绿盟科技网络安全威胁周报 201803

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比数量有所上升。

1.2 威胁信息回顾

• 标题：OnePlus denies checkout page hack amid credit card fraud reports
  • 时间：2018-01-15
  • 摘要：OnePlus, a Shenzhen based Chinese smartphone manufacturer has denied that its checkout page was compromised due to a Magento bug. The statement from OnePlus came in response to a number of customers who reported credit card fraud and purchases after buying OnePlus smartphones from its official website (OnePlus.net) between October and December 2017.
  • 链接：https://www.hackread.com/oneplus-denies-checkout-page-hack-credit-card-fraud/
• 标题：戳穿骗局！是谁“制造”了微处理器CPU skyfall漏洞和solace漏洞？
  • 时间：2018-01-19
  • 摘要：近日又有消息称， 英特尔Meltdown和Spectre漏洞补丁 风波还在延续，又有了skyfall漏洞和solace漏洞，还做了两个网站（怀疑有可能用于 网络钓鱼 ，就不用文本表述网站地址了，截图如下）
  • 链接：http://toutiao.secjia.com/skyfall-solace-fakenews
• 标题：美特朗普签署外国情报监控法FISA
  • 时间：2018-01-22
  • 摘要：cnbeta称据外媒报道，当地时间1月19日，美特朗普总统宣布他已经在对《 外国情报监控法 （FISA）第702条修改再授权法》上签名，也就是说，这个备受争议的新监控条款成为法律。获悉，最新授权将在2023年12月到期。
  • 链接：http://toutiao.secjia.com/signed-fisa-702
• 标题：2.5万软件集成平台Jenkins暴露在互联网 大量敏感证书及日志泄露
  • 时间：2018-01-22
  • 摘要：研究人员表示，没有利用任何 软件集成平台 Jenkins 漏洞，就在互联网上发现了暴露 2万5千个Jenkins实例 ，从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件，这都可能会引发 数据泄露 事件。
  • 链接：http://toutiao.secjia.com/jenkins-databreach
• 标题：DNS Servers Crash Due to BIND Security Flaw
  • 时间：2018-01-17
  • 摘要：Updates released by the Internet Systems Consortium (ISC) for BIND patch a remotely exploitable security flaw that has caused some DNS servers to crash.
  • 链接：http://www.securityweek.com/dns-servers-crash-due-bind-security-flaw?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
• 标题：DedeCMS最新版前台任意用户登录漏洞分析
  • 时间：2018-01-21
  • 摘要：DedeCMS最近又有一个缺陷被爆出来，可以绕过一些判断条件从而导致前台任意用户登录，配合上一个重置密码漏洞，可以达到从前台登录管理员账户并修改dede_admin表里的密码，也就是真正修改了管理员密码。下面来简单分析一下
  • 链接：https://blog.nsfocus.net/dedecms-loophole-2/
• 标题：新型KillDisk变种攻击拉丁美洲金融机构
  • 时间：2018-01-17
  • 摘要：近日，一种新型的KillDisk变种攻击被发现，该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明，该攻击可能是另一个有效载荷的一部分，或者背后存在着更大规模的攻击。
  • 链接：https://blog.nsfocus.net/new-killdisk/
• 标题：ATTACKERS USE MICROSOFT OFFICE VULNERABILITIES TO SPREAD ZYKLON MALWARE
  • 时间：2018-01-17
  • 摘要：Spam campaigns delivering Zyklon HTTP malware are attempting to exploit three relatively new Microsoft Office vulnerabilities. The attacks are targeting telecommunications, insurance and financial service firms.
  • 链接：https://threatpost.com/attackers-use-microsoft-office-vulnerabilities-to-spread-zyklon-malware/129503/
• 标题：GOOGLE AWARDS RECORD $112,500 BOUNTY FOR ANDROID EXPLOIT CHAIN
  • 时间：2018-01-18
  • 摘要：Prolific bug hunter Guang Gong has earned the highest-ever payout for a vulnerability in the history of Google’s Android Security Rewards program, which began in 2015.
  • 链接：https://threatpost.com/google-awards-record-112500-bounty-for-android-exploit-chain/129519/
• 标题：GOOGLE CHROME ONCE AGAIN TARGET OF MALICIOUS EXTENSIONS
  • 时间：2018-01-16
  • 摘要：Researchers at network security vendor ICEBRG recently discovered four malicious extensions in the official Google Chrome Web Store with a combined user count of more than 500,000, and as with past incidents, the implications are serious for both consumers and enterprises.
