网络安全威胁月报 201712

阅读： 2,825

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

2017年12月数据统计

高危漏洞发展趋势

2017年12月绿盟科技安全漏洞库共收录177个漏洞, 其中高危漏洞17个，微软高危漏洞11个，12月监测到CVE公布高危漏洞数量为257个。

互联网安全漏洞

激活工具KMSpico内含挖矿病毒事件的分析

来源：https://blog.nsfocus.net/kmspico/

简述：近日有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”，笔者对相应事件进行一番跟踪分析后发现，原作者的官方版本并不含挖矿病毒。

Weblogic WLS组件漏洞技术分析与防护方案

来源：https://blog.nsfocus.net/weblogic-vulnerability/

简述：近日，绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈，发现Weblogic主机被攻击者植入恶意程序，经分析，攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271)，构造payload下载并执行虚拟币挖矿程序，对Weblogic中间件主机进行攻击。

美加州选民1900多万条信息泄露 4G多数据包含公民个人敏感信息

来源：http://toutiao.secjia.com/california-voter-databreach

简述：一个新的、无保护的MongoDB数据库被发现了，内含4G多1900多万条加利福尼亚选民信息，包括每个注册选民的数据。这起事故与今年已被报道的多起选民数据泄露事故一样。Mongodb数据库相关的安全问题，今年已经出现过多次。

19-YEAR-OLD TLS VULNERABILITY WEAKENS MODERN WEBSITE CRYPTO

来源：https://threatpost.com/19-year-old-tls-vulnerability-weakens-modern-website-crypto/129158/

简述：A vulnerability called ROBOT, first identified in 1998, has resurfaced. Impacted are leading websites ranging from Facebook to Paypal, which are vulnerable to attackers that could decrypt encrypted data and sign communications using the sites’ own private encryption key。

Imgur—Popular Image Sharing Site Was Hacked In 2014; Passwords Compromised

来源：https://thehackernews.com/2017/11/imgur-data-breach.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

简述：20日，安全加转载多地高校国家奖学金名单公示，泄露学生个人信息包括身份证号码。很多人不以为然，表示“学校历来如此，还要你搞技术的提醒？”但教育部还是重视学生个人数据泄露这个事情的。

VMWare两个高危任意代码执行漏洞CVE-2017-4941/33 CVSS 9分

来源：http://toutiao.secjia.com/vmware-cve-2017-4941-33

简述：VMWare发布了6个补丁，分别是针对ESXi，Workstations12.5.8版，Fusion8.5.9版以及vCSA6.5 U1d。攻击者利用其中一些VMware漏洞，可以执行任意代码。其中4个高危漏洞的CVE分别是CVE-2017-4941、CVE-2017-4933、CVE-2017-4940、CVE-2017-4943，用户请尽快安装补丁。

Samba信息泄露漏洞CVE-2017-15275 同时留意CVE-2017-14746

来源：http://toutiao.secjia.com/samba-idv-cve-2017-15275

简述：上月， Samba爆出任意代码执行漏洞CVE-2017-14746 ，这个Samba 信息泄露漏洞是与其伴生的漏洞，攻击者可以利用这个问题获取潜在的敏感信息，获得的信息可能有助于进一步攻击。CVEID CVE-2017-15275，只有Samba Samba 4.7.3 、Samba Samba 4.6.11 、Samba Samba 4.5.15 不受影响

GoAhead httpd2.5 to 3.5 LD_PRELOAD远程代码执行漏洞（CVE-2017-17562)

来源：https://blog.nsfocus.net/cve-2017-17562-3/

简述：GoAhead Web Server 被爆出在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化分叉CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。当与glibc动态链接器结合使用时，使用特殊变量（如LD_PRELOAD）就可以实施远程代码执行。2017年12月18日针对该漏洞利用的PoC公开，请受影响的用户及时更新版本进行修复。

Apache Synapse 远程代码执行漏洞（CVE-2017-15708）

来源：https://blog.nsfocus.net/cve-2017-15708/

简述：Apache Synapse发布了新版本修复了一个远程代码执行漏洞（CVE-2017-15708）。该漏洞源于Apache Commons Collections组件，攻击者可以通过注入特制的序列化对象来远程执行代码。

Fastjson autotype 远程代码执行漏洞

来源：https://blog.nsfocus.net/cve-2017-15708/

简述：Fastjson于今年3月份曝出一个远程代码执行漏洞，官方随后通过默认关闭autotype功能和开启黑名单解决了该漏洞，但近日有研究人员发现该黑名单存在一定限制，在开启autotype功能后可以通过改变相关类名来绕过黑名单，从而实现远程代码执行。

Microsoft Malware Protection Engine远程代码执行漏洞

来源：https://blog.nsfocus.net/cve-2017-11937/

简述：北京时间12月7日，微软官方发布了一则通告表示其恶意软件防护引擎（Malware Protection Engine）存在一个远程代码执行漏洞（CVE-2017-11937）。

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏

洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

2017-12-22 Microsoft Malware Protection Engine远程代码执行漏洞（CVE-2017-11937）

NSFOCUS ID: 38472

链接:http://www.nsfocus.net/vulndb/38472

综述:Microsoft Malware Protection Engine是恶意程序保护引擎。Microsoft Malware Protection Engine未正确扫描构造的文件，在实现上存在内存破坏安全漏洞。

危害:本地攻击者可以在LocalSystem帐户安全上下文中执行任意代码，控制系统

2017-12-20 Linksys WVBR0-25远程命令注入漏洞（CVE-2017-17411）

NSFOCUS ID: 38446

链接:http://www.nsfocus.net/vulndb/38446

综述:Linksys是思科系统一个销售家用与小型业务用网络产品的部门。Linksys WVBR0-25在实现上存在远程命令注入漏洞，成功利用后可使攻击者在受影响设备上下文中执行任意命令。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

