【安全报告】网络安全威胁月报–201711

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

2017年11月数据统计

  • 高危漏洞发展趋势

2017年11月绿盟科技安全漏洞库共收录173个漏洞, 其中高危漏洞32个,微软高危漏洞6个,10月监测到CVE公布高危漏洞数量为41个。相比10月份漏洞数量基本持平。

备注:由于nvd(https://nvd.nist.gov/)改版,导致数据出现明显数量波动,可能未在数量上反映出真实的威胁态势

  • 互联网安全漏洞

维基解密发布CIA网络武器库Vault8 今天发布蜂巢Hive工具箱

来源:http://toutiao.secjia.com/cia-hive

简述:维基解密发布了第一批CIA 网络武器源代码。今天发布的源代码是一个叫做蜂巢Hive的工具箱, 所谓的植入框架, 一个允许 CIA 特工在受感染的计算机上部署恶意软件的系统。

 

卡巴发布2017Q3APT威胁报告

来源:http://toutiao.secjia.com/2017q3-apt-report

简述:近日卡巴斯基发布了2017Q3APT威胁报告,报告整合了Q3主要的10多个 APT攻击 报告并进行了分析及预测,报告指出许多威胁发起方的注意力可能正在向更危险的方向转移。与传统攻击方式(如鱼叉式钓鱼)相比,对供应链的成功攻击能让攻击者攻入更大范围的目标。

 

Apache CouchDB远程提权漏洞CVE-2017-12635

来源:http://toutiao.secjia.com/couchdb-rpe-cve-2017-12635

简述:Apache CouchDB爆出 远程提权漏洞 ,CVEID CVE-2017-12635,远程攻击者可以利用这个问题,绕过某些限制并进行权限提升。Apache CouchDB版本1.7.0之前, 2.X版本2.1.1之前受到影响。

 

Windows爆出ASLR 0Day漏洞

来源:http://toutiao.secjia.com/windows-aslr-0day

简述:美国计算机应急准备小组CERT警告说,微软执行地址空间布局随机化ASLR 0Day漏洞 会影响Windows 8、Windows 8.1和Windows 10。此漏洞可能允许远程攻击者控制受影响的系统。微软称正在调查此事,但没有给出补丁,也没有置评。

 

拧紧保护学生个人信息这根弦 严禁公示个人敏感信息

来源:http://toutiao.secjia.com/moe-protects-students-privacy

简述:20日,安全加转载 多地高校国家奖学金名单公示,泄露学生个人信息包括身份证号码 。很多人不以为然,表示“学校历来如此,还要你搞技术的提醒?”但教育部还是重视学生个人数据泄露这个事情的。

 

AVGater漏洞突破防病毒软件 影响大批知名杀毒软件 PoC已经公开

来源:http://toutiao.secjia.com/avgater-broke-av

简述:一个研究人员在星期五警告说, 一些流行的防病毒产品受某种类型漏洞的影响, 攻击者可以通过滥用隔离功能,来进行本地提权。

 

优步支付黑客10万美元 掩盖5700万优步用户数据泄露事件

来源:http://toutiao.secjia.com/uber-databreach-57-million

简述:Uber新任首席执行官Dara Khosrowshahi透露,2016年发生了一起重大 数据泄露 事件,该事件中黑客攻击并窃取了5700万名Uber客户和司机的个人数据,而Uber并没有将此事告知监管机构,而选择与黑客和解,支付10万美金让黑客保持沉默

 

Icedid银行木马攻击美金融机构

来源:http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/

简述:近日,IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播,目标主要为美国金融行业的相关系统。据X-Force研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan)等现今银行木马的大部分功能。

 

Office内存破坏漏洞CVE-2017-11882

来源:http://toutiao.secjia.com/office-mcv-cve-2017-11882?from=timeline

简述:Microsoft Office再次爆出内存破坏漏洞 ,CVEID CVE-2017-11882 ,攻击者可以利用此问题,在当前登录用户的上下文中执行任意代码。失败的开发尝试可能会导致拒绝服务条件。受影响版本包括,Office 2016、Office 2013、Office 2010、Office 2007的相关版本。

 

微软发布通用数据保护条例合规工具Compliance Manager

来源:http://toutiao.secjia.com/ms-gdpr-compliance-manager

简述:在10月, 专家剖析欧盟通用数据保护条例GDPR的恐怖之处 ,GDPR明确指出,其中一项是治外法权条款。这意味着GDPR条例虽然适用于欧盟公民,但向该区域提供商品或服务非欧盟组织同样也需遵守该条例。而欧盟要求,违反 通用数据保护条例GDPR ,或面临最高两千万欧元罚金。

 

BadRabbit勒索软件

来源:http://blog.nsfocus.net/badrabbittechnical-analysis-protection-scheme/

简述:距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件已经在欧洲多个国家进行传播,其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国,并且已经扩散到美国。

 

(来源:绿盟科技威胁情报与网络安全实验室)

  • 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏

洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

  1. 2017-11-15 Microsoft Internet Explorer/Edge脚本引擎内存破坏漏洞(CVE-2017-11858)

NSFOCUS ID: 37986

http://www.nsfocus.net/vulndb/37986

综述:Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Edge/Microsoft Internet Explorer由于不正确的内存操作,在脚本引擎实现上存在安全漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统。

