【安全报告】网络安全威胁月报 201709

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

2017年9月数据统计

高危漏洞发展趋势

2017年9月绿盟科技安全漏洞库共收录133个漏洞, 其中高危漏洞99个,微软高危漏洞80个,8月监测到CVE公布高危漏洞数量为274个。相比7月份漏洞数量略有上升。

互联网安全漏洞

西门子多产品XML外部实体注入漏洞CVE-2017-12069 窃取敏感信息或者打DoS

来源:http://toutiao.secjia.com/siemens-xml-eeiv-cve-2017-12069

简述:就在31日,西门子多个产品被爆出存在XML外部实体注入漏洞,CVE-2017-12069。攻击者利用该漏洞可能导致敏感信息泄露,或者引发远程DoS攻击。涉及到的西门子产品有Siemens SIMATIC WinCC、PCS、NET PC-Software等多个版本。CVSS v3评分8.2。

 

Struts2远程代码执行漏洞CVE-2017-9805 s2-052 绿盟科技发布分析和防护方案

来源:http://toutiao.secjia.com/struts2-cve-2017-9805-s2-052-protection

简述:5日晚, Struts2远程代码执行漏洞CVE-2017-9805(s2-052),绿盟科技发布扫描工具 ,绿盟科技发布了《Struts2 s2-052 REST插件远程代码执行技术分析与防护方案》

 

微软Edge浏览器40.15063.0.0安全绕过0Day漏洞 攻击者构造网页可以触发漏洞

来源:http://toutiao.secjia.com/ms-edge-security-bypass

简述:Talos实验室在去年年底向微软提交了这个漏洞,在3月份的时候,微软表示这是设计使然,并不是个漏洞,但在6月份的时候,表示会重新考虑这个问题。。

 

Struts2再爆远程代码执行漏洞CVE-2017-12611 S2-053 还是升级到最新版本吧

来源:http://toutiao.secjia.com/struts2-cve-2017-12611-s2-053

简述:2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2 存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如果使程序员用了不恰当的编码表达会导致远程代码执行。

 

.NET框架0Day漏洞CVE-2017-8759 已有攻击者利用其传播FinFisher恶意软件

来源:http://toutiao.secjia.com/net-0day-cve-2017-8759

简述:微软9月补丁修复了一个 0Day漏洞 ,目前已有安全公司监测到,有攻击者利用该0Day漏洞向讲俄语的个人传播FinFisher 恶意软件 。该漏洞由FireEye 研究人员向微软提报,漏洞ID为 CVE-2017-8759, 漏洞影响. NET 框架, 特别是 SOAP WSDL (Web 服务描述语言) 分析器。攻击者想办法让目标用户打开特制的文档或应用程序, 就可以利用该安全漏洞进行 远程代码执行 。

 

CCleaner电脑优化软件出后门 200万用户受影响 5.33.6162用户请尽快升级

来源:http://toutiao.secjia.com/ccleaner-backdoor

简述:恶意黑客闯入流行的免费软件 CCleaner, 可能使他们能够控制超过200万用户的设备。这是 xshell后门 事件后的又一次类似事件。VirusTotal目前对提交的样本识别为”Win.Trojan.Floxif-6336251-0.”

 

Http Options出血漏洞CVE-2017-9798 可导致内存泄漏 PoC已公开

来源:http://toutiao.secjia.com/http-optionsblood-cve-2017-9798?from=timeline

简述:周一,研究员Hanno Böck发现HTTP Options存在出血漏洞CVE-2017-9798,如果网站管理员尝试对无效的 HTTP 方法实施 “Limit” 指令, 则会导致出现漏洞利用的可能,攻击得手后将导致服务器敏感内存泄漏。目前Apache的开发商确认了这个漏洞,尚不清楚其它Web服务软件是否存在这个问题。

 

Apache Tomcat RCE漏洞CVE-2017-12615再爆0Day 789全部受影响

来源:http://toutiao.secjia.com/apache-tomcat-rce-cve-2017-12615

简述:Apache Tomcat又出漏洞 了,此次漏洞是Tomcat 远程代码执行漏洞 ,漏洞编号为CVE-2017-12615。如果开启PUT方法支持,就出问题了,攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。昨天的 Http Options出血漏洞CVE-2017-9798 ,是用limit限制Options方法。

