网络安全威胁月报NSFOCUS-2019-01

2019年1月绿盟科技安全漏洞库共收录177漏洞, 其中高危漏洞53个,微软高危漏洞7个。微软高危漏洞数量与前期相比有明显下降,绿盟科技收录高危漏洞数量与前期基本持平。

2019年1月数据统计

高危漏洞发展趋势

2019年1月绿盟科技安全漏洞库共收录177漏洞, 其中高危漏洞53个,微软高危漏洞7个。微软高危漏洞数量与前期相比有明显下降,绿盟科技收录高危漏洞数量与前期基本持平。

注:

a. 绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

b. NVD(NATIONAL VULNERABILITY DATABASE)公布高危漏洞数量来自NVD官网。

 

互联网安全事件

标题:与伊朗有关的APT组织支持全球DNS劫持活动

时间:2019-01-11

摘要:近日,一些安全研究人员对劫持域名的DNS攻击发出了警告,称攻击规模史无前例。攻击者能够通过DNS劫持收集到用户名和密码,而终端用户对此几乎一无所知。目前,研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名,认为攻击者可能与伊朗的APT组织有关。

链接:https://securityaffairs.co/wordpress/79722/apt/iran-apts-dns-hijacking.html

 

标题:Anatova勒索软件

时间:2019-01-23

摘要:研究人员在一个私有的点对点(p2p)网络中发现勒索软件Anatova。Anatova使用游戏或应用程序的图标诱骗受害者下载并执行它,并使用清单来请求管理员权限,实现了多种针对静态分析的有效保护技术,进行一些检查以避免在沙箱中运行。与其他勒索软件系列一样,Anatova的目标是加密受感染系统上的所有或多个文件,要求付款以解锁它们,该作者要求10DASH的加密货币支付赎金,目前价值约700美元。

链接:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

 

标题:Microsoft和VirusTotal合作检测恶意签名的MSI文件

时间:2019-01-16

摘要:微软和VirusTotal已经达成合作,共同在检测恶意签名MSI文件加大力量。 微软更新了签名校验,可检测签名的MSI是否被篡改。这种新的检测方式已在Sigcheck 2.70版中开放,并且VirusTotal正在使用它来检测已修改的签名MSI文件,只要文件上传到他们的服务器就不会被漏掉。

链接:https://www.bleepingcomputer.com/news/security/microsoft-and-virustotal-team-up-to-detect-malicious-signed-msi-files/?tdsourcetag=s_pctim_aiomsg

 

标题:Linux APT中的关键RCE缺陷允许远程攻击者破解系统

时间:2019-01-22

摘要:一位安全研究人员透露apt-get实用程序中一个新的关键远程代码执行漏洞的细节,这个漏洞可以被远程的中间人攻击者利用来破坏Linux机器。漏洞编号为CVE-2019-3462,位于APT包管理器中,这是一个广泛使用的实用程序,用于处理Debian,Ubuntu和其他Linux发行版上软件的安装,更新和删除。

链接:https://thehackernews.com/2019/01/linux-apt-http-hacking.html

 

标题:美国州政府服务器未做安全防护 3TB敏感数据泄露

时间:2019-01-17

摘要:属于俄克拉荷马州证券部(ODS)的大量政府数据在存储服务器上至少一周没有安全保护, 所有人都可以在没有任何密码的情况下全面开放和访问。暴露出包含数百万个敏感文件的高达3TB的数据。 暴露的其他严重文件包括电子邮件,社会安全号码,10,000名经纪人的姓名和地址,远程访问ODS工作站的凭证,以及为俄克拉荷马州证券委员会提供的通信,以及与艾滋病患者相关的可识别信息列表。

链接:https://thehackernews.com/2019/01/oklahoma-fbi-data-leak.html

 

标题:Smart Buildings新发现6个0day漏洞 导致数千个设备在线暴漏

时间:2019-01-15

摘要:一组研究人员在Smart Building(智能建筑)中使用的协议和组件中发现了六个零日漏洞。 这些漏洞可用于窃取敏感信息,访问或删除关键文件或执行恶意操作。 这些缺陷包括跨站点脚本(XSS)和路径遍历到任意文件删除和身份验证绕过。它们出现在楼宇自动化设备中,例如可编程逻辑控制器(PLC)和网关协议。 来自两个用于发现连接到互联网的计算机硬件的聚合数据搜索引擎的表明受这些漏洞影响的数千个设备在线暴露。

链接:https://www.bleepingcomputer.com/news/security/zero-day-vulnerabilities-leave-smart-buildings-open-to-cyber-attacks/

 

标题:BlackRouter恶意软件被伊朗开发者推广为RaaS

时间:2019-01-17

摘要:一个新发现的名为BlackRouter的勒索软件被伊朗开发者作为勒索软件即服务进行推广。该恶意软件通过黑客入侵远程桌面服务或通过欺骗下载来分发的。因此,用户请确保计算机不允许RDP直接连接到Internet,并确保扫描从不受信任的来源下载的任何内容。同时这位开发者分发了另一个名为Blackheart的勒索软件,并宣传可以对RAT等进行感染。