  • 链接：https://threatpost.com/google-chrome-once-again-target-of-malicious-extensions/129443/
• 标题：New Mirai Okiru Botnet targets devices running widely-used ARC Processors
  • 时间：2018-01-15
  • 摘要：Although the original creators of Mirai DDoS botnet have already been arrested and jailed, the variants of the infamous IoT malware are still in the game due to the availability of its source code on the Internet.
  • 链接：https://thehackernews.com/2018/01/mirai-okiru-arc-botnet.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
• 标题：Powerful Skygofree spyware was reported in November by Lukas Stefanko and first analyzed by CSE CybSec
  • 时间：2018-01-16
  • 摘要：The Skygofree spyware analyzed by Kaspersky today was first spotted by the researcher Lukas Stefanko and the first analysis was published last year by the CSE Cybsec ZLab.
  • 链接：http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html
• 标题：LeakedSource Founder Arrested for Selling 3 Billion Stolen Credentials
  • 时间：2018-01-16
  • 摘要：Canadian authorities have arrested and charged an Ontario man for operating a website that collected ‘stolen’ personal identity records and credentials from some three billion online accounts and sold them for profit.
  • 链接：https://thehackernews.com/2018/01/leakedsource-operator-charged.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
• 标题：New BitTorrent Flaw Puts Linux & Windows devices at risk of hacking
  • 时间：2018-01-16
  • 摘要：Tavis Ormandy, an IT security researcher at Google’s Project Zero has identified a critical flaw in Transmission BitTorrent app that if exploited lets attackers take full control of a targeted computer on Linux or Windows operating system.
  • 链接：https://www.hackread.com/bittorrent-flaw-linux-windows-devices-hacking/
• 标题：Facebook Password Stealing Apps Found on Android Play Store
  • 时间：2018-01-18
  • 摘要：Even after many efforts made by Google last year, malicious apps always somehow manage to make their ways into Google app store.
  • 链接：https://thehackernews.com/2018/01/facebook-password-hacking-android.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
• 标题：Booby-Trapped Messaging Apps Used for Spying: Researchers
  • 时间：2018-01-18
  • 摘要：An espionage campaign using malware-infected messaging apps has been stealing smartphone data from activists, soldiers, lawyers, journalists and others in more than 20 countries, researchers said in a report Thursday.
  • 链接：http://www.securityweek.com/booby-trapped-messaging-apps-used-spying-researchers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
• 标题：2018网络安全发展趋势 2018勒索软件7大预测
  • 时间：2018-01-18
  • 摘要：2018网络安全发展趋势我们说了不少，但2018年勒索软件又会如何变化？当您得知大多数 勒索软件 受害者，都选择支付赎金恢复其数据，你可能会感到惊讶。例如， SamSam勒索软件攻击美国某医院 ，院方被迫支付赎金5万多美元
  • 链接：http://toutiao.secjia.com/2018-ransomware-predictions
• 标题：2018网络安全规划：金融网络安全建设方案（含方法和内容）
  • 时间：2018-01-19
  • 摘要：金融企业是指执行业务需要取得金融监管部门授予的金融业务许可证的企业。其中，执业需取得证券业务许可证的证券公司、期货公司和基金管理公司等，与银行类一样，同属于国家重要信息系统范围。相较于银行类金融企业网络安全工作，证券类金融企业在网络安全的整体建设方面存在一些差异。首先， 时间维度来看 ，证券类存在明显的交易时间段与非交易时间段，交易时间段的网络、系统可用性要求很高。 系统维度来看 ，证券类相对较集中，对外服务的重要系统以交易WEB平台和交易APP为主。归结到 安全威胁 维度，由于存在交易时段和资金交易，证券类面对拒绝服务攻击、网络入侵、和数据窃取威胁，如具有 APT （高级持续性威胁）特性的“基金幽灵”威胁。
  • 链接：http://toutiao.secjia.com/2018-fin-securityplan