 

Westermo三款工业路由器高危漏洞 硬编码密码及跨站请求伪造 PoC已公开

来源:http://toutiao.secjia.com/westermo-router-cve-2017-5816

简述:瑞典工业数据通信公司Westermo部分无线3G和4G路由器爆出高危漏洞。Qualys的研究人员Mandar Jadhav发现,Westermo的MRD-305-DIN、MRD-315、MRD-355和MRD-455工业路由器存在三个漏洞。这些路由器用于商业设施、关键制造业和能源行业的全球远程访问。

 

Samba再爆多个高危漏洞 N多版本受影响 CVE-2017-12150中间人安全绕过漏洞

来源:http://toutiao.secjia.com/samba-bypass-cve-2017-12150

简述:Samba漏洞 每次都带来不小的麻烦,Samba又爆出3个漏洞,1个是设计问题带来的漏洞,Samba CVE-2017-12150中间人安全绕过漏洞,成功利用此问题可能会使攻击者绕过安全限制,并通过进行中间人攻击,来执行未经授权的操作,进而引发其他攻击。N多版本受影响。

 

 

(来源:绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

 

  1. 2017-09-18 Adobe Flash Player远程内存破坏漏洞(CVE-2017-11281)

NSFOCUS ID: 37658

链接:http://www.nsfocus.net/vulndb/37658

综述:Flash Player是多媒体程序播放器。Flash Player在实现上存在内存破坏漏洞,成功利用后可导致远程代码执行。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞,从而控制受害者系统

 

  1. 2017-09-06 Apache Struts2远程代码执行漏洞(S2-052)(CVE-2017-9805)

NSFOCUS ID: 37544

链接:http://www.nsfocus.net/vulndb/37544

综述:Struts2 是构建企业级Jave Web应用的可扩展框架。Struts在使用XStreamHandler反序列化XStream实例时,没有任何类型过滤,导致远程代码执行。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器

 

  1. 2017-09-14 Microsoft Windows .NET Framework远程代码执行漏洞(CVE-2017-8759)

NSFOCUS ID: 37654

链接:http://www.nsfocus.net/vulndb/37654

综述:Microsoft Windows是流行的计算机操作系统。Microsoft .NET Framework验证输入时在实现上存在远程代码执行漏洞,成功利用后,可使攻击者控制受影响系统。

危害:远程攻击者可以利用这些漏洞控制受害者系统

 

  1. 2017-09-20 Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)

NSFOCUS ID: 37671

链接:http://www.nsfocus.net/vulndb/37671

综述:Apache Tomcat是一个流行的开源JSP应用服务器程序。Apache Tomcat 7.0.0-7.0.79版本(Windows),启用HTTP PUTs后,存在远程代码执行漏洞。

危害:攻击者通过构造的请求,可上传恶意JSP文件到服务器

 

  1. 2017-09-14 Microsoft Edge 脚本引擎远程内存破坏漏洞(CVE-2017-8756)

NSFOCUS ID: 37642

链接:http://www.nsfocus.net/vulndb/37642

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Edge脚本引擎处理内存对象时,在实现上存在远程代码执行漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统

 

  1. 2017-09-07 Foxit Reader XFA gotoURL命令注入远程代码执行漏洞(CVE-2017-10953)

NSFOCUS ID: 37549

链接:http://www.nsfocus.net/vulndb/37549

综述:Foxit Reader是一款小型的PDF文档查看器和打印程序。Foxit Reader没有正确验证用户提供的字符串,即开始执行系统调用,gotoURL方法的实现中存在漏洞。

危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞,从而控制受害者系统

 

  1. 2017-09-08 SpiderControl SCADA Web Server任意代码执行漏洞(CVE-2017-12728)

NSFOCUS ID: 37555

链接:http://www.nsfocus.net/vulndb/37555

综述:SCADA Web Server是软件管理平台。SCADA Web Server 2.02.0007及更早版本存在安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器

 

  1. 2017-09-07 Bitdefender Internet Security PDF Predictor远程代码执行漏洞(CVE-2017-10954)

