绿盟科技互联网安全威胁周报NSFOCUS-18-52

绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-52, 绿盟科技漏洞库 本周新增73条,其中高危11条。本次周报建议大家关注IBM Notes和Domino 权限提升漏洞等,Notes System Diagnostic(NSD)服务在实现中存在提权漏洞。攻击者可通过共享内存IPC,构造特制的命令行,利用该漏洞执行恶意的dll文件。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的页面下载。

焦点漏洞

  • IBM Notes和Domino 权限提升漏洞
  • CVE ID
    • CVE-2018-1771
  • NSFOCUS ID
    • 42343
  • 受影响版本
    • IBM Notes 9.0-9.0 IF4
    • IBM Notes 9.0.1-9.0.1 FP10 IF5
    • IBM Domino 9.0-9.0 IF4
    • IBM Domino 9.0.1-9.0.1 FP10 IF4
  • 漏洞点评
    • IBM Notes和Domino都是协同办公软件。该软件具备电子邮件、日历、日程安排等办公功能。基于Windows平台的IBM Notes和Domino中,Notes System Diagnostic(NSD)服务在实现中存在提权漏洞。攻击者可通过共享内存IPC,构造特制的命令行,利用该漏洞执行恶意的dll文件。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的页面下载。

(数据来源:绿盟科技安全研究部&产品规则组)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:ADB. Mirai: 利用ADB调试接口进行传播的Mirai新型变种僵尸网络
    • 时间:2018-12-28
    • 简介:早在今年年初,国内外安全厂商已监测到利用开放了ADB调试接口的安卓设备进行传播的挖矿蠕虫,近期绿盟伏影实验室威胁被动感知系统再次捕获到利用ADB接口进行传播的具有DDoS功能的僵尸网络。经过样本分析人员研究发现,该僵尸网络家族是Mirai的又一新变种(作者命名为Darks),并且与年初的挖矿样本扫描行为部分具有高度相似性。不同的是年初的样本功能为挖矿,而当前样本功能为DDOS,推测与最近一段时间虚拟货币行业不景气有关。
    • 链接:http://blog.nsfocus.net/adb-mirai-variant-botnet/
  • 标题:OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络
    • 时间:2018-12-30
    • 简介:OrkSec是到目前为止捕获利用漏洞数量最多的Mirai变种。从漏洞发布时间上看,该样本使用最早的一个漏洞是2008年,最新漏洞是2018年近期热门的漏洞。受威胁的设备有Linux服务器,CCTV/DVR系统,路由器,智能电视系统等达到十几种。
    • 链接:http://blog.nsfocus.net/orksec-mirai-botnet/
  • 标题:Windows 0day漏洞允许使用任意数据覆盖文件
    • 时间:2018-12-30
    • 简介:一位安全研究人员已经披露了Windows操作系统中第四个0day漏洞的漏洞利用代码。该漏洞允许使用任意数据覆盖目标文件。
    • 链接:https://www.bleepingcomputer.com/news/security/windows-zero-day-bug-allows-overwriting-files-with-arbitrary-data/
  • 标题:爆发18个月后,WannaCry仍然潜伏在受感染的计算机上
    • 时间:2018-12-26
    • 简介:自2017年WannaCry大规模爆发之后,至今已经18个月。但研究人员近期披露称,WannaCry仍然潜伏在大量被感染的计算机中。目前,原本用于阻止 WannaCry 的“死亡开关(kill switch)”一周内仍会收到来自194个不同国家的63万个独立IP的连接请求,累计次数超过1700万。其中,中国、印度尼西亚、越南首当其冲。
    • 链接:https://www.bleepingcomputer.com/news/security/18-months-later-wannacry-still-lurks-on-infected-computers/
  • 标题:研究人员放出Microsoft Edge内存漏洞利用代码
    • 时间:2018-12-27
    • 简介:此前,Microsoft Edge浏览器被曝存在内存漏洞,可实现计算机上的远程代码执行。该安全漏洞影响Chakra(是一个支持Edge的JavaScript引擎),其方式可允许攻击者以与登录用户相同的权限在计算机上运行任意代码。
    • 链接:https://www.bleepingcomputer.com/news/security/demo-exploit-code-published-for-remote-code-execution-via-microsoft-edge/
  • 标题:全球汽车行业网络安全报告:5年内黑客攻击可导致损失240亿美元
    • 时间:2018-12-26
    • 简介:Upstream Security研究了2010-2018年间报告的170多起智能移动网络安全事件,做出了汽车行业网络安全的未来趋势预测。该报告《2019全球汽车行业网络安全报告》描述了黑客的攻击方法——从物理到远程到无线等等,并叙述了黑客在智能移动领域里的攻击目标。
    • 链接:https://www.upstream.auto/upstream-security-global-automotive-cybersecurity-report-2019/
  • 标题:黑客发起大规模钓鱼攻击,绕过 Gmail 和 Yahoo 的 2FA 认证并入侵账户
    • 时间:2018-12-25
    • 简介:Amnesty International公司近日发布报告,分析了2017-2018年攻击者针对Gmail和Yahoo等邮箱账户所发起大规模钓鱼攻击。通过钓鱼邮件,攻击者可以绕过这些邮箱的 2FA 认证,影响到大量中东和北非用户。当前的 2FA 认证主要将短信作为第二项验证方式,而攻击者所发布的钓鱼邮件通过伪造成“账户遭遇入侵”的提醒,诱导用户点击链接输入 2FA 验证码以修改账户信息。
    • 链接:https://securityaffairs.co/wordpress/79165/hacking/amnesty-phishing-attacks.html
  • 标题:一个新Shamoon 3样本从法国上传到VirusTotal
    • 时间:2018-12-27
    • 简介:Shamoon 3的一个新样本于12月23日从法国上传到VirusTotal平台,并以百度证书签署。该证书于2015年3月25日发布,并于2016年3月26日到期。使用商业包装工具Enigma对该样品进行包装。
    • 链接:https://securityaffairs.co/wordpress/79248/malware/shamoon-3-france.html
  • 标题:攻击者使用谷歌云瞄准美国和英国的银行
    • 时间:2018-12-26
    • 简介:研究人员报告称,谷歌云存储服务正在被网络犯罪分子滥用,主要针对英美银行。自2018年8月以来,此类威胁活动在美国和英国一直保持很活跃的状态。受害者会收到包含档案文件链接的电子邮件,研究人员表示所有实例都是.zip或.gz文件。所有案例都涉及在storage.googleapis.com上托管的恶意负载,该有效负载似乎看起来是正常的Google云存储服务,但实际上是恶意链接。
    • 链接:https://www.darkreading.com/threat-intelligence/attackers-use-google-cloud-to-target-us-uk-banks/d/d-id/1333555?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2018年12月29日,绿盟科技漏洞库已收录总条目达到42379条。本周新增漏洞记录73条,其中高危漏洞数量11条,中危漏洞数量36条,低危漏洞数量26条。

