网络安全威胁月报NSFOCUS-201906

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 http://blog.nsfocus.net/

2019年6月数据统计

高危漏洞发展趋势

2019年6月绿盟科技安全漏洞库共收录178漏洞, 其中高危漏洞98个,微软高危漏洞22个。绿盟科技收录高危漏洞数量与前期相比有所增长。

注:a.绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

b.NVD(NATIONAL VULNERABILITY DATABASE)公布高危漏洞数量来自NVD官网。

 

互联网安全事件

标题:Oracle Weblogic 远程代码执行漏洞(CVE-2019-2725)补丁绕过

时间:2019-06-16

摘要:近日,绿盟科技安全团队发现针对Oracle Weblogic的在野漏洞利用,攻击特征与CVE2019-2725类似。此攻击可以绕过Oracle官方在4月份发布的最新安全补丁。由于在处理反序 列化信息时没有合理进行过滤,攻击者可以通过发送精心构造的恶意HTTP请求来利用该漏洞, 从而获取服务器权限并在未授权情况下远程执行任意代码。

链接:http://blog.nsfocus.net/cve-2019-2725/

 

标题:多个Linux内核远程拒绝服务漏洞

时间:2019-06-19

摘要:近日,Red Hat官方发布了一份安全公告,公告中指出了Linux内核中存在的多个基于 TCP的远程拒绝服务漏洞。其中包括一个名为“SACK Panic”的高危漏洞和其他两个中危漏洞。

链接:http://blog.nsfocus.net/cve-2019-11477/

 

标题:微软删除了世界上最大的公开人脸识别数据库 MS Celeb

时间:2019-06-11

摘要:微软从互联网上悄然删除了MS Celeb数据库,该数据库包含了超过1000万张、约为10 万人的人脸图像,主要被用于人脸识别。MS Celeb 是世界上最大的公开人脸识别数据库,其中 包含的人脸图像基本都来自公众人物。

链接:https://www.infoq.cn/article/dXAQ0_z8KhGhIVFcTIUI

 

标题:苹果MacOS 0-Day漏洞:允许黑客绕过合成点击的安全功能

时间:2019-06-03

摘要:近期,一位安全研究人员绕过了苹果的MacOS隐私功能,再次发现了一种绕过安全警告 的新方法。之前安全研究员Patrick Wardle在macOS中发现了一个关键的漏洞,它可能允许安 装在目标系统上的恶意应用程序在没有任何用户交互或实际同意的情况下虚拟地“点击”安全提示 按钮。尽管苹果在公开披露数周后就解决了这一问题,但Wardle再次公开展示了一种新的解决 方法,允许应用程序执行“合成点击”,在没有明确许可的情况下访问用户的私人数据。

链接:https://thehackernews.com/2019/06/macOS-synthetic-click.html

 

标题:ICEFOG APT威胁组织在新的攻击中被发现

时间:2019-06-07

摘要:近期,研究人员发现与中国有关系的APT组织ICEFOG(又名Fucobha)仍然活跃,该组 织2013年9月由卡巴斯基实验室首次发现曾经被认为已经消失,近期又发现其进行攻击活动, 该组织针对国防供应链进行攻击,包括军事承包商、造船厂、卫星运营商、高科技公司等。两个 最重要的恶意软件变种是ICEFOG-P和ICEFOG-M。

链接:https://securityaffairs.co/wordpress/86826/apt/icefog-apt-group-return.html

 

标题:微软修复了Android版Outlook中的CVE-2019-1105漏洞   

时间:2019-06-11

摘要:微软修补了Android版Outlook中的漏洞,这漏洞CVE-2019-1105为跨站点脚本 (XSS)攻击打开了大门。微软表示CVE-2019-1105被评重要的漏洞,存在于微软Android版 Outlook软件解析专门制作的电子邮件消息的方式中。

链接:https://threatpost.com/microsoft-outlook-android-xss/145924/

 

标题:通过Exim服务器传播的Linux蠕虫袭击了Azure客户

时间:2019-06-16

摘要:微软周五向Azure客户发出警告称一种新的Linux蠕虫病毒通过Exim电子邮件服务器传 播,这种蠕虫已经破坏了一些Azure安装。攻击者瞄准云服务,企图用于多种恶意目的,例如存 储恶意软件或者实施命令和控制服务器。

