfocus.net/tp-link-wr841n-v8-router-code-execution-vulnerability/
简述: Apache 官方发布了httpd的新版本修复了多个安全漏洞,涉及CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679,可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。
Petya变种勒索爆发(NotPetya)
来源:https://blog.nsfocus.net/enterprise-infection-mbr-extortion-virus-threat/
简述:北京时间6月27日,据国外社交媒体消息,乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁,导致主机无法正常引导开机,严重影响了国家多个正常业务的运转;同时6月27日晚间,国内部分外企也确认有发现感染同样的勒索病毒。
Industroyer工控恶意软件
来源:http://toutiao.secjia.com/industroyer-ics-malware-analysis-protection
简述:2017年6月8日, 安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer ,并提前向Dragos公司做了通告,Dragos通过对ESET分析结果进行验证后, 6月12日公布了Win32/Industroyer的hash信息以及分析报告 。随后,绿盟科技发布了Industroyer工控恶意软件分析与防护方法,报告全文见文末附件下载。
32TB windows源代码泄露
来源:http://toutiao.secjia.com/windows10-source-code-leaked#
简述:来自外媒消息,微软已经确认32TB的微软Windows 10核心源代码遭到了泄露,源代码泄漏的前一天, 两名男子在英国被捕, 他们未经授权的访问微软的网络。侦探即刻实施抓捕, 拘捕了来自林肯郡的一名 22岁的男子, 以及一名来自布拉克内尔的 25 岁男子。
维基解密第12批:残暴袋鼠Brutal Kangaroo项目
来源:http://toutiao.secjia.com/cia-vault-7-brutal-kangaroo
简述:6月22日, 维基解密公布 cia 残暴袋鼠 Brutal Kangaroo 项目文件,并称残暴袋鼠计划是运行在Windows上的的工具套件, 它通过使用U盘等移动存储设备突破隔离的网络。该项目组件在隔离网络中,创建自定义的隐蔽网络,并为执行查询、列表目录和执行任意文件提供服务。
Google又披露了一个微软高危漏洞CVE-2017-0037
来源:http://www.nsfocus.com.cn/content/details_47_2377.html
简述:谷歌Project Zero披露了微软Edge和Internet Explorer浏览器中的一个“高危”漏洞CVE-2017-0037 (CNNVD-201702-882)。远程攻击者可利用该漏洞执行任意代码。相关信息表明,由于尚未提供上一个已知漏洞的补丁,微软已经推迟了本月的例行补丁发布。
Chrome发布新版本了 Chrome 57修复了36个漏洞
来源:http://toutiao.secjia.com/chrome-57-fix-36-vulnerabilities
简述:Chrome 57中修复了数个媒体安全问题,这些问题包括Omnibox中的地址欺骗问题、Blink中的内容安全策略绕过、Cast中的cookie错误处理、Skia中的堆溢出、GuestView中的两个释放后使用问题以及V8、XSS Auditor和Blink中的信息泄露问题。
维基解密第10批 这次是Pandemic植入项目
来源:http://toutiao.secjia.com/cia-vault-7-pandemic-implant
简述:维基解密发布了一份新的文件, 属于 cia 项目代号为 “Pandemic” 的 Vault7 文档。
(来源:绿盟科技威胁情报与网络安全实验室)
绿盟科技漏洞库十大漏洞
声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。
http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten
1. 2017-05-25 Samba远程代码执行漏洞(CVE-2017-7494)
NSFOCUS ID: 36755
链接:http://www.nsfocus.net/vulndb/36755
综述:Samba,是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软件。Samba服务器软件存在远程执行代码漏洞。
危害:攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件
2. 2017-06-15 Microsoft Windows LNK远程代码执行漏洞(CVE-2017-8464)
NSFOCUS ID: 36895
链接:http://www.nsfocus.net/vulndb/36895
综述:Microsoft Windows是流行的计算机操作系统。Microsoft Windows在处理构造的.lnk文件中存在远程代码执行漏洞。
危害:攻击者可以通过诱使受害者浏览恶意文件来利用此漏洞,从而控制受害者系统
3. 2017-06-14 Microsoft Edge远程内存破坏漏洞(CVE-2017-8548)
NSFOCUS ID: 36838
链接:http://www.nsfocus.net/vulndb/36838
综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft浏览器处理内存对象时,JavaScript引擎呈现方式中存在远程代码执行漏洞。