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年1月19日，绿盟科技漏洞库已收录总条目达到38680条。本周新增漏洞记录59条，其中高危漏洞数量1条，中危漏洞数量26条，低危漏洞数量32条。

• Cisco WebEx Network Recording Player缓冲区溢出漏洞（CVE-2018-0103）
  • 危险等级:中
  • BID:102369
  • cve编号:CVE-2018-0103
• ImageMagick拒绝服务漏洞（CVE-2017-1000445）
  • 危险等级:中
  • BID:102368
  • cve编号:CVE-2017-1000445
• Google Android多个Qualcomm组件安全漏洞
  • 危险等级:低
  • BID:102386
  • cve编号:CVE-2017-14911,CVE-2017-14906,CVE-2017-14912,CVE-2017-14913,CVE-2017-14915,CVE-2017-11010
• Google Android NVIDIA组件权限提升漏洞(CVE-2017-0869)
  • 危险等级:低
  • BID:102374
  • cve编号:CVE-2017-0869
• Cisco WebEx Network Recording Player远程代码执行漏洞（CVE-2018-0104）
  • 危险等级:中
  • BID:102382
  • cve编号:CVE-2018-0104
• Google Android Kernel组件权限提升及信息泄露安全漏洞
  • 危险等级:低
  • BID:102390
  • cve编号:CVE-2017-13215,CVE-2017-13216,CVE-2017-13218
• VMware vSphere Data Protection身份验证绕过漏洞（CVE-2017-15548）
  • 危险等级:中
  • BID:102352
  • cve编号:CVE-2017-15548
• IBM MQ 拒绝服务漏洞（CVE-2017-1557）
  • 危险等级:低
  • BID:102418
  • cve编号:CVE-2017-1557
• EMC Document Sciences xPression SQL注入漏洞（CVE-2017-14960）
  • 危险等级:中
  • BID:102419
  • cve编号:CVE-2017-14960
• Advantech WebAccess拒绝服务漏洞（CVE-2017-16728）
  • 危险等级:低
  • BID:102424
  • cve编号:CVE-2017-16728
• Advantech WebAccess栈缓冲区溢出漏洞（CVE-2017-16724）
  • 危险等级:低
  • BID:102424
  • cve编号:CVE-2017-16724
• Advantech WebAccess路径遍历漏洞（CVE-2017-16720）
  • 危险等级:低
  • BID:102424
  • cve编号:CVE-2017-16720
• Advantech WebAccess SQL注入漏洞（CVE-2017-16716）
  • 危险等级:中
  • BID:102424
  • cve编号:CVE-2017-16716
• Advantech WebAccess拒绝服务漏洞（CVE-2017-16753）
  • 危险等级:低
  • BID:102424
  • cve编号:CVE-2017-16753
• ImageMagick ReadDDSInfo拒绝服务漏洞（CVE-2017-1000476）
  • 危险等级:中
  • BID:102428
  • cve编号:CVE-2017-1000476
• ImageMagick ReadPWPImage内存泄露漏洞（CVE-2017-18008）
  • 危险等级:低
  • BID:102346
  • cve编号:CVE-2017-18008
• IBM Security Key Lifecycle Manager SQL注入漏洞（CVE-2017-1670）
  • 危险等级:中
  • BID:102429
  • cve编号:CVE-2017-1670
• IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1668）
  • 危险等级:低
  • BID:102430
  • cve编号:CVE-2017-1668
• IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1727）
  • 危险等级:低
  • BID:102432
  • cve编号:CVE-2017-1727
• ImageMagick ReadSIXELImage堆缓冲区溢出漏洞（CVE-2018-5248）
  • 危险等级:低
  • BID:102431
  • cve编号:CVE-2018-5248
