网络安全威胁月报NSFOCUS-2019-08

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 http://blog.nsfocus.net/

2019年8月数据统计

高危漏洞发展趋势

2019年8月绿盟科技安全漏洞库共收录457漏洞, 其中高危漏洞207个,微软高危漏洞80个。绿盟科技收录高危漏洞数量与前期相比有所增长。

注:a.绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

b.NVD(NATIONAL VULNERABILITY DATABASE)公布高危漏洞数量来自NVD官网。

 

互联网安全事件

标题:微软远程桌面服务蠕虫漏洞

时间:2019-08-14

摘要::CVE-2019-1181和CVE-2019-1182 与之前修复的“BlueKeep”漏洞(CVE-20190708)类似,也具有蠕虫特性,即利用这些漏洞的恶意软件可能会在无需用户交互的情况下在易受攻击的机器间进行传播。

链接:http://blog.nsfocus.net/cve-2019-1181cve-2019-1182/

 

标题:Cisco IOS XE REST API容器身份认证绕过漏洞

时间:2019-08-29

摘要:当地时间8月28日,Cisco官方发布公告修复了Cisco IOS XE软件的REST API虚拟服务 容器中一个认证绕过漏洞(CVE-2019-12643)。漏洞成因是管理REST API身份验证服务的代码执行了不正确的检查。攻击者可以通过向目标设备提交恶意HTTP请求来利用此漏洞。成功的漏洞利用可允许攻击者获得一个已经过身份验证用户的令牌id。此令牌id可用于绕过身份验证,并通过受影响的Cisco IOS XE设备上的REST API虚拟服务容器接口执行特权操作。

链接:http://blog.nsfocus.net/cve-2019-12643/

 

标题:超过40个驱动可以让黑客在Windows PC上安装持久的后门程序

时间:2019-08-10

摘要:安全研究人员发现,来自至少20个不同供应商的40多个驱动程序中存在高风险安全漏洞,这些驱动程序可能允许攻击者获得系统上的最高权限,并以一种未被发现的方式隐藏恶意软件,这些漏洞很普遍,影响了主要的BIOS供应商,以及华硕、东芝、NVIDIA和华为销售的硬件。

链接:https://threatpost.com/driver-disaster-over-40-signed-drivers-cant-passsecurity-muster/147199/

 

标题:Apache Solr远程代码执行漏洞

时间:2019-08-07

摘要:近日,Apache官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,因此该参数存在安全隐患。

链接:http://blog.nsfocus.net/cve-2019-0193/

 

标题:TortoiseSVN远程代码执行漏洞

时间:2019-08-15

摘要:当地时间8月13日,来自vxrl漏洞实验室的研究员公布了在 TortoiseSVN中发现的一个远程代码执行漏洞(CVE-2019-14422),漏洞成因是TortoiseSVN的URI处理程序(Tsvncmd:) 允许在Excel工作簿上进行定制的diff操作,该操作可能被用于在不受宏安全设置保护的情况下打 开远程工作簿,从而造成任意代码执行。

链接:http://blog.nsfocus.net/cve-2019-14422/

 

标题:高通芯片的新缺陷使数以百万计的Android设备遭受黑客攻击

时间:2019-08-06

摘要:高通公司的芯片组中发现了一系列严重漏洞,这些漏洞可能让黑客只需通过无线方式发送 恶意数据包而无需用户交互即可远程破坏Android设备,这些漏洞统称为QualPwn,位于高通芯片组的WLAN和调制解调器固件中,为数亿台Android智能手机和平板电脑提供支持。

链接:https://thehackernews.com/2019/08/android-qualcomm-vulnerability.html

 

标题:新的Mirai僵尸网络利用隐藏在Tor网络中的C2服务器

时间:2019-08-01

摘要:趋势科技的研究人员发现了一种新的Mirai僵尸网络,它使用隐藏在Tor网络中的命令和控制,这种选择可以保护操作员的匿名性并使执法部门难以操作。新变体实现了与之前相同的功能,它针对TCP端口9527和34567,这表明其运营商的目标是针对IP摄像机和DVR。

链接:https://securityaffairs.co/wordpress/89237/malware/mirai-botnet-tor-c2.html

 

标题:Ghostscript多个 -dSAFER沙箱绕过漏洞

时间:2019-08-29

摘要:当地时间8月28日,有报告公布了多个Ghostscript -dSAFER沙箱绕过漏洞(CVE2019-14811、CVE-2019-14812、CVE-2019-14813、CVE-2019-14817)。

链接:http://blog.nsfocus.net/cve-2019-14811%e3%80%81cve-201914812%e3%80%81cve-2019-14813%e3%80%81cve-2019-14817/