链接:https://www.bleepingcomputer.com/news/security/blackrouter-ransomware-promoted-as-a-raas-by-iranian-developer/

 

标题:Amadeus航班预订系统存在严重漏洞,141家航空公司受到影响

时间:2019-01-16

摘要:研究人员在预定以色列航空公司的航班时发现了Amadeus在线机票预订系统中的一个严重漏洞,该漏洞使得攻击者能够远程访问和修改用户的行程细节并获得他们的飞行常客里程。攻击者只要知道受害者的PNR(乘客姓名记录)号码即可利用此漏洞。据专家估计该漏洞可能影响全球范围内141家航空公司,包括美国联合航空公司、汉莎航空公司和加拿大航空公司等国际知名航企。

链接:https://securityaffairs.co/wordpress/79972/hacking/amadeus-flight-booking-system-bug.html

 

标题:GoDaddy被发现将JavaScript注入在其托管的网站的所有网页

时间:2019-01-13

摘要:知名域名注册、主机服务网站GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本,而这一注入并没有经过网站管理员的同意。最初,GoDaddy是为了改善性能的而植入名为Real User Metrics的脚本去收集用户数据,声称绝大部分用户不会感觉到问题,但脚本本身却存在导致网站加载缓慢或破坏网页的可能。

链接:https://www.igorkromin.net/index.php/2019/01/13/godaddy-is-sneakily-injecting-javascript-into-your-website-and-how-to-stop-it/

 

标题:新的侧通道攻击从Windows,Linux页面缓存窃取数据

时间:2019-01-08

摘要:近日有研究人员发现一种新的边信道攻击,利用操作系统的页面缓存窃取项目二进制文件、库、文件等敏感信息。根据研究人员的演示,Windows 和 Linux 都会受到该攻击影响,macOS 也可能受到相同影响。这个攻击不受硬件设施的限制,主要在本地发起攻击,绕过沙箱、改正定时的用户界面,而且可以恢复自动生成的临时密码。此外,远程攻击也有可能实现,不过会有条件限制。

链接:https://www.bleepingcomputer.com/news/security/new-side-channel-attack-steals-data-from-windows-linux-page-cache/

(来源:绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

1. 2019-01-10 Microsoft Edge Chakra脚本引擎远程内存破坏漏洞(CVE-2019-0568)
NSFOCUS ID: 42466
http://www.nsfocus.net/vulndb/42466
综述:ChakraCore是使用在Edge的一个开源的JavaScript引擎的核心部分,也可作为单独的JavaScript引擎使用。Microsoft Edge在ChakraCore脚本引擎处理内存对象中存在远程代码执行漏洞。

2. 2018-12-27 Adobe Acrobat和Reader缓冲区溢出漏洞(CVE-2018-19723)
NSFOCUS ID: 42346
http://www.nsfocus.net/vulndb/42346

综述:Adobe Acrobat是一套PDF文件编辑和转换工具,Reader是一套PDF文档阅读软件。Adobe Acrobat和Reader在对TIFF图像的解析过程中存在越界读取漏洞。

3. 2019-01-17 Oracle Database Server 安全漏洞(CVE-2019-2547)
NSFOCUS ID: 42515
http://www.nsfocus.net/vulndb/42515
综述:Oracle数据库系统是以分布式数据库为核心的一组软件产品。Oracle Database Server的Java VM组件在实现上存在安全漏洞,成功利用后可使攻击者造成拒绝服务,影响数据的可用性。

4. 2019-01-09 Microsoft Word任意代码执行漏洞(CVE-2019-0585)
NSFOCUS ID: 42437

http://www.nsfocus.net/vulndb/42437

综述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Word在内存对象的处理方式中存在远程代码执行漏洞。

5. 2019-01-17 Oracle Java SE 安全漏洞(CVE-2019-2426)
NSFOCUS ID: 42534
http://www.nsfocus.net/vulndb/42534

综述:Java SE用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE中的Java SE组件在实现中存在安全漏洞。

6. 2018-12-26 Schneider Electric IIoT Monitor任意文件上传安全漏洞(CVE-2018-7836)
NSFOCUS ID: 42340
http://www.nsfocus.net/vulndb/42340

综述:Schneider Electric IIoT Monitor是一款工业物联网监视器。Schneider Electric IIoT Monitor 3.1.38版本,在多个方法中存在任意文件上传安全漏洞。
7. 2019-01-03 Apache NetBeans远程命令执行漏洞(CVE-2018-17191)
NSFOCUS ID: 42395
http://www.nsfocus.net/vulndb/42395

综述:Apache NetBeans是一套可扩展的开源软件开发工具。Apache NetBeans(incubating)9.0版本,Proxy Auto-Configuration (PAC) interpretation在实现中存在远程代码执行漏洞。

