绿盟科技互联网安全威胁月报NSFOCUS-2018-7

绿盟科技发布了9月互联网安全威胁月报,月报编号NSFOCUS-2018-7。7月,绿盟科技漏洞库新增212条,其中高危95条。微软高危漏洞53个,整体态势平稳.

绿盟科技漏洞库7月份十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏

洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

1. 2018-07-24 Intel Converged Security Management Engine缓冲区溢出漏洞(CVE-2018-3628)

NSFOCUS ID: 40513

http://www.nsfocus.net/vulndb/40513

综述: Intel Converged Security Management Engine是一个自主运行的子系统,自2008年起被纳入几乎所有的英特尔处理器芯片。Intel Converged Security Manageability Engine Firmware在Active Management Technology的HTTP处理器实现上存在缓冲区溢出漏洞,可使攻击者通过同一子集,执行任意代码。

2. 2018-07-24 Intel Converged Security Management Engine任意代码执行漏洞(CVE-2018-3627)

NSFOCUS ID: 40514
http://www.nsfocus.net/vulndb/40514

综述:Intel Converged Security Management Engine是一个自主运行的子系统,自2008年起被纳入几乎所有的英特尔处理器芯片。Intel Converged Security Management Engine远程管理方案在实现上存在逻辑漏洞,可使攻击者通过本地特权访问,执行任意代码。

3. 2018-07-16 Adobe Flash Player类型混淆任意代码执行漏洞(CVE-2018-5007)

NSFOCUS ID: 40435

http://www.nsfocus.net/vulndb/40435

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 30.0.0.113及之前版本在实现上存在安全漏洞,成功利用后可导致在当前用户上下文中执行任意代码。

4. 2018-07-24 Cisco Policy Suite Cluster Manager 不安全的默认密码漏洞(CVE-2018-0375)

NSFOCUS ID: 40506
http://www.nsfocus.net/vulndb/40506

综述:Cisco Policy Suite是管理策略套件。Cisco Policy Suite的群集管理器存在一个严重漏洞。此漏洞可能允许未经身份验证的远程攻击者使用root帐户登录具有默认静态用户凭据的系统。

5. 2018-07-12 Microsoft Edge 远程内存破坏漏洞(CVE-2018-8262)

NSFOCUS ID: 40380

http://www.nsfocus.net/vulndb/40380

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft Edge中存在远程代码执行漏洞,该漏洞源于程序没有正确的访问内存中的对象。

6. 2018-07-12 Adobe Acrobat/Reader 释放后重利用远程代码执行漏洞(CVE-2018-4913)

NSFOCUS ID: 40381

http://www.nsfocus.net/vulndb/40381

综述:Acrobat DC Continuous Track是一款桌面版PDF解决方案的连续更新版本。Adobe Acrobat/Reader产品在XFA引擎实现中存在释放后重利用安全漏洞,此漏洞源于PDF文件内构造的XFA脚本定义。远程攻击者可利用该漏洞执行任意代码。

7. 2018-07-13 Microsoft Windows Kernel ‘Win32k.sys’ 本地权限提升漏洞(CVE-2018-8282)

NSFOCUS ID: 40402
http://www.nsfocus.net/vulndb/40402

综述:Microsoft Windows是流行的计算机操作系统。Microsoft Windows中存在提权漏洞,该漏洞源于Windows内核模式驱动程序没有正确的处理内存中的对象。

8. 2018-07-03 Mozilla Firefox/Firefox ESR 释放后重利用漏洞(CVE-2018-12359)

NSFOCUS ID: 40231
http://www.nsfocus.net/vulndb/40231

综述:Mozilla Firefox和Firefox ESR是浏览器产品。Mozilla Firefox 61之前版本、Firefox ESR 52.9之前版本、Firefox ESR 60.1之前版本,在实现上存在释放后重利用漏洞。

9. 2018-07-18 Symantec Norton App Lock本地安全限制绕过漏洞(CVE-2018-5239)

NSFOCUS ID: 40471

http://www.nsfocus.net/vulndb/40471

综述:Symantec Norton App Lock是一套为移动设备提供安全防护功能的应用程序。Symantec Norton App Lock 1.3.0.332之前版本,在实现中存在安全漏洞。

10. 2018-06-26 GNU Binutils 堆缓冲区溢出漏洞(CVE-2018-12699)

NSFOCUS ID: 40172

http://www.nsfocus.net/vulndb/40172

综述:GNU Binutils是GNU计划开发的一组编程语言工具程序。GNU Binutils 2.30版本,在objdump执行过程中,stabs.c/finish_stab函数中存在安全漏洞。

7月高危漏洞发展趋势

2018年07月绿盟科技安全漏洞库共收录212个漏洞, 其中高危漏洞95个,微软高危漏洞53个,整体态势平稳

1.2 互联网安全事件

标题:微信支付XML外部实体注入漏洞

时间:2018-07-04

摘要:7月3日,国外研究人员发现了一个微信支付的漏洞。该漏洞源于微信在JAVA版本SDK中的实现存在一个XXE漏洞。攻击者若获得了商家的关键性安全密钥,就可以通过伪造信息来购买商家的任何物品而无需付费。

链接: http://toutiao.secjia.com/article/page?topid=110450

标题:网站错误页面可能是黑客伪装的WebShell登录界面

时间:2018-07-25

摘要:恶意软件分发者、黑客和网络钓鱼诈骗者继续在使用在伪造的HTTP错误文档中隐藏其Web外壳登录表单的做法。 这些页面假装是HTTP错误,例如404 Not Found或Forbidden,而实际上它们是登录页面,允许攻击者访问Web shell以在服务器上发出命令。