2017-12-14 Adobe Reader/Acrobat缓冲区溢出信息泄露漏洞(CVE-2017-16370)

NSFOCUS ID: 38372

链接:http://www.nsfocus.net/vulndb/38372

综述:Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe Acrobat/Reader多个版本在实现上存在缓冲区溢出漏洞，可使攻击者利用此漏洞通过无效的指针偏移，获取敏感数据。

危害:攻击者可以通过诱使受害者打开恶意pdf文件来利用此漏洞，从而控制受害者系统

2017-12-18 Google Chrome 63.0.3239.108之前版本多个安全漏洞（CVE-2017-15429）

NSFOCUS ID: 38428

链接:http://www.nsfocus.net/vulndb/38428

综述:Google Chrome是由Google开发的一款Web浏览工具。Chrome 63.0.3239.108之前版本在实现上存在多个安全漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

2017-12-14 Adobe Flash Player远程安全漏洞(CVE-2017-11305)

NSFOCUS ID: 38380

链接:http://www.nsfocus.net/vulndb/38380

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 27.0.0.187及之前版本存在回归问题，用户清除浏览器数据时，会造成全局设置文件重置。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞，从而控制受害者系统

2017-12-13 Microsoft Edge远程内存破坏漏洞（CVE-2017-11908）

NSFOCUS ID: 38345

链接:http://www.nsfocus.net/vulndb/38345

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Windows 10 1709/ChakraCore由于脚本引擎处理内存对象方式不当，在实现上存在安全漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

2017-12-12 Google Android Media Framework组件多个安全漏洞

NSFOCUS ID: 38307

链接:http://www.nsfocus.net/vulndb/38307

综述:Android是基于Linux开放性内核的手机操作系统。Google Android在实现上存在多个安全漏洞。

危害:攻击者利用此漏洞可获取提升的权限，执行任意代码，拒绝服务攻击

2017-12-22 VMware多个产品远程栈溢出漏洞（CVE-2017-4941）

NSFOCUS ID: 38468

链接:http://www.nsfocus.net/vulndb/38468

综述:VMware Workstation 是一款功能强大的桌面虚拟计算机。VMware ESXi/Workstation/Fusion在实现上存在栈溢出安全漏洞。

危害:攻击者可以通过特定的VNC数据包组，造成栈溢出，在虚拟机中执行远程代码

2017-12-22 Trend Micro Encryption for Email远程代码执行漏洞（CVE-2017-11397）

NSFOCUS ID: 38465

链接:http://www.nsfocus.net/vulndb/38465

综述:Trend Micro Encryption for Email是电子邮件加密解决方案。Trend Micro Encryption for Email 5.6及更早版本在实现上存在服务DLL预加载漏洞。

危害:未经身份验证的远程攻击者可以在系统上执行任意代码

2017-11-27 Joomla! ‘com_tag’ SQL注入漏洞（CVE-2017-15946）

NSFOCUS ID: 38094

链接:http://www.nsfocus.net/vulndb/38094

综述:Joomla是内容管理系统。Joomla! ‘com_tag’组件在实现上存在SQL注入漏洞，攻击者利用此漏洞可访问或修改数据，利用下层数据库的其他漏洞，

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问。

DDoS攻击类型

12月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近6148次攻击，与11月份相比，攻击次数明显降低，这个月的攻击类型分布来看，UDP为最主要的攻击类型，其次SSDP攻击占20%左右，ACK、NTP、SYN比例相对较低

小提示

Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是8倍。
NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是9倍。
SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议，而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

更多相关信息，请关注绿盟科技DDoS威胁报告。

博文精选

OWASP TOP 10 2017 | 最新十大WEB安全风险你都GET到了吗？

近几年，云、大数据、物联网、人工智能等技术广泛应用，软件开发过程引入敏捷开发和DevOps实现开发运维工作自动化、版本快速迭代。迅速扩张的攻击面也伴随而来，攻击者总是能找到新的攻击面。在此背景下，时隔4年我们再次迎来OWASP Top 10（十大Web应用安全风险）的正式更新。

https://blog.nsfocus.net/owasp-top-10-2017/

恶意样本分析手册——通讯篇

传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通讯，在此基础上还有利用 HTTP/HTTPS，IRC，P2P 等其他应用层协议来进行通讯的。一般来说在调试网络通信的过程中，无论恶意软件采用何种协议均对我们所关注的内容无太多影响，只需要获取到对应的网络通信数据即可，而且在调试方法上基本无差别，故我们将以调试利用 TCP 通信的样本为例，讲述如何调试样本中的网络通信部分。对于其他常见的应用层协议，我们将对其网络结构及相关的僵尸网络构建方式和方法进行简单描述，便于读者理解

https://blog.nsfocus.net/msartele/

2017 物联网安全研究报告

中国电信安全帮携手绿盟科技联合发布《2017 物联网安全研究报告》，旨在进一步加强物联网安全建设，向社会提供有关物联网安全状况的权威数据。

https://blog.nsfocus.net/iot-security-report-2017/

（来源：绿盟科技博客）

安全会议

安全会议是从近期召开的若干信息安全会议中选出，仅供参考。

FloCon 2018

时间：January 8-11, 2018

简介: FloCon provides a forum for exploring large-scale, next-generation data analytics in support of security operations. FloCon is geared toward operational analysts, tool developers, researchers, security professionals, and others interested in applying cutting-edge techniques to analyze and visualize large datasets for protection and defense of networked systems.

网址：https://resources.sei.cmu.edu/news-events/events/flocon/