链接:https://securityaffairs.co/wordpress/87168/hacking/linux-worm-eximservers.html

 

标题:Telegram遭受来自中国的DDoS攻击

时间:2019-06-13

摘要:Telegram是最受欢迎的加密消息传递应用程序之一,在全球数十万用户遭遇强大的分布 式拒绝服务(DDoS)攻击后,它已短暂脱机。自上周以来,香港数百万人正在与他们的政治领 导人就引渡法的拟议修正案进行斗争,在此期间Telegram遭受来自中国的DDoS攻击,此次攻 击主要来自中国的IP地址。

链接:https://www.zdnet.com/article/telegram-says-whopper-ddos-attack-launchedmostly-from-china/

 

标题:俄罗斯APT集团Turla劫持了伊朗石油公司的C2

时间:2019-06-21

摘要:俄罗斯网络间谍组织Turla使用由Iran-Linked OilRig APT运营的新工具集和被劫 持的指挥和控制基础设施。Turla(又名Snake,Uroburos,Waterbug,Venomous Bear和 KRYPTON)自2007年以来一直活跃于政府组织和私营企业。

链接:https://securityaffairs.co/wordpress/87404/apt/turla-new-campaigns.html

 

标题:Echobot Botnet通过26个漏洞进行传播

时间:2019-06-14

摘要:一个名为Echobot的相对较新的僵尸网络已经增长到它用于传播的漏洞数量。它包含的 大多数开发代码都是针对未打补丁的物联网设备,但企业应用程序Oracle WebLogic和 VMware SD-Wan也是其中的目标。Echobot基于Mirai恶意软件,就像源代码公开后出现的数 百个其他僵尸网络一样。

链接:https://securityaffairs.co/wordpress/87177/malware/echobot-botnet-26exploits.html

 

标题:Exim远程代码执行漏洞

时间:2019-06-05

摘要:近日,Linux的邮件传输代理Exim被曝出存在一个远程代码执行漏洞(CVE-201910149),该漏洞是由/src/deliver.c 中deliver_message()函数里对收件人地址的不正确验证造成。

链接:http://blog.nsfocus.net/cve-2019-10149/

 

(来源:绿盟科技威胁情报中心)

绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

 

1.2019-06-04 Microsoft Edge远程内存破坏漏洞(CVE-2019-0926)
NSFOCUS ID: 43380
http://www.nsfocus.net/vulndb/43380

综述:Microsoft Edge是一个由微软研发的浏览器。Microsoft Edge不正确地访问内存中的对象时,存在远程执行代码漏洞。

2. 2019-06-12 谷歌安卓系统组件多个安全漏洞(CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097)
NSFOCUS ID: 43476
http://www.nsfocus.net/vulndb/43476

综述:Android是谷歌开发的移动操作系统。Android的系统组件中包含多个安全漏洞。包括类型混淆,内存破坏等。

3. 2019-06-18 Apache HTTP Server远程安全漏洞(CVE-2019-0220)
NSFOCUS ID: 43508
http://www.nsfocus.net/vulndb/43508

综述:Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,是最流行的Web服务器端软件之一。Apache HTTP Server 2.4.0到2.4.38中发现了一个漏洞。当请求URL的路径组件包含多个连续斜杠(’/’)时,诸如LocationMatch和Rewrite Rule之类的指令必须考虑正则表达式中的重复项,而服务器处理的其他方面可能使其崩溃。

4. 2019-06-12 Microsoft Windows IIS Server远程拒绝服务漏洞(CVE-2019-0941)
NSFOCUS ID: 43455

http://www.nsfocus.net/vulndb/43455

综述:IIS是微软开发的Web服务器。当可选请求筛选功能不正确地处理请求时,Microsoft IIS Server中存在拒绝服务。

5. 2019-06-05 Cisco IOS XE软件命令注入漏洞(CVE-2019-1862)
NSFOCUS ID: 43388
http://www.nsfocus.net/vulndb/43388

综述:Cisco IOS XE软件是美国思科(Cisco)公司为其网络设备开发的操作系统。Cisco IOS XE软件的基于Web的用户界面中的漏洞可能允许经过身份验证的远程攻击者使用root权限在受影响设备的底层Linux shell上执行命令。