危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统
4. 2017-06-09 WebKit 内存破坏漏洞(CVE-2017-2530)
NSFOCUS ID: 36811
链接:http://www.nsfocus.net/vulndb/36811
综述:WebKit是一个开源的浏览器引擎。iOS多个版本中存在安全漏洞,此漏洞位于Webkit组件中,可以导致执行任意代码或造成拒绝服务。。
危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统
5. 2017-06-20 Apache HTTP Server 缓冲区溢出漏洞(CVE-2017-7668)
NSFOCUS ID: 36933
链接:http://www.nsfocus.net/vulndb/36933
综述:Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。httpd的多个版本,在令牌列表解析中存在缓冲区溢出漏洞。
危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器
6. 2017-06-15 Microsoft Windows Kernel ‘Win32k.sys’ 本地权限提升漏洞(CVE-2017-8468)
NSFOCUS ID: 36919
链接:http://www.nsfocus.net/vulndb/36919
综述:Microsoft Windows是流行的计算机操作系统。Windows kernel未正确处理内存地址,在实现上存在权限提升漏洞。
危害:本地攻击者可以利用此漏洞来提升权限,对系统进行非授权的访问
7. 2017-06-20 FreeType 2 越界写缓冲区溢出漏洞(CVE-2017-8105)
NSFOCUS ID: 36940
链接:http://www.nsfocus.net/vulndb/36940
综述:FreeType是一个流行的字体函数库。FreeType 2存在堆缓冲区溢出漏洞造成的越界写。
危害:攻击者可以通过诱使受害者打开恶意字体文件来利用此漏洞,从而控制受害者系统
8. 2017-06-22 Cisco IOS XR Software本地命令注入漏洞(CVE-2017-6719)
NSFOCUS ID: 36958
链接:http://www.nsfocus.net/vulndb/36958
综述:Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XR Software在CLI实现中存在安全漏洞。
危害:经过身份验证的本地攻击者在主机操作系统上,可以以root权限执行任意命令
9. 2017-05-31 Juniper Networks Junos Space任意代码执行漏洞(CVE-2017-2306)
NSFOCUS ID: 36770
链接:http://www.nsfocus.net/vulndb/36770
综述:Junos Space是网络管理平台。Juniper Networks Junos Space由于无效的授权检查,在实现上存在安全漏洞。
危害:只读用户可以利用此漏洞在web管理接口执行任意代码
10. 2017-06-05 Apache Hadoop远程权限提升漏洞(CVE-2017-7669)
NSFOCUS ID: 36777
链接:http://www.nsfocus.net/vulndb/36777
综述:Apache Hadoop是支持数据密集型分布式应用并以Apache 2.0许可协议发布的软件框架。Apache Hadoop的LinuxContainerExecutor没有有效验证输入,存在漏洞。
危害:经过身份验证的本地攻击者在主机操作系统上,可以以root权限执行任意命令。
DDoS攻击类型
6月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近2万次攻击,与5月份相比,攻击次数变化不明显,但在这个月的攻击类型中, CHARGEN攻击和SSDP攻击是主要的攻击类型,在攻击事件中超过50%
小提示
- Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。
- NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。
- SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。
攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。
更多相关信息,请关注绿盟科技DDoS威胁报告。
博文精选
金融行业未知威胁检测探知之道
对于信息安全而言,建立完善的安全体系和纵深的防御措施是目前主流的安全理念。相较于防护,针对已经存在于系统中的威胁检测,特别是由APT攻击带来的未知威胁检测,就显得手段单一,架构模糊,效果也就差强人意。因此,本文针对未知威胁检测探知的思路做一个简单的梳理。
https://blog.nsfocus.net/unknown-threat-detection-financial-industry/
烟草行业工控安全防护思路
从18世纪末第一次工业革命到工业4.0,我国一直大力发展工业建设,如今实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标,在此环境下国家烟草专卖局高度重视烟草行业工业控制系统安全建设工作。因此在《国家烟草专卖局办公室关于转发公安部2016年公安机关网络安全执法检查工作方案的通知》(国烟办综2016-257号)文件中,重新明确了行业工业控制系统的定义、分类及数量。
https://blog.nsfocus.net/practice-industrial-safety-tobacco-industry/
不是空头勒索,聚焦真实对抗