• Malwarebytes Premium本地拒绝服务漏洞（CVE-2018-5279）
  • 危险等级:中
  • BID:102453
  • cve编号:CVE-2018-5279
• Palo Alto Networks PAN-OS信息泄露漏洞（CVE-2017-1784）
  • 危险等级:低
  • BID:102458
  • cve编号:CVE-2017-1784
• Palo Alto Networks PAN-OS跨站脚本漏洞（CVE-2017-15941）
  • 危险等级:低
  • BID:102446
  • cve编号:CVE-2017-15941
• Cisco Node-jose Library远程安全限制绕过漏洞（CVE-2018-0114）
  • 危险等级:中
  • BID:102445
  • cve编号:CVE-2018-0114
• Oracle WebLogic Server拒绝服务漏洞（CVE-2017-10352）
  • 危险等级:中
  • BID:102442
  • cve编号:CVE-2017-10352
• IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1665）
  • 危险等级:低
  • BID:102439
  • cve编号:CVE-2017-1665
• Oracle WebLogic Server未授权访问漏洞（CVE-2017-10334）
  • 危险等级:低
  • BID:102444
  • cve编号:CVE-2017-10334
• IBM Security Key Lifecycle Manager XML外部实体注入漏洞（CVE-2017-1666）
  • 危险等级:低
  • BID:102434
  • cve编号:CVE-2017-1666
• IBM Security Key Lifecycle Manager跨站脚本漏洞（CVE-2017-1673）
  • 危险等级:低
  • BID:102436
  • cve编号:CVE-2017-1673
• ImageMagick MontageImageCommand内存泄露漏洞（CVE-2017-18022）
  • 危险等级:低
  • BID:102346
  • cve编号:CVE-2017-18022
• F5 BIG-IP多个产品远程拒绝服务漏洞（CVE-2017-6134）
  • 危险等级:中
  • BID:102466
  • cve编号:CVE-2017-6134
• F5 BIG-IP多个产品远程拒绝服务漏洞（CVE-2017-6133）
  • 危险等级:中
  • BID:102467
  • cve编号:CVE-2017-6133
• Cisco Unified Communications Manager跨站脚本漏洞（CVE-2018-0118）
  • 危险等级:中
  • BID:102478
  • cve编号:CVE-2018-0118
• IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1664）
  • 危险等级:低
  • BID:102470
  • cve编号:CVE-2017-1664
• Linux Kernel本地释放后重利用内存破坏漏洞（CVE-2017-15129）
  • 危险等级:中
  • BID:102485
  • cve编号:CVE-2017-15129
• Huawei ME906S产品本地权限提升漏洞（CVE-2017-8185）
  • 危险等级:中
  • BID:102473
  • cve编号:CVE-2017-8185
• Rockwell Automation MicroLogix 1400 Controllers栈缓冲区溢出漏洞（CVE-2017-16740）
  • 危险等级:中
  • BID:102474
  • cve编号:CVE-2017-16740
• Malwarebytes Premium本地拒绝服务漏洞（CVE-2018-5271）
  • 危险等级:中
  • BID:102471
  • cve编号:CVE-2018-5271
• IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1669）
  • 危险等级:低
  • BID:102468
  • cve编号:CVE-2017-1669
• ImageMagick ReadPATTERNImage内存泄露漏洞（CVE-2018-5246）
  • 危险等级:低
  • BID:102469
  • cve编号:CVE-2018-5246
• Exiv2 ‘jp2image.cpp’远程拒绝服务漏洞（CVE-2018-4868）
  • 危险等级:中
  • BID:102477
  • cve编号:CVE-2018-4868
• VMware多个产品整数溢出漏洞（CVE-2017-4950）
  • 危险等级:中
  • BID:102490
