绿盟科技互联网安全威胁月报NSFOCUS-2019-04

2019年4月绿盟科技安全漏洞库共收录85漏洞, 其中高危漏洞24个,微软高危漏洞9个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

2019年4月数据统计

高危漏洞发展趋势

2019年4月绿盟科技安全漏洞库共收录85漏洞, 其中高危漏洞24个,微软高危漏洞9个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。

注:

a.绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

b.NVD(NATIONAL VULNERABILITY DATABASE)公布高危漏洞数量来自NVD官网。

 

互联网安全事件

标题:APT34威胁组织工具源代码泄露

时间:2019-04-22

摘要:2019年4月18日,黑客/黑客组织使用假名Lab Dookhtegan在Telegram频道上出售APT34团伙的工具包,此外还有收集到的受害者数据及工具后端面板内容截图。早在2019年3月中旬,该黑客/黑客组织就已经开始在网络上发布并售卖此套工具包。非常有意思的是,科威特的安全公司CEO发twitter特别强调了这个消息的真实性。

链接:http://blog.nsfocus.net/apt34-event-analysis-report/

 

标题:Weblogic反序列化远程代码执行漏洞

时间:2019-04-18

摘要:4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞,此漏洞存在于weblogic自带的wls9_async_response.war组件中,由于该war包在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。

链接:http://blog.nsfocus.net/weblogic-ns-2019-0015/

 

标题:黑客入侵微软支持代理以访问Outlook电子邮件帐户

时间:2019-04-14

摘要:对于Microsoft Outlook电子邮件服务的用户来说,黑客已经破坏了Microsoft支持代理 来访问他们的电子邮件帐户。今年早些时候,黑客攻击了微软的客户支持门户网站,并获得了使 用微软Outlook服务注册的一些电子邮件帐户的访问权限。微软通知其部分用户存在安全漏洞, 并通过电子邮件确认黑客已在2019年1月1日至2019年3月28日期间访问了有关其OutLook帐 户的信息。一些Reddit用户确认已收到Microsoft的数据泄露通知电子邮件。

链接:https://thehackernews.com/2019/04/microsoft-outlook-email-hack.html

 

标题:高通公司芯片的严重缺陷暴露了Android设备的敏感数据

时间:2019-04-28

摘要:研究人员发现一种新的旁道攻击,攻击者可利用Qualcomm安全执行环境(QSEE)中的 一个缺陷,从Qualcomm安全密钥库中提取敏感数据,包括私钥和密码。这次攻击可能会影响 大多数使用Qualcomm芯片的现代Android设备,包括流行的Snapdragon型号820,835,845 和855。

链接:https://securityaffairs.co/wordpress/84612/hacking/qualcomm-flaw-androiddevices.html

 

标题:Gaza Cyber​​gang威胁组织的攻击活动

时间:2019-04-10

摘要:Gaza Cybergang(又名Molerats)是一个有政治动机的威胁组织,该组织主要针对中 东、欧洲和美国。近期发现Gaza Cybergang组织针对大使馆和政治人员的一起攻击,此次攻 击活动严重依赖使用粘贴站点(SneakyPastes),以便逐步将远程访问木马或多个木马潜入受害 者系统。SneakyPastes最受欢迎的目标是大使馆,政府机构,教育机构,媒体机构,记者,活 动家,政党或人员,医疗保健和银行业。

链接:https://securelist.com/gaza-cybergang-group1-operationsneakypastes/90068/

 

标题:俄罗斯TA505威胁组织攻击全球金融实体

时间:2019-04-18

摘要:近期,研究人员发现俄罗斯出于经济动机的威胁组织TA505使用远程访问特洛伊木马 (RAT)攻击美国和全球的金融实体。TA505组织于2017年首次被Proofpoint发现,至少自 2015年以来一直活跃,主要针对是金融和零售行业的实体。

链接:https://securityaffairs.co/wordpress/84072/hacking/russian-ta505-financialattacks.html

 