8. 2018-12-26 TOSHIBA Home Gateway HEM-GW26A/HEM-GW16A OS命令注入漏洞(CVE-2018-16200)
NSFOCUS ID: 42342
http://www.nsfocus.net/vulndb/42342

综述:TOSHIBA Home Gateway HEM-GW26A和TOSHIBA Home Gateway HEM-GW16A是家庭网关产品。TOSHIBA Home Gateway HEM-GW26A 1.2.9及之前版本、TOSHIBA Home Gateway HEM-GW16A 1.2.9及之前版本,在实现中存在操作系统命令注入漏洞。

9. 2018-12-26 Discuz! DiscuzX 安全限制绕过漏洞(CVE-2018-20423)
NSFOCUS ID: 42336
http://www.nsfocus.net/vulndb/42336

综述:Discuz! DiscuzX是一套在线论坛系统。Discuz! DiscuzX 3.4版本,在实现中存在安全漏洞。当启用WeChat时,远程攻击者可通过向plugin.php ac=wxregister发送不存在的wxopenid值,利用该漏洞绕过禁用限制的设置。

10. 2019-01-23 GNU C Library 安全漏洞(CVE-2016-10739)
NSFOCUS ID: 42583

http://www.nsfocus.net/vulndb/42583

综述:GNU C Library是开源免费的C语言编译程序。GNU C Library2.28及之前版本,getaddrinfo函数在字符串解析中存在安全漏洞。

DDoS攻击类型

攻击事件类型SYN、UDP和NTP攻击为主,另外ACK攻击流量也较为突出

 

小提示

  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

更多相关信息,请关注绿盟科技DDoS威胁报告。

博文精选

2018年度国内物联网资产暴露与变化情况分析

在过去的一年里,格物实验室对物联网资产的暴露情况进行跟踪,将一些新的发现整理汇总成《2018物联网安全年报》。格物实验室对绿盟威胁情报中心(NTI)提供的国内的暴露资产进行分析发现,至少有40%暴露的物联网资产的网络地址处于频繁变化的状态,大部分变化的资产采用拨号的方式入网。所以无论是描绘暴露物联网资产,还是对威胁的跟踪,考虑资产的变化情况都有着重要的意义。此外,IPv6普及后,资产网络地址变化的现象会大大减少,但物联网资产的暴露数量可能也会剧增。

2018年度国内物联网资产暴露与变化情况分析

 

【2018DDoS攻击】IP团伙行为分析报告

本报告是IP团伙主题系列中的开篇之作。绿盟科技后续计划研究团伙成员如何进化与联系,以及如何基于此构建更有效的防御措施。首次将DDoS攻击作为协同团伙活动进行研究,从这一全新角度来研究DDoS攻击,可以获得一些独特见解,有助于我们更好地检测、缓解、取证分析甚至预测DDoS攻击。

【2018DDoS攻击】IP团伙行为分析报告

 

Gafgyt魔高一尺-BaaS模式的僵尸网络

在万物互联的物联网时代,IoT设备的脆弱性亦广为世人所发掘。随着暴露在互联网中存在安全隐患的IoT设备的增多(仅中国国内就有1200W台以上),越来越多的恶意软件亦将目光对准了这个取之不尽的僵尸资源库,因此IoT平台上的恶意软件家族数量呈现爆发增长态势,仅2018年一年中就有21个新的IoT僵尸网络家族被发现。

Gafgyt魔高一尺-BaaS模式的僵尸网络

 

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

 

RSA Conference 2019

时间:March 4, 2019 – March 8, 2019

简介:RSA Conference 2019 takes place March 4 to 8 in San Francisco. RSA Conference is about bringing all cybersecurity professionals together and empowering the collective “we” in the industry. We feel passionately about ensuring diversity and inclusivity (D&I) in every aspect of our events. Be the change we want to see and learn more about our 4 Guiding Principles.

网址:https://www.rsaconference.com/events/us19

 

 

 

 

CLOUD EXPO EUROPE 2019

时间:March 12, 2019 – March13, 2019

简介:Cloud & Cyber Security Expo, the UK’s highest attendee technology event, returns to the ExCeL London on 12-13 March 2019. Cloud & Cyber Security Expo, is the only place that gives you everything you need to learn, wherever you are in your digital transformation journey and to stay safe in an increasingly hostile digital environment. It’s quite simply the industry-leading event for digital-age guardianship.

网址:https://www.cloudsecurityexpo.com/

 

 

Gartner Data & Analytics Summit 2019

时间:February 18, 2019 – February 19, 2019

简介:At Gartner Data & Analytics Summit, we’ll help you create the future — a future based on data you can trust, analytics you can rely on, and the insight needed to make game-changing business decisions.

网址:https://www.gartner.com/en/conferences/apac/data-analytics-australia/why-attend

发表评论