从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发出DDoS攻击比特币勒索邮件。该组织通过收集相关公司的后缀和员工邮箱,采取广撒网的方式发送勒索邮件,威胁客户需在约定的日期向指定的账号支付10比特币,否则的话将进行持续的大流量攻击,并逐步提高勒索比特币数额。
https://blog.nsfocus.net/focus-real-confrontation/
信息科技风险管理流程优化
为进一步提升信息科技风险管理水平,通过信息化手段规范执行信息科技风险的监测、检查、评估、处置和报告等工作,开展对信息科技风险管理体系中现有流程进行评估和优化,同时对现有信息科技风险管理系统进行优化,进一步提升信息科技风险管理水平和成熟度。
https://blog.nsfocus.net/information-technology-risk-management-process-optimization/
云安全如何站队:SDN or NFV
感觉云安全的问题又成了广大用户关注的重点,交流和需求明显的增多。可能一直以来,不管是传统的网络厂商,安全厂商还是云服务提供商,似乎始终没给云安全提出过一个合理的架构和解决方案,在经历了相当长一段时间的低谷期,伴随着近期一些新老感念的热炒,云安全似乎又重新占据了各个安全管理员的“心”。
https://blog.nsfocus.net/how_to_stand_in_cloud_security_sdn-nfv/
如何有效地开展应急响应工作
开展信息安全工作其中一个主要目标就是防止安全事件的发生,但作为信息安全行业从业者的我们常常会发现,即使拥有强大预警机制、具备了完善的防护手段,很多企业还是会有安全事件发生。
https://blog.nsfocus.net/effectively-carry-emergency-response-work/
内部人员威胁的分析和防护措施
安全界从来不缺话题,当人们谈论着最新的strusts2漏洞、方程式漏洞、DDOS攻击、勒索软件的时候,人们似乎有意无意的更为关注来自外部的攻击。的确,由于外部攻击的种类繁多,攻击更为频繁和持续,因此获得更多的关注并不奇怪。而内部威胁所引发的安全事件,从企业管理的角度上看,这类安全事故的公布和曝光无疑会为企业和高管/主管们带来业务和声誉的双重损失,因此通用的做法是除了必要的监管上报外尽量低调处理。但作为安全人员,从业伊始就已被灌输安全的威胁既来自外部也来自内部。因此安全人员在关注外部威胁的同时也应该关注来自组织内部人员的内部威胁。
https://blog.nsfocus.net/effectively-carry-emergency-response-work/
反钓鱼的整体防护思路
所谓“姜太公钓鱼,愿者上钩”,钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信,冒充成一个可信的组织机构(通常是受害者所信任的机构),去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求,而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害,这封欺骗性的电子邮件将会包含一个容易混淆的链接,指向一个假冒目标机构公开网站的远程网页。。
https://blog.nsfocus.net/protection-anti-phishing-ideas/
网络安全法解读及安全建设交流
网络安全法的颁布实施对企业而言从遵从性的角度看是一个前所未有的压力和挑战;从改善内部网络安全治理,更好维护和保障业务运行的角度看则是一个有力的政策抓手和发展契机。
https://blog.nsfocus.net/interpretation-network-security-law-safety-construction-communication/
《网络安全法》解读:这些条文务必重点关注!
2016年11月7日我国第一部网络安全法颁布。笔者作为安全行业的从业人员,认真阅读了相关条文。
https://blog.nsfocus.net/professional-interpretation-network-security-law-ground-gas-version/
《网络安全法解读(金融行业)
《中华人民共和国网络安全法》(以下简称《网络安全法》)即将在2017年6月1日正式实施,这样一部法律究竟对金融行业而言即将产生什么影响,本文将在下面给予分析和介绍。
https://blog.nsfocus.net/interpretation-network-security-law-financial-industry/
(来源:绿盟科技博客)
安全会议
安全会议是从近期召开的若干信息安全会议中选出,仅供参考。
Black Hat
简介: The Black Hat conference series is a favorite among infosec professionals for its emphasis on the more technical themes of the industry.
网址:http://blackhat.com/
DEF CON
时间:July 27-30, 2017
简介: DEF CON started out in 1993 as a gathering among 10 small hacker networks. It’s since expanded over the last 24 years, becoming one of the oldest and largest security conferences in the world. DEF CON 22 (2014) alone attracted a record-breaking 14,500 attendees..
网址:https://www.defcon.org/index.html
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880