标题:超过200万个Apache HTTP服务器受到CVE-2019-0211漏洞的影响

时间:2019-04-05

摘要:影响Apache HTTP服务器的重要权限提升漏洞(CVE-2019-0211)可能被具有编写和 运行脚本权利的用户利用,以通过记分板操作在Unix系统上获得root权限。这个漏洞是由 Charles Fol发现的,影响了从2.4.17到2.4.38的所有Apache HTTP Server版本。随着 Apache httpd 2.4.39的发布,它已得到解决。

链接:https://securityaffairs.co/wordpress/83358/hacking/cve-2019-0211-apacheflaw.html

 

标题:5.4亿条Facebook用户数据暴漏在AWS云服务器上

时间:2019-04-04

摘要:2019年年初,安全研究人员发现了两台亚马逊云服务器,上面存储着5.4亿条与 Facebook相关的记录,该记录包含用户帐户名、Facebook ID、评论、喜好以及用于分析社交 媒体供稿和用户交互的其他数据。

链接:https://www.zdnet.com/article/over-540-million-facebook-records-found-onexposed-aws-servers

 

标题:Docker Hub数据库入侵,190,000名用户受到影响

时间:2019-04-27

摘要:Docker于2019年4月25日发现未经授权访问Docker Hub数据库,该数据库暴露了大约 190,000名用户的敏感信息。此信息包括一些用户名和散列密码,以及GitHub和Bitbucket存 储库的令牌。

链接:https://thehackernews.com/2019/04/docker-hub-data-breach.html

 

标题:JS-sniffers感染了全球2440个网站

时间:2019-04-03

摘要:JS-sniffer是一种旨在网上商店窃取客户支付数据的恶意软件。研究人员分析了2440个受 感染的电子商务网站,每日访问量约为150万,其数据已被入侵,并对JS-sniffers的暗网市场的 整个基础设施和货币化方法进行了深入分析,已为开发人员带来了数百万美元。

链接:https://securityaffairs.co/wordpress/83283/cyber-crime/js-sniffersinfections.html

(来源:绿盟科技威胁情报中心)

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

1.2019-04-09 Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞 (CVE-2019-0806)
NSFOCUS ID: 43106
http://www.nsfocus.net/vulndb/43106
综述:Chakra脚本引擎处理Microsoft Edge内存中对象的方式中,存在一个远程执行代码漏洞。

2. 2019-04-10 Adobe Flash Player 释放后重用任意代码执行漏洞(CVE-2019-7096)
NSFOCUS ID: 43105
http://www.nsfocus.net/vulndb/43105

综述:Adobe Flash Player含有一个未明确的任意代码执行漏洞。Flash Player 32.0.0.171之前的版本都收到影响。

3. 2019-03-26 WordPress social-warfare插件跨站脚本漏洞 (CVE-2019-9978)
NSFOCUS ID: 43038
http://www.nsfocus.net/vulndb/43038

综述:WordPress是一套使用PHP语言开发的博客平台。WordPress social-warfare插件3.5.3之前版本,在wp-admin/admin-post.php?swp_debug=load_options swp_ur参数中存在跨站脚本漏洞。

4. 2019-04-09 Adobe Bridge CC 越界写入远程代码执行漏洞(CVE-2019-7132)
NSFOCUS ID: 43113

http://www.nsfocus.net/vulndb/43113

综述:Adobe Bridge CC含有一个未明的远程代码执行漏洞。Adobe Bridge 9.0.2受影响。其他版本也可能受影响。

5. 2019-04-16 Oracle Database Server远程安全漏洞 (CVE-2019-2518)
NSFOCUS ID: 43133
http://www.nsfocus.net/vulndb/43133
综述:Oracle Database Server存在一个远程安全漏洞。该漏洞可通过多个协议利用,影响Java VM组件。Oracle Database Server 11.2.0.4、12.1.0.2、12.2.0.1、18c、19c版本受此漏洞影响。

6. 2019-04-03 Apache HTTP Server本地权限提升安全漏洞(CVE-2019-0211)
NSFOCUS ID: 43092
http://www.nsfocus.net/vulndb/43092

