绿盟科技互联网安全威胁周报NSFOCUS-19-09

绿盟科技发布了本周安全通告，周报编号NSFOCUS-19-09， 绿盟科技漏洞库 本周新增39条，其中高危11条。本次周报建议大家关注Drupal远程代码执行漏洞，该漏洞源于Drupal中某些字段在通过非表格（non-form resources）类型输入时未能正确过滤，导致潜在的任意PHP代码执行。请受影响的用户尽快升级进行防护。

焦点漏洞

Drupal远程代码执行漏洞

• CVE ID
  • CVE-2019-6340
• NSFOCUS ID
  • 42800
• 受影响版本
  • Drupal Drupal 8.6.x < 8.6.10
  • Drupal Drupal 8.5.x < 8.5.11
• 漏洞点评
  • Drupal是一款开源的内容管理平台。Drupal 8.6.x < 8.6.10、8.5.x(或更早版本) < 8.5.11版本，在实现中存在远程代码执行漏洞。该漏洞源于某些字段在通过非表格（non-form resources）类型输入时未能正确过滤，导致潜在的任意PHP代码执行。满足以下任意一个条件的用户受到该漏洞影响：

该站点启用了Drupal 8核心RESTful Web服务（rest）模块，并允许PATCH或POST请求；

该站点启用了另一个Web服务模块，如Drupal 8中的JSON：API，或Drupal 7中的Services或RESTful Web Services目前厂商已经发布了最新版本，请受影响的用户尽快升级进行防护。

*   暂时不便升级的用户，可以采取以下措施进行临时防护：

    用户可以禁用所有Web服务模块，或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。

    请注意，Web服务资源可能在多个路径上可用，具体取决于服务器的配置。
    对于Drupal 7，资源通常可通过路径（clean URL）和通过“q”查询参数获得。
    对于Drupal 8，当使用index.php /作为前缀时，路径可能仍然有效。

详细步骤及官方建议请参考Drupal官方通告。

（数据来源：绿盟威胁情报中心）

 