6. 2019-06-19 WordPress Mobile App Builder By Wappress插件任意文件上传漏洞(CVE-2017-1002000/CVE-2017-1002001)
NSFOCUS ID: 43484
http://www.nsfocus.net/vulndb/43484
综述:WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress的Mobile App Builder By Wappress插件包含任意文件上传漏洞。攻击者可以利用此问题上载任意代码并在Web服务器进程的上下文中运行它。

7. 2019-06-12 博通WiFi芯片组驱动程序多个堆缓冲区溢出漏洞(CVE-2019-9501/CVE-2019-9502)
NSFOCUS ID: 43475
http://www.nsfocus.net/vulndb/43475

综述:Broadcom是全球领先的有线和无线通信半导体公司。Broadcom WiFi芯片组驱动程序容易出现多个基于堆的缓冲区溢出漏洞。

8. 2019-06-21 思科集成管理控制器任意文件写入漏洞(CVE-2019-1629)
NSFOCUS ID: 43523
http://www.nsfocus.net/vulndb/43523

综述:Cisco Integrated Management   Controller(IMC)是美国思科(Cisco)公司的一套用于对UCS(统一计算系统)进行管理的软件。思科集成管理控制器(IMC)的配置导入实用程序中的漏洞可能允许未经身份验证的远程攻击者具有写入权限并将任意数据上载到文件系统。

9. 2019-06-05 Titan FTP Server Web GUI目录遍历漏洞(CVE-2019-10009)
NSFOCUS ID: 43385
http://www.nsfocus.net/vulndb/43385

综述:Titan FTP Server是一款FTP服务程序。它有一个Web GUI窗口。在Titan FTP Server 2019 Build 3505的Web GUI中,才在一个目录遍历漏洞。

10. 2019-06-03 ImageMagick 拒绝服务漏洞(CVE-2018-16750)
NSFOCUS ID: 43377
http://www.nsfocus.net/vulndb/43377

综述:ImageMagick是一个免费的创建、编辑、合成图片的软件。ImageMagick 7.0.7-29及之前版本,coders/meta.c中的formatIPTCfromBuffer函数存在内存泄露漏洞

博文精选

数据安全治理的关键:定义、追踪、挖掘

近日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》,对各方关注的数据安全问题的管理进行了直接回应。做好数据梳理是数据安全治理的第一步,也是关键的一步。通过数据梳理可以识别关键业务数据及其面临的风险,完善组织数据保护政策,有效落实数据安全管理规定,降低业务运营风险,建立动态可持续的数据安全运维管理保障体系。

http://blog.nsfocus.net/save-customer-input-match-customers-practical-business-one-stop-safe-operating-clothing/

 

战略性网络空间作战指南

本报告囊括了美国政府的非机密及公开文档,为美国陆军战争学院学生提供指导,帮助他们了解作战司令部(CCMD)、联合特遣部队(JTF)和联合职能司令部的网络空间作战的筹划、规划和执行。

http://blog.nsfocus.net/strategic-cyberspace-operations-guide/

 

从通信流量日志看Gafgyt僵尸网络趋势

Gafgyt是一个历史悠久的IoT僵尸网络家族,具有大量变种。经过多年的发展,Gafgyt的成熟变种已具有漏洞扫描、DDoS、指令执行、下载执行等功能,并成为与Mirai齐名的巨型僵尸网络家族。绿盟科技伏影实验室截获了部分Gafgyt通信流量并进行处理,获得了一份通信流量日志。阅读这份日志后,我们发现其可以反映当前Gafgyt僵尸网络的使用倾向与发展趋势。

http://blog.nsfocus.net/trend-gafgyt-botnet-communication-traffic-log/

 

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

 

DEF CON 27

时间:August 8-11, 2019

简介:DEF CON started back in 1993, originally intended as a party for members of “Platinum Net,” a Fido protocol-based hacking network out of Canada. Typically held in July or August, DEF CON has evolved into a much larger, more prominent event for information security professionals, attended by hackers, cryptographers, lawyers, law enforcement agents, and a variety of professionals representing a range of disciplines.

网址:https://www.defcon.org/

Black Hat USA 2019

时间:August 3–8, 2019

简介:Now in its 22nd year, Black Hat USA is the world’s leading information security event, providing attendees with the very latest in research, development and trends. Black Hat USA 2019 opens with four days of technical Trainings (August 3-6) followed by the two-day main conference (August 7-8) featuring Briefings, Arsenal, Business Hall, and more.

网址:https://www.blackhat.com/us-19/

发表评论