  • Bind Server缓冲区溢出漏洞(CVE-2018-5742)
    • 危险等级:中
    • BID:106246
    • cve编号:CVE-2018-5742
  • Asus Aura Sync任意代码执行漏洞(CVE-2018-18537)
    • 危险等级:中
    • BID:106250
    • cve编号:CVE-2018-18537
  • Asus Aura Sync任意代码执行漏洞(CVE-2018-18536)
    • 危险等级:中
    • BID:106250
    • cve编号:CVE-2018-18536
  • Asus Aura Sync任意代码执行漏洞(CVE-2018-18535)
    • 危险等级:中
    • BID:106250
    • cve编号:CVE-2018-18535
  • TRENDnet TEW-673GRU 任意命令执行漏洞(CVE-2018-19239)
    • 危险等级:中
    • cve编号:CVE-2018-19239
  • TRENDnet TV-IP110WN和TV-IP121WN缓冲区溢出漏洞(CVE-2018-19240)
    • 危险等级:中
    • cve编号:CVE-2018-19240
  • TRENDnet TV-IP110WN和TV-IP121WN缓冲区溢出漏洞(CVE-2018-19241)
    • 危险等级:中
    • cve编号:CVE-2018-19241
  • TRENDnet TEW-632BRP和TEW-673GRU 缓冲区溢出漏洞(CVE-2018-19242)
    • 危险等级:中
    • cve编号:CVE-2018-19242
  • D-Link DCS-825L 拒绝服务安全漏洞(CVE-2018-18442)
    • 危险等级:中
    • cve编号:CVE-2018-18442
  • McAfee Application and Change Control安全限制绕过安全漏洞(CVE-2018-6668)
    • 危险等级:中
    • BID:106282
    • cve编号:CVE-2018-6668
  • McAfee Application and Change Control安全限制绕过安全漏洞(CVE-2018-6669)
    • 危险等级:中
    • BID:106282
    • cve编号:CVE-2018-6669
  • Apache Tika拒绝服务安全漏洞(CVE-2018-17197)
    • 危险等级:中
    • BID:106293
    • cve编号:CVE-2018-17197
  • Foxit Quick PDF Library 缓冲区溢出漏洞(CVE-2018-20249)
    • 危险等级:中
    • cve编号:CVE-2018-20249
  • Foxit Quick PDF Library 缓冲区溢出漏洞(CVE-2018-20248)
    • 危险等级:中
    • cve编号:CVE-2018-20248
  • Foxit Quick PDF Library 缓冲区溢出漏洞(CVE-2018-20247)
    • 危险等级:中
    • cve编号:CVE-2018-20247
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20357)
    • 危险等级:低
    • cve编号:CVE-2018-20357
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20358)
    • 危险等级:低
    • cve编号:CVE-2018-20358
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20359)
    • 危险等级:低
    • cve编号:CVE-2018-20359
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20360)
    • 危险等级:低
    • cve编号:CVE-2018-20360
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20361)
    • 危险等级:低
    • cve编号:CVE-2018-20361
  • Freeware Advanced Audio Decoder 2 拒绝服务漏洞(CVE-2018-20362)
    • 危险等级:低
    • cve编号:CVE-2018-20362
  • Tiny C Compiler 缓冲区溢出漏洞(CVE-2018-20374)
    • 危险等级:低
    • cve编号:CVE-2018-20374
  • D-Link DCM-604和DCM-704 信息泄露安全漏洞(CVE-2018-20389)
    • 危险等级:中
    • cve编号:CVE-2018-20389