综述:Apache HTTP Server是一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Unix系统下的Apache HTTP Server组件2.4.17-2.4.38版本,在实现中存在的提权漏洞。

7. 2019-04-03 D-Link DSL-3782 OS命令执行漏洞(CVE-2018-17990)
NSFOCUS ID: 43093
http://www.nsfocus.net/vulndb/43093

综述:D-Link DSL-3782是一款无线路由器。D-Link DSL-3782设备(1.01版本固件),在Acl.asp中存在OS命令注入漏洞,成功利用后可使攻击者通过ScrIPaddrEndTXT参数,执行任意OS命令。

8. 2019-04-08 Samba 目录遍历漏洞(CVE-2019-3880)
NSFOCUS ID: 43119
http://www.nsfocus.net/vulndb/43119

综述:Samba在实现模拟Windows注册服务API的RPC端点的方式中含有一个缺陷。

9. 2019-04-03 VMware Workstation/Fusion 越界写本地代码执行漏洞(CVE-2019-5524)
NSFOCUS ID: 43091
http://www.nsfocus.net/vulndb/43091

综述:VMware Workstation是一套虚拟机软件。VMware Fusion是一套专用于在苹果机(Mac)上运行Windows应用程序的的虚拟机软件。VMware Workstation和Fusion在e1000虚拟网卡实现中存在越界写操作安全漏洞。

10. 2019-03-26 Bash 任意命令执行安全漏洞 (CVE-2019-9924)
NSFOCUS ID: 43041
http://www.nsfocus.net/vulndb/43041
综述:Bash是一款为GNU计划而编写的、运行于类Unix操作系统中的Shell(命令语言解释器)。Bash 4.4-beta2之前版本,由于rbash未阻止shell用户修改BASH_CMDS,可使攻击者以shell权限执行任意命令。

博文精选

跟时间赛跑——1Day、NDay漏洞防护

防护网络安全事件是一个跟黑客赛跑的过程只要抢占先机,在攻击者利用漏洞攻击前修复漏洞,就可以有效防止此类攻击。而抢占先机的前提就是关注厂商发布的漏洞和事件预警,在第一时间做好防范工作。

http://blog.nsfocus.net/running-time-1day-nday-vulnerability-protection/

 

大数据安全的解决思路

从大数据平台下的安全问题,引出大数据安全的法规标准、防护思路及解决方案。大数据平台涉及到的内容比较广泛,安全问题可以从这5个维度去考虑,安全管理、平台安全、数据安全、运维安全、业务安全。

http://blog.nsfocus.net/solutions-big-data-security/

“铝”巨人遭勒索病毒攻击,工业互联时代如何保障网络安全

挪威海德鲁公司(Norsk Hydro)在美国和欧洲的业务受到严重的勒索软件攻击,随后该公司被迫关闭了几条自动化生产线。发现问题后,安全人员隔离了所有工厂和操作,并切换到手动操作模式,以确保系统安全运行。有关该公司网络攻击的新闻报道致使该公司股价在全球现货市场铝价上涨超1%的情况下反而下跌近3%。挪威网络安全主管机构——挪威国家安全局向媒体证实:LockerGoga勒索软件是本次感染的源头。Norsk Hydro号称旗下拥有世界最大炼铝厂,此次勒索软件攻击很有可能导致全球铝市场面临动荡。

http://blog.nsfocus.net/how-to-guarantee-network-security-in-the-age-of-industrial-interconnecti/

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

 

INFOSECURITY EUROPE

时间:June 04-06, 2019

简介:InfoSecurity Europe is an annual conference that’s evolved into one of Europe’s largest and most highly-regarded information security events. Its reputation is bolstered by the conference’s free rate of admission.

网址:https://www.infosecurityeurope.com/

 

FIRST ANNUAL CONFERENCE

时间:June 16 – 21 , 2019

简介:The event is sponsored by the Forum of Incident Response and Security Teams (FIRST), an international confederation of more than 350 trusted computer incident response teams from over 80 countries.

网址:https://www.first.org/conference/2019/

发表评论