 

标题:TA505威胁组织使用ServHelper以及FlawedAmmyy RAT进行攻击

时间:2019-08-27

摘要:TA505威胁组织在近期的攻击活动中使用ISO镜像文件作为攻击入口,ServHelper以及 FlawedAmmyy RAT更新版本作为有效负载,该组织还开始瞄准新的国家,如土耳其、塞尔维亚、罗马尼亚、韩国、加拿大、捷克共和国和匈牙利。

链接:https://blog.trendmicro.com/trendlabs-security-intelligence/ta505-at-it-againvariety-is-the-spice-of-servhelper-and-flawedammyy/

 

标题:卡巴斯基反病毒漏洞使用户被在线跨站点跟踪

时间:2019-08-15

摘要:近期发现如果用户使用的是卡巴斯基反病毒软件,则安全软件中的漏洞会在过去4年内向 用户访问的每个网站公开与用户相关联的唯一标识符,这可能允许这些网站和其他第三方服务跟 踪用户,即使用户已及时阻止或删除第三方cookie,也可以通过Web访问。该漏洞被标识为 CVE-2019-8286,存在于集成到防病毒软件中的URL扫描模块(称为Kaspersky URL Advisor)。

链接:https://thehackernews.com/2019/08/kaspersky-antivirus-online-tracking.html

 

标题:Foxit PDF软件公司遭遇数据泄露

时间:2019-08-30

摘要:Foxit Software是一家以其广受欢迎的轻量级Foxit PDF阅读器和PhantomPDF应用程序而闻名的公司,该应用程序被超过5.25亿用户使用,今天宣布发布数据泄露事件,泄露数据的包括个人信息和登录凭证。

链接:https://thehackernews.com/2019/08/foxit-pdf-reader-data-breach.html

 

(来源:绿盟科技威胁情报中心)

 

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

  1. 2019-08-17 Microsoft Windows Remote Desktop Services远程代码执行漏洞(CVE-2019-1181)
    NSFOCUS ID: 44008
    http://www.nsfocus.net/vulndb/44008

综述:Microsoft Windows是一套个人设备使用的操作系统。Remote Desktop Services是其中的一个远程桌面服务组件。 Microsoft Windows Remote Desktop Services处理连接请求方式中存在远程代码执行漏洞。

2. 2019-08-06 Oracle WebLogic Server反序列化远程代码执行漏洞(CVE-2019-2729)
NSFOCUS ID: 43838
http://www.nsfocus.net/vulndb/43838

综述:Oracle Fusion Middleware是美国Oracle公司的一套面向企业和云环境的业务创新平台,
提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 Oracle Fusion Middleware(子组件:Web Services)的Oracle WebLogic Server组件10.3.6.0.0、12.1.3.0.0和12.2.1.3.0版本中存在反序列化远程代码执行漏洞。

3. 2019-08-01 RubyGems ‘paranoid2’远程代码执行漏洞(CVE-2019-13589)
NSFOCUS ID: 43802
http://www.nsfocus.net/vulndb/43802
综述:RubyGems ‘paranoid2’是一款基于Ruby的paranoid模型。RubyGems.org提供的分发Ruby程序的paranoid2 gem 1.1.6存在第三方插入的代码执行后门。

4. 2019-08-18 Adobe Acrobat/Reader任意代码执行漏洞 (CVE-2019-8060)
NSFOCUS ID: 44103
http://www.nsfocus.net/vulndb/44103

综述:Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。
Adobe Acrobat和Reader在实现中存在命令注入漏洞,攻击者可利用该漏洞执行任意代码。

5. 2019-08-16 Microsoft Chakra 脚本引擎内存损坏漏洞(CVE-2019-1131)
NSFOCUS ID: 43961
http://www.nsfocus.net/vulndb/43961
综述:Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。ChakraCore是Edge中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用。Microsoft Edge在Chakra脚本引擎处理内存对象的方式中存在远程执行代码漏洞。

6. 2019-08-01 Siemens TIA Administrator身份验证绕过漏洞(CVE-2019-10915)
NSFOCUS ID: 43799
http://www.nsfocus.net/vulndb/43799

综述:Siemens TIA Administrator是德国西门子公司的一款用于授权和许可SIMATIC产品的管理程序。Siemens TIA Administrator V1.0 SP1  Upd1之前版本中存在身份验证绕过漏洞,该漏洞源于集成配置Web应用程序(TIA管理员)允许无需合理身份验证即可执行某些应用程序命令。