NSFOCUS ID: 37550

链接:http://www.nsfocus.net/vulndb/37550

综述:BitDefender Internet Security是可提供多种防护功能的安全软件。Bitdefender Internet Security在pdf.xmd中存在安全漏洞。

危害:攻击者通过诱使用户浏览恶意网页或打开恶意文件,利用此漏洞可在受影响应用中执行任意代码

 

  1. 2017-09-19 VMware vCenter Server HTML注入漏洞(CVE-2017-4926)

NSFOCUS ID: 37665

链接:http://www.nsfocus.net/vulndb/37665

综述:VMware vCenter Server可以快速部署虚拟机,并监控物理服务器和虚拟机的性能。VMware vCenter Server版本在实现上存在跨站脚本漏洞。

危害:攻击者可以通过此漏洞向网页中注入恶意脚本

 

  1. 2017-08-31 OpenJPEG opj_t2_encode_packet函数堆缓冲区溢出漏洞(CVE-2017-14039)

NSFOCUS ID: 37530

链接:http://www.nsfocus.net/vulndb/37530

综述:OpenJPEG库是用C语言编写的开源JPEG 2000编码解码器。OpenJPEG 2.2.0版本,lib/openjp2/t2.c/opj_t2_encode_packet函数存在堆缓冲区溢出漏洞。

危害:攻击者可以通过诱使受害者打开恶意jpg文件来利用此漏洞,从而控制受害者系统。

 

DDoS攻击类型

9月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近109837次攻击,与8月份相比,攻击次数大幅增大,这个月的攻击类型分布来看,NTP为了最主要的攻击类型,其次CHARGEN攻击占比达到26%

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

更多相关信息,请关注绿盟科技DDoS威胁报告。

  1. 博文精选

卡巴斯基发布《2017Q2垃圾邮件与网络钓鱼分析报告》 我国依然形势严峻

网络钓鱼,一个网络安全界永恒的话题。近日,卡巴斯基发布了《2017年Q2垃圾邮件与网络钓鱼分析报告》,分析和总结了2017年第二季度全球垃圾邮件和钓鱼网站的状况。值得注意的是,在早期的网络攻击活动中,钓鱼者依靠用户的粗心和技术水平低下来窃取敏感数据。然而,随着用户警惕意识和技术水平越来越高,钓鱼者不得不发展新技术,以引诱用户访问钓鱼网站,例如将网络钓鱼页面放在知名组织拥有的域名上。

卡巴斯基发布《2017年Q2垃圾邮件与网络钓鱼分析报告》 我国依然形势严峻

 

你或许不知道SDP 但它能改变IaaS安全现状

软件定义边界(Software Defined Perimeter,SDP)由云安全联盟(CSA)于2013年提出,在2017年2月,CSA正式发布《Software Defined Perimeter for Infrastructure as a Service》白皮书。本文对其主要内容进行整理,也结合了我们对于SDP的认识,希望读者在读完本文后能够对SDP在IaaS中的应用有一个较为深入的了解。

你或许不知道SDP 但它能改变IaaS安全现状

 

五大顶级物联网安全公司的安全建设思路及产品

笔者为大家选取了五家公司,在介绍公司产品的同时,也会对其所关注的行业的需求进行一些介绍。在最后,文章对物联网安全可以切入的点,以及可以深入研究的点,进行总结和思考。

五大顶级物联网安全公司的安全建设思路及产品

 

聊聊CVE漏洞编号和正式公开那些事

CVE编号获得易,正式公开难!有价值更难!!

聊聊CVE漏洞编号和正式公开那些事

 

应急响应案例分析与经验分享

网站首页图片被篡改;服务器被上传大量博彩文件,且rm -rf不能删除;服务器中了勒索病毒,文件被加密……出现以上情况如何应急?别着急,绿盟科技一线交付工程师手把手教你应急响应,快快来学习吧!

【干货分享】应急响应案例分析与经验分享

 

 

 

(来源:绿盟科技博客)

  1. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

Hacker Halted

时间:October 9 – 10, 2017

简介: Hacker Halted is the EC-Council’s annual information security conference. As the issuer of the Certified Ethical Hacker certification, EC-Council’s Hacker Halted conference focuses on ethical hacking topics, with four days of technical training courses leading up to the conference..

网址:https://www.hackerhalted.com/

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论