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有稍微增长。

1.2 威胁信息回顾

• 标题：Cobalt Strike漏洞暴露了攻击者的基础设施
  • 时间：2019-03-02
  • 简介：Fox-IT的安全专家的说法，Cobalt Strike渗透测试平台最近发现的漏洞可以用来识别攻击者服务器。这个漏洞在Cobalt Strike 3.13中得到了解决，Fox-IT专家认为该漏洞在该平台上已有近7年的历史，因为该平台从2012年已经开始用NanoHTTPD。
  • 链接：https://securityaffairs.co/wordpress/81877/hacking/cobalt-strike-bug.html
• 标题：NVIDIA修复GPU显示驱动程序中的漏洞
  • 时间：2019-02-25
  • 简介：NVIDIA发布了NVIDIA GPU显示驱动程序软件的安全更新，以修补可能导致代码执行，权限升级，拒绝服务或Windows和Linux计算机上的信息泄露的八个安全问题。
  • 链接：https://www.bleepingcomputer.com/news/security/nvidia-patches-security-issues-in-gpu-display-driver-for-windows-linux/
• 标题：Chrome中零日漏洞收集用户数据
  • 时间：2019-02-28
  • 简介：Exploit专家检测到PDF文档利用Chrome中的零日漏洞来收集打开文件用户的数据，收集的数据包括IP地址，操作系统和Chrome版本，以及受害者系统上PDF文件的完整路径。
  • 链接：https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html
• 标题：Thunderclap漏洞允许使用Thunderbolt Peripherals进行攻击
  • 时间：2019-02-26
  • 简介：研究人员发现Thunderbolt接口存在漏洞，暴露在DMA（直接内存访问）攻击当中。可以本地访问Thunderbolt设备的潜在攻击者可以利用恶意的外接设备发起攻击。这一系列漏洞被命名为“Thunderclap”，可被攻击者利用，获取最高系统权限并运行任意代码，并窃取“密码、银行登录信息、加密密钥、隐私文件、浏览信息”等隐私信息。Windows、macOS、Linux或FreeBSD等运行Thunderbolt的系统都可能受到影响。
  • 链接：https://www.bleepingcomputer.com/news/security/thunderclap-vulnerabilities-allow-attacks-using-thunderbolt-peripherals/
• 标题：SHAREit Android应用程序漏洞
  • 时间：2019-02-27
  • 简介：安全研究人员在SHAREit Android应用程序中发现了两个高严重性漏洞，这些漏洞可能允许攻击者绕过设备身份验证机制并窃取包含受害者设备敏感信息的文件。SHAREit在全球拥有超过15亿用户，是适用于Android，iOS，Windows和Mac的流行文件共享应用程序，旨在帮助人们跨各种设备共享视频，音乐，文件和应用程序。
  • 链接：https://thehackernews.com/2019/02/shareit-android-hacking.html
• 标题：黑客积极利用上周发布的最新Drupal RCE漏洞
  • 时间：2019-02-26
  • 简介：网络犯罪分子已经积极开始利用已经修补过的安全漏洞，在易受攻击的Drupal网站上安装加密货币矿工，这些网站尚未应用补丁并且仍然容易受到攻击。
  • 链接：https://thehackernews.com/2019/02/drupal-hacking-exploit.html
• 标题：Emissary PandaAPT组织更新攻击武器
  • 时间：2019-03-01
  • 简介：专家分析称2016年11月国际民用航空组织（ICAO）遭到袭击，怀疑Emissary Panda是罪魁祸首。Emissary PandaAPT组织（又名LuckyMouse,APT27,Threat Group 3390,and Bronze Union），自2010年开始活跃，主要的攻击目标是美国国防承包商，金融服务公司和中亚国家数据中心。
  • 链接：https://securityaffairs.co/wordpress/81805/apt/emissary-panda-attacks.html
• 标题：社交媒体每年产生30多亿美元黑产收入
  • 时间：2019-02-26
  • 简介：报告显示，社交媒体平台已经成为恶意软件分发中心以及主要的黑产资源来源地。每年，依托社交媒体平台而产生的黑产价值已经超过32亿美元。其中五分之一的组织已经通过社交媒体平台受到感染。2015年至2017年间，涉及社交媒体的网络犯罪报道在美国增长了300多倍，而社交媒体犯罪在英国从2013年到2018年翻了两番。
  • 链接：https://www.infosecurity-magazine.com/news/social-media-drives-32bn-in-black-1/
• 标题：挖矿服务网站Coinhive将于三月初关闭
  • 时间：2019-02-27
  • 简介：Coinhive团队宣布，其加密货币采矿服务即将关闭，据报道该项目在经济上已无法支持运营。今年1月，以色列网络安全公司Check Point发布了2018年12月的全球威胁指数，称最受欢迎的三大恶意软件品种都是与Coinhive相关的密码劫持，连续第13个月位居榜首。
  • 链接：https://krebsonsecurity.com/2019/02/crytpo-mining-service-coinhive-to-call-it-quits/
• 标题：2018 DDoS攻击态势报告
  • 时间：2019-03-01
  • 简介：近期，绿盟科技携手中国电信·云堤联合发布《2018 DDoS攻击态势报告》，里面包含了DDoS攻击的详细知识点，帮助你了解其攻击手法并做出有效应对。2018年DDoS攻击规模普遍增大，DDoS即服务增长迅速；反射攻击减少了80%，DDoS攻击“花样变多”；物联网威胁日渐增强，不容小觑；游戏和电子商务这两个行业，成为攻击者眼中的“肥肉”；中国仍是首要攻击源与攻击目标。
  • 链接：https://blog.nsfocus.net/ddos-attack-situation-report-2018/

（数据来源：绿盟科技 威胁情报中心 收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2019年03月01日，绿盟科技漏洞库已收录总条目达到42839条。本周新增漏洞记录39条，其中高危漏洞数量11条，中危漏洞数量22条，低危漏洞数量6条。