链接: http://toutiao.secjia.com/article/page?topid=110575

标题:ManageEngine Exchange Reporter Plus 远程代码执行漏洞

时间:2018-07-16

摘要:ManageEngine官方发布了Exchange Reporter Plus的新版本修复了一个远程代码执行漏洞。该漏洞源于Java servlet ADSHACluster在执行bcp.exe文件时,攻击者可以使用‘BCP_EXE’参数绕过,从而远程执行代码。

链接:http://blog.nsfocus.net/manageengine-exchange-reporter-plus/

标题:黑客利用18000台华为路由器漏洞组建僵尸网络

时间:2018-07-24

摘要:攻击者利用2017年的华为路由器漏洞,组建了一个由18,000个路由器组成的僵尸网络,虽然厂家早已发布了设备的补丁,但仍然存在大量路由器有安全风险;这凸显了物联网安全的一个关键问题,厂商不能强迫用户进行升级,物联网设备被用于各种恶意活动将没有尽头,包括用僵尸网络发布DDoS和其他大规模犯罪活动。

链接: http://toutiao.secjia.com/article/page?topid=110568

标题:Cisco Policy Suite Cluster Manager默认密码漏洞

时间:2018-07-19

摘要:当地时间7月18日,Cisco官方发布一则安全通告称其策略套件(CPS)的群集管理器存在一个严重漏洞(CVE-2018-0375)。此漏洞可能允许未经身份验证的远程攻击者使用root帐户登录具有默认静态用户凭据的系统。

链接:http://blog.nsfocus.net/cve-2018-0375/

标题:Javascript恶意代码植入Exif参数

时间:2018-07-20

摘要:黑客将Javascript代码注入图片Exif参数中, 被注入恶意软件的图片仍然会加载并正常工作,不会向网站管理员或网站访问者提供任何不妥之处。黑客把图像上传到GoogleUserContent中,用恶意代码的另一种独特而回避的方式是将其作为Office文档的一部分提供。 一旦用户打开Word文档,这些远程图像就会自动加载,任何下载图片的用户都会受到攻击。

链接: http://toutiao.secjia.com/article/page?topid=110545

标题:Modx Revolution远程代码执行漏洞

时间:2018-07-19

摘要:Modx官方发布通告称其Modx Revolution 2.6.4及之前的版本存在2个高危漏洞,攻击者可以通过该漏洞远程执行任意代码,从而获取网站的控制权或者删除任意文件。

链接:http://blog.nsfocus.net/cve-2018-1000207/

标题:拿IP摄像头分析IoT设备攻击链

时间:2018-07-16

摘要:黑客入侵物联网设备的主要动机之一是获得经济收益。大量部署的IP监控摄像机是主要目标,并且具有低投入,高的互联网带宽,且不易被发现等特性。用摄像头举例,IP摄像头硬件,网络和云都是黑客的入侵点,物联网安全由设备制造商、系统集成商和终端用户等共同承担。

链接: http://toutiao.secjia.com/article/page?topid=110507

标题:Sourcetree远程代码执行漏洞

时间:2018-07-25

摘要:北京时间7月23日,Sourcetree客户端被曝出存在一个远程代码执行漏洞(CVE-2018-11235)。该漏洞源于Sourcetree中的嵌入式Git,在使用Sourcetree来commit,克隆或者是与用户子模块互动时,攻击者可以利用该漏洞在受影响的系统上执行任意代码。

链接:http://blog.nsfocus.net/cve-2018-11235-3/

标题:小米路由器HD(R3D)爆出远程代码执行漏洞

时间:2018-07-16

摘要:近日,小米路由器HD(R3D)上爆出远程代码执行漏洞,CVE编号CVE-2018-14060,CVE-2018-14060漏洞信息发布组织发布预警通告。

链接: http://toutiao.secjia.com/article/page?topid=104498

(来源:绿盟科技威胁情报与网络安全实验室)

DDoS攻击类型

小提示

Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是358.8倍。

NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是556.9倍。

SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

DDoS威胁报告。

博文精选

卡巴斯基发布2018第二季度DDoS报告

卡巴斯基发布了第二季度DDoS报告,自上一季度以来总攻击持续时间变化不大,但中期攻击的份额增加,而较短攻击的份额减少。攻击的强度也在不断增加。网络犯罪分子最赚钱的目标似乎是加密货币,但我们很快就会看到针对电子竞技比赛的高调攻击以及针对个别流媒体和玩家的相对较小的赎金。

http://toutiao.secjia.com/article/page?topid=110581

WordPress ≤ 4.9.6任意文件删除漏洞

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。2018年6月28日,国外安全研究组织rips团队发布了一篇WordPress任意文件删除到代码执行的漏洞文章,文章中指出攻击者可以利用此漏洞删除任意文件,比如删除WordPress建站配置文件wp-config.php,通过删除此文件可导致界面进入网站安装页面,通过重装网站后进入管理员后台即可获取网站shell从而控制WordPress网站。

http://blog.nsfocus.net/wordpress-delete-any-file/

(来源:绿盟科技博客)

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

27th USENIX Security Symposium

时间:August 16–18, 2018

简介:The USENIX Security Symposium brings together researchers, practitioners, system administrators, programmers, and anyone interested inthe latest advances in the security and privacy of computer systems and networks. USENIX is the first technical membership association offering open access to research, with a variety of events covering sysadmin, security, systems, and more.

网址:https://www.usenix.org/conference/usenixsecurity18

ToorCon

时间:Aug28-Sep 3, 2017

简介:ToorCon (a play on the word “Root” in the computing sense) is another West Coast US event, which is considered as being pretty left-field. Having started in 1999 (in San Diego, CA) this hacker conference is named after the San Diego 2600 user group.

网址:https://sandiego.toorcon.net/

发表评论