  • cve编号:CVE-2017-4950
• VMware多个产品远程代码执行漏洞（CVE-2017-4949）
  • 危险等级:中
  • BID:102489
  • cve编号:CVE-2017-4949
• Apache Geode远程代码执行漏洞（CVE-2017-9795）
  • 危险等级:中
  • BID:102488
  • cve编号:CVE-2017-9795
• IBM Security Key Lifecycle Manager 目录遍历漏洞（CVE-2017-1671）
  • 危险等级:低
  • BID:102487
  • cve编号:CVE-2017-1671
• Linux Kernel ‘drivers/block/loop.c’本地拒绝服务漏洞（CVE-2018-5344）
  • 危险等级:低
  • BID:102503
  • cve编号:CVE-2018-5344
• ImageMagick ReadMATImage内存泄露漏洞（CVE-2017-18029）
  • 危险等级:低
  • BID:102519
  • cve编号:CVE-2017-18029
• Linux Kernel ‘net/rds/rdma.c’本地拒绝服务漏洞（CVE-2018-5333）
  • 危险等级:低
  • BID:102510
  • cve编号:CVE-2018-5333
• Linux Kernel ‘fs/userfaultfd.c’本地释放后重利用内存破坏漏洞（CVE-2017-15126）
  • 危险等级:中
  • BID:102516
  • cve编号:CVE-2017-15126
• Linux Kernel ‘mm/hugetlb.c’本地拒绝服务漏洞（CVE-2017-15127）
  • 危险等级:低
  • BID:102517
  • cve编号:CVE-2017-15127
• Atlassian JIRA IncomingMailServers 跨站脚本漏洞（CVE-2017-16862）
  • 危险等级:低
  • BID:102506
  • cve编号:CVE-2017-16862
• Linux Kernel ‘net/rds/rdma.c’本地拒绝服务漏洞（CVE-2018-5332）
  • 危险等级:中
  • BID:102507
  • cve编号:CVE-2018-5332
• Atlassian JIRA跨站脚本漏洞（CVE-2017-16864）
  • 危险等级:低
  • BID:102505
  • cve编号:CVE-2017-16864
• Wireshark WCP Dissector epan/tvbparse.c拒绝服务漏洞（CVE-2018-5336）
  • 危险等级:中
  • BID:102504
  • cve编号:CVE-2018-5336
• Wireshark WCP Dissector ‘epan/dissectors/packet-wcp.c’拒绝服务漏洞（CVE-2018-5335）
  • 危险等级:中
  • BID:102500
  • cve编号:CVE-2018-5335
• Wireshark IxVeriWave文件解析器拒绝服务漏洞（CVE-2018-5334）
  • 危险等级:中
  • BID:102499
  • cve编号:CVE-2018-5334
• ImageMagick ReadDCMImage内存泄露漏洞（CVE-2018-5357）
  • 危险等级:低
  • BID:102497
  • cve编号:CVE-2018-5357
• IBM Security Access Manager跨站脚本漏洞（CVE-2017-1533）
  • 危险等级:低
  • BID:102496
  • cve编号:CVE-2017-1533
• IBM Security Access Manager本地信息泄露漏洞（CVE-2017-1478）
  • 危险等级:低
  • BID:102502
  • cve编号:CVE-2017-1478

（数据来源：绿盟科技安全研究部&产品规则组）

2.2 焦点漏洞

• 焦点漏洞
  • Cisco WebEx Network Recording Player远程代码执行漏洞
  • NSFOCUS ID
    • 38626
  • CVE ID
    • CVE-2018-0104
  • 受影响版本
    • Cisco WebEx Network Recording Player
  • 漏洞点评
    • Cisco WebEx Meetings是思科推出的网络会议解决方案。Cisco WebEx Network Recording Player在处理特殊构造的ARF文件中存在安全漏洞，成功利用后可使攻击者在受影响系统上执行任意代码。目前厂商已经为此发布了一个安全公告（cisco-sa-20180103-warfp）以及相应补丁，请使用此产品的用户及时到厂商页面下载更新。

（数据来源：绿盟科技安全研究部&产品规则组）