• Cisco Firepower 9000 Series远程拒绝服务漏洞 (CVE-2019-1700)
  • 危险等级:中
  • BID:107105
  • cve编号:CVE-2019-1700
• Adobe Acrobat/Reader信息泄露漏洞 (CVE-2019-7815)
  • 危险等级:高
  • BID:107114
  • cve编号:CVE-2019-7815
• Cisco Prime Collaboration Assurance身份验证绕过漏洞 (CVE-2019-1662)
  • 危险等级:高
  • BID:107096
  • cve编号:CVE-2019-1662
• Cisco SPA112/SPA525/SPA5X5 Series信息泄露漏洞 (CVE-2019-1683)
  • 危险等级:中
  • cve编号:CVE-2019-1683
• Cisco Unity Connection 跨站脚本漏洞 (CVE-2019-1685)
  • 危险等级:中
  • BID:107102
  • cve编号:CVE-2019-1685
• McAfee GetSusp 拒绝服务漏洞 (CVE-2018-6687)
  • 危险等级:中
  • cve编号:CVE-2018-6687
• Cisco HyperFlex Software 远程命令注入漏洞 (CVE-2018-15380)
  • 危险等级:中
  • BID:107095
  • cve编号:CVE-2018-15380
• IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1950)
  • 危险等级:低
  • cve编号:CVE-2018-1950
• IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1944)
  • 危险等级:中
  • cve编号:CVE-2018-1944
• IBM BigFix Platform 信息泄露安全漏洞 (CVE-2019-4061)
  • 危险等级:中
  • cve编号:CVE-2019-4061
• IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1949)
  • 危险等级:低
  • cve编号:CVE-2018-1949
• IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1948)
  • 危险等级:低
  • cve编号:CVE-2018-1948
• IBM Security Identity Governance and Intelligence 跨站脚本漏洞 (CVE-2018-1947)
  • 危险等级:低
  • cve编号:CVE-2018-1947
• IBM Content Navigator 信息泄露漏洞 (CVE-2018-1979)
  • 危险等级:低
  • cve编号:CVE-2018-1979
• PHP 内存泄露漏洞 (CVE-2019-9024)
  • 危险等级:中
  • cve编号:CVE-2019-9024
• MAT File I/O Library 内存破坏漏洞 (CVE-2019-9038)
  • 危险等级:中
  • cve编号:CVE-2019-9038
• GNU Binutils 拒绝服务安全漏洞 (CVE-2019-9072)
  • 危险等级:低
  • cve编号:CVE-2019-9072
• 多款IBM产品任意文件下载漏洞 (CVE-2018-1775)
  • 危险等级:中
  • cve编号:CVE-2018-1775
• GNU C Library 堆缓冲区溢出漏洞 (CVE-2019-9169)
  • 危险等级:中
  • cve编号:CVE-2019-9169
• GNU C Library 拒绝服务漏洞 (CVE-2018-20796)
  • 危险等级:中
  • cve编号:CVE-2018-20796
• D-Link DIR-825 任意命令执行漏洞 (CVE-2019-9122)
  • 危险等级:中
  • cve编号:CVE-2019-9122
• Linux kernel 越界读写漏洞(CVE-2019-9162)
  • 危险等级:中
  • cve编号:CVE-2019-9162
• D-Link DIR-825 空白密码安全漏洞 (CVE-2019-9123)
  • 危险等级:中
  • cve编号:CVE-2019-9123
• D-Link DIR-825 信息泄露安全漏洞 (CVE-2019-9126)
  • 危险等级:中
  • cve编号:CVE-2019-9126
• D-Link DIR-878缓冲区溢出漏洞 (CVE-2019-9125)
  • 危险等级:中
  • cve编号:CVE-2019-9125
• Cisco多个产品本地命令注入安全漏洞 (CVE-2019-1674)
  • 危险等级:高
  • BID:107184
  • cve编号:CVE-2019-1674
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5666)
  • 危险等级:高
  • cve编号:CVE-2019-5666
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5667)
  • 危险等级:高
  • cve编号:CVE-2019-5667
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5670)
  • 危险等级:高
  • cve编号:CVE-2019-5670
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5668)
  • 危险等级:高
  • cve编号:CVE-2019-5668
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5671)
  • 危险等级:中
  • cve编号:CVE-2019-5671
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5669)
  • 危险等级:高
  • cve编号:CVE-2019-5669
• Cisco RV110W/RV130W/RV215W Routers 远程命令执行漏洞(CVE-2019-1663)
  • 危险等级:高
  • BID:107185
  • cve编号:CVE-2019-1663
• NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5665)
  • 危险等级:高
  • cve编号:CVE-2019-5665
• OpenSSL 信息泄露安全漏洞 (CVE-2019-1559)
  • 危险等级:中
  • BID:107174
  • cve编号:CVE-2019-1559
• Joomla! J2Store SQL注入漏洞 (CVE-2019-9184)
  • 危险等级:中
  • cve编号:CVE-2019-9184
• F5 BIG-IP远程拒绝服务漏洞 (CVE-2019-6592)
  • 危险等级:高
  • BID:107176
  • cve编号:CVE-2019-6592
• Apache Airflow 任意代码执行安全漏洞 (CVE-2018-20244)
  • 危险等级:中
  • cve编号:CVE-2018-20244
• SchoolCMS 任意代码执行安全漏洞 (CVE-2019-9181)
  • 危险等级:中
  • cve编号:CVE-2019-9181

（数据来源：绿盟威胁情报中心）