7. 2019-08-05 Oracle Database Server远程安全漏洞(CVE-2019-2799)
NSFOCUS ID: 43854
http://www.nsfocus.net/vulndb/43854

综述:Oracle Database Server是美国Oracle公司的一套关系数据库管理系统,提供数据管理、
分布式处理等功能。ODBC Driver是其中的一个开放式数据库连接(ODBC)驱动程序组件。
Oracle Database Server的Oracle ODBC驱动程序组件11.2.0.4、12.1.0.2、12.2.0.1和18C版本中存在远程安全漏洞。

8. 2019-08-01 施耐德电气交互式图形SCADA系统任意代码执行漏洞(CVE-2019-6827)
NSFOCUS ID: 43805
http://www.nsfocus.net/vulndb/43805

综述:施耐德电气交互式图形SCADA系统是法国施耐德电气公司的一套用于监控和控制工业过程的SCADA(数据采集与监控系统)系统。施耐德电气交互式图形SCADA 系统 14及之前版本中存在越界写入漏洞。

9. 2019-07-31 Schneider Electric Zelio Soft 2远程代码执行漏洞(CVE-2019-6822)
NSFOCUS ID: 43766
http://www.nsfocus.net/vulndb/43766
综述:Schneider Electric Zelio Soft 2是法国Schneider Electric公司的一套逻辑控制器编程软件。Schneider Electric Zelio Soft 2 5.2及之前版本中存在远程代码执行漏洞。

10. 2019-07-30 Microsoft Windows DHCP Server远程代码执行漏洞(CVE-2019-0785)
NSFOCUS ID: 43783
http://www.nsfocus.net/vulndb/43783
综述:Microsoft Windows Server是美国Microsoft公司的一套服务器操作系统。Microsoft Windows Server 2019、2016、2012 R2、2012、1903和1803版本中的DHCP服务存在远程代码执行漏洞。

 

博文精选

大数据时代下的数据安全:相关法规、场景技术以及实践体系

大数据时代下的数据安全,不能简单看作一个传统的数据安全问题,应该看作一个新的安全问题——如何在满足数据安全和隐私保护的同时,去实现数据的流动和价值的最大化/最优化。进一步说,“鱼和熊掌兼得”(数据安全与价值挖掘)成为了大数据时代下的主旋律。

http://blog.nsfocus.net/datasecurity_under_bigdata/

 

Oracle数据库漏洞扫描指南

在使用漏洞扫描产品对Oracle数据库进行漏洞扫描的时候,需要区分使用的扫描方式,否则可能对后续的修复加固工作带来一系列的困扰。一般来讲,Oracle数据库扫描分为远程扫描和登录扫描,其中登录扫描又分为数据库登录扫描和操作系统登录扫描。对于Oracle的远程扫描,建议作为在大范围网络中,探测可能受影响的Oracle数据库的手段,而登录扫描作为进一步精准判定漏洞的手段。

http://blog.nsfocus.net/oracle-database-vulnerability-scanning-guide/

 

等保2.0标准要求下云计算安全与风险评估探究

针对等保2.0的新变化,结合下一代云计算的发展趋势,指出云计算环境下开展安全工作的优势及挑战。本文着重分析IaaS、PaaS和SaaS三种服务模式面临的主要威胁,详细阐述了云平台风险评估流程,该流程在传统风险评估的基础上,融入云平台特有的资产、威胁和脆弱性,能够很好地覆盖云平台存在的风险。最后,对典型的几种评估方法提出相关建议。

http://blog.nsfocus.net/%e7%ad%89%e4%bf%9d2-0%e6%a0%87%e5%87%86%e8%a6%81%e6%b1%82%e4%b8%8b%e4%ba%91%e8%ae%a1%e7%ae%97%e5%ae%89%e5%85%a8%e4%b8%8e%e9%a3%8e%e9%99%a9%e8%af%84%e4%bc%b0%e6%8e%a2%e7%a9%b6/

 

(来源:绿盟科技博客)

 

 

 

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

 

Hacker Halted

时间:OCTOBER 10 & 11, 2019

简介:Hacker Halted is the EC-Council’s annual information security conference. As the issuer of the Certified Ethical Hacker certification, EC-Council’s Hacker Halted conference focuses on ethical hacking topics, with four days of technical training courses leading up to the conference.

网址:https://www.hackerhalted.com/

 

hack.lu 2019

时间:22-24 October 2019

简介:Hack.lu is an open convention/conference where people can discuss about computer security, privacy, information technology and its cultural/technical implication on society. It’s the 15th edition (22-24 October 2019) of hack.lu in Luxembourg.

网址:https://2019.hack.lu/

发表评论