  • TP-Link TD-W8961ND 跨站脚本漏洞(CVE-2018-20372)
    • 危险等级:中
    • cve编号:CVE-2018-20372
  • WordPress Master Slider Plugin 跨站脚本漏洞(CVE-2018-20368)
    • 危险等级:中
    • cve编号:CVE-2018-20368
  • Tiny C Compiler 缓冲区溢出漏洞(CVE-2018-20376)
    • 危险等级:低
    • cve编号:CVE-2018-20376
  • Tiny C Compiler 缓冲区溢出漏洞(CVE-2018-20375)
    • 危险等级:低
    • cve编号:CVE-2018-20375
  • Discuz! DiscuzX 安全限制绕过漏洞(CVE-2018-20422)
    • 危险等级:中
    • cve编号:CVE-2018-20422
  • Discuz! DiscuzX plugin.php安全漏洞(CVE-2018-20424)
    • 危险等级:中
    • cve编号:CVE-2018-20424
  • Discuz! DiscuzX 安全限制绕过漏洞(CVE-2018-20423)
    • 危险等级:中
    • cve编号:CVE-2018-20423
  • Schneider Electric Pro-Face GP-Pro EX 输入验证漏洞(CVE-2018-7832)
    • 危险等级:高
    • cve编号:CVE-2018-7832
  • Schneider Electric IIoT Monitor XML外部实体引用安全漏洞(CVE-2018-7837)
    • 危险等级:高
    • cve编号:CVE-2018-7837
  • Schneider Electric IIoT Monitor路径遍历安全漏洞(CVE-2018-7835)
    • 危险等级:高
    • cve编号:CVE-2018-7835
  • Schneider Electric IIoT Monitor任意文件上传安全漏洞(CVE-2018-7836)
    • 危险等级:高
    • cve编号:CVE-2018-7836
  • TOSHIBA Home Gateway HEM-GW26A/HEM-GW16A信息泄露漏洞(CVE-2018-16197)
    • 危险等级:高
    • cve编号:CVE-2018-16197
  • TOSHIBA Home Gateway HEM-GW26A/HEM-GW16A OS命令注入漏洞(CVE-2018-16200)
    • 危险等级:高
    • cve编号:CVE-2018-16200
  • IBM Notes和Domino 权限提升漏洞(CVE-2018-1771)
    • 危险等级:高
    • cve编号:CVE-2018-1771
  • ImageMagick 拒绝服务安全漏洞(CVE-2018-20467)
    • 危险等级:中
    • cve编号:CVE-2018-20467
  • Adobe Acrobat和Reader缓冲区溢出漏洞(CVE-2018-19721)
    • 危险等级:中
    • cve编号:CVE-2018-19721
  • Adobe Acrobat和Reader缓冲区溢出漏洞(CVE-2018-19723)
    • 危险等级:中
    • cve编号:CVE-2018-19723
  • radare2 缓冲区溢出漏洞(CVE-2018-20461)
    • 危险等级:中
    • cve编号:CVE-2018-20461
  • radare2 缓冲区溢出漏洞(CVE-2018-20460)
    • 危险等级:中
    • cve编号:CVE-2018-20460
  • WordPress JSmol2WP 插件信息泄露漏洞(CVE-2018-20463)
    • 危险等级:中
    • cve编号:CVE-2018-20463
  • WordPress JSmol2WP 插件跨站脚本漏洞(CVE-2018-20462)
    • 危险等级:中
    • cve编号:CVE-2018-20462
  • D-Link DCM-604和DCM-704 信息泄露漏洞(CVE-2018-20445)
    • 危险等级:中
    • cve编号:CVE-2018-20445
  • WordPress Google XML Sitemaps插件跨站脚本漏洞(CVE-2018-16204)
    • 危险等级:中
    • cve编号:CVE-2018-16204
  • Japan Atomic Energy Agency Mapping Tool 任意代码执行漏洞(CVE-2018-16176)
    • 危险等级:高
    • cve编号:CVE-2018-16176
  • MIT Kerberos 5 拒绝服务安全漏洞(CVE-2018-20217)
    • 危险等级:高
    • cve编号:CVE-2018-20217
  • Epic Games Launcher 任意代码执行漏洞(CVE-2018-17707)
    • 危险等级:高
    • cve编号:CVE-2018-17707
  • Rockwell Automation Allen-Bradley PowerMonitor 1000 跨站脚本漏洞(CVE-2018-19615)
    • 危险等级:中
    • cve编号:CVE-2018-19615
  • ZOHO ManageEngine ADSelfService Plus 跨站脚本安全漏洞(CVE-2018-20485)
    • 危险等级:低
    • cve编号:CVE-2018-20485
  • ZOHO ManageEngine ADSelfService Plus 跨站脚本安全漏洞(CVE-2018-20484)
    • 危险等级:低
    • cve编号:CVE-2018-20484
  • Poppler 拒绝服务安全漏洞(CVE-2018-20481)
    • 危险等级:低
    • cve编号:CVE-2018-20481
  • WESEEK GROWI 跨站脚本漏洞(CVE-2018-16205)
    • 危险等级:中
    • cve编号:CVE-2018-16205
  • WESEEK GROWI 跨站脚本漏洞(CVE-2018-0698)
    • 危险等级:中
    • cve编号:CVE-2018-0698
  • Linux kernel 拒绝服务安全漏洞(CVE-2018-16885)
    • 危险等级:中
    • BID:106296
    • cve编号:CVE-2018-16885
  • libxls 拒绝服务安全漏洞(CVE-2018-20452)
    • 危险等级:低
    • cve编号:CVE-2018-20452
  • libxls 拒绝服务安全漏洞(CVE-2018-20450)
    • 危险等级:低
    • cve编号:CVE-2018-20450
  • libdoc 缓冲区溢出安全漏洞(CVE-2018-20451)
    • 危险等级:低
    • cve编号:CVE-2018-20451
  • libdoc 缓冲区溢出安全漏洞(CVE-2018-20453)
    • 危险等级:低
    • cve编号:CVE-2018-20453
  • Cisco Adaptive Security Appliance远程代码执行安全漏洞(CVE-2018-0101)
    • 危险等级:高
    • BID:102845
    • cve编号:CVE-2018-0101
  • PLC Wireless Router GPN2.4P21-C-CN 跨站脚本漏洞
    • 危险等级:低
    • cve编号:CVE-2018-20326
  • Chat Anywhere extension for Chrome 跨站脚本漏洞(CVE-2018-20524)
    • 危险等级:中
    • cve编号:CVE-2018-20524
  • Linux kernel 信息泄露安全漏洞(CVE-2018-20511)
    • 危险等级:低
    • cve编号:CVE-2018-20511
  • LibRAW ‘libraw_cxx.cpp’ 堆缓冲区溢出漏洞(CVE-2018-20365)
    • 危险等级:低
    • BID:106299
    • cve编号:CVE-2018-20365
  • LibRAW ‘libraw_cxx.cpp’ 空指针间接引用漏洞(CVE-2018-20364)
    • 危险等级:低
    • BID:106299
    • cve编号:CVE-2018-20364
  • LibRAW ‘libraw_cxx.cpp’ 空指针间接引用漏洞(CVE-2018-20363)
    • 危险等级:低
    • BID:106299
    • cve编号:CVE-2018-20363
  • libming 拒绝服务安全漏洞(CVE-2018-20426)
    • 危险等级:低
    • cve编号:CVE-2018-20426
  • Orange Livebox 信息泄露安全漏洞(CVE-2018-20377)
    • 危险等级:中
    • cve编号:CVE-2018-20377
  • libming 拒绝服务安全漏洞(CVE-2018-20429)
    • 危险等级:低
    • cve编号:CVE-2018-20429
  • libming 拒绝服务安全漏洞(CVE-2018-20428)
    • 危险等级:低
    • cve编号:CVE-2018-20428
  • libming 拒绝服务安全漏洞(CVE-2018-20427)
    • 危险等级:低
    • cve编号:CVE-2018-20427
  • libming 拒绝服务安全漏洞(CVE-2018-20425)
    • 危险等级:低
    • cve编号:CVE-2018-20425

(数据来源:绿盟科技安全研究部&产品规则组)

 

发表评论