 

  1. 2017-10-31 Google V8栈缓冲区溢出漏洞(CVE-2017-15396)

NSFOCUS ID: 37901

http://www.nsfocus.net/vulndb/37901

综述:V8是Google的开源JavaScript引擎,用于Chrome中。Google V8在实现上存在栈缓冲区溢出漏洞,可使攻击者在受影响应用上下文中执行任意代码。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统。

 

  1. 2017-11-01 Apache Struts ‘TextParseUtil.translateVariables()’远程代码执行漏洞(CVE-2016-3090)

NSFOCUS ID: 37910

http://www.nsfocus.net/vulndb/37910

综述:Struts2 是构建企业级Jave Web应用的可扩展框架。Apache Struts 2.x < 2.3.20版本在TextParseUtil.translateVariables方法中存在安全漏洞,可使远程攻击者通过构造的OGNL表达式,执行任意代码。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器。

 

  1. 2017-11-09 Siemens SIMATIC PCS 7拒绝服务漏洞(CVE-2017-14023)

NSFOCUS ID: 37947

http://www.nsfocus.net/vulndb/37947

综述:SIMATIC PCS 7是分布式控制系统。Siemens SIMATIC PCS 7 V8.1 < V8.1 SP1/WinCC V7.3 Upd 13, V8.2版本在实现上存在输入验证漏洞。

危害:经过身份验证的远程攻击者可以通过DCOM接口发送构造的消息,造成服务崩溃。

 

  1. 2017-10-27 Samba任意文件写漏洞(CVE-2017-15087)

NSFOCUS ID: 37892

http://www.nsfocus.net/vulndb/37892

综述:Samba是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软件。由于CVE-2017-12163漏洞的不完全修复,Samba在实现上存在任意写或覆盖文件漏洞。

危害:攻击者利用此漏洞可写任意内容到samba共享或共享打印机上的文件。

 

  1. 2017-10-27 Apache OpenOffice远程代码执行漏洞(CVE-2017-12608)

NSFOCUS ID: 37887

http://www.nsfocus.net/vulndb/37887

综述:Apache OpenOffice是开放免费的文字处理软件。OpenOffice Writer DOC文件解析器及ImportOldFormatStyles存在安全漏洞。

危害:攻击者可以通过诱使受害者打开恶意doc文件来利用此漏洞,从而控制受害者系统。

 

  1. 2017-10-26 Citrix XenServer内存破坏漏洞(CVE-2017-15597)

NSFOCUS ID: 37873

http://www.nsfocus.net/vulndb/37873

综述:Citrix XenServer产品线是一种企业级平台,通过灵活的聚合计算和存储资源对数据中

心的服务器虚拟化进行管理。Citrix XenServer 7.2及之前版本在实现上存在安全漏洞。

危害:客户端VM恶意管理员可以利用此漏洞控制主机。

 

  1. 2017-11-03 多个思科产品本地命令注入漏洞(CVE-2017-12243)

NSFOCUS ID: 37929

http://www.nsfocus.net/vulndb/37929

综述:Cisco是互联网解决方案提供商。Cisco Unified Computing System (UCS) Manager, Cisco Firepower 4100 Series Next-Generation Firewall (NGFW)等产品由于没有正确验证shell应用内的字符串输入,存在安全漏洞。

危害:经身份验证的本地攻击者获取设备的root shell权限。

 

 

  1. 2017-11-22 VMware多个产品本地任意代码执行漏洞(CVE-2017-4935)

NSFOCUS ID: 38074

http://www.nsfocus.net/vulndb/38074

综述:VMware Workstation 是一款功能强大的桌面虚拟计算机。VMware多个产品在TPView.dll的JPEG2000解析器中存在越界写漏洞。

危害:客户端可以在主机上执行任意代码或造成拒绝服务。

 

  1. 2017-11-09 LibTIFF 多个本地内存破坏漏洞(CVE-2017-16232)

NSFOCUS ID: 37948

http://www.nsfocus.net/vulndb/37948

综述:LibTIFF是一个用来读写标签图像文件格式(简写为TIFF)的库。LibTIFF 4.0.8在实现上存在多个本地内存破坏漏洞,可使攻击者获取敏感信息或造成受影响应用崩溃。

危害:攻击者可以通过诱使受害者打开恶意tiff文件来利用此漏洞,从而控制受害者系统。

 

 

  • DDoS攻击类型

11月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近24387次攻击,与10月份相比,攻击次数明显降低,这个月的攻击类型分布来看,SYN为最主要的攻击类型,其次NTI、CHARGEN攻击占比都在20%左右

小提示

  • Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是8倍。
  • NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是9倍。
  • SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。

攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。

更多相关信息,请关注绿盟科技DDoS威胁报告。

博文精选

恶意样本分析手册–特殊方法篇

windows服务是由三个组件构成的:服务应用,服务控制程序SCP,以及服务控制管理器SCM,当SCM启动一个服务进程时,该进程必须立即调用StartServiceCtrlDispatcher函数。StartServiceCtrlDispatcher函数接受一个入口点列表,每个入口点对应于该进程中的一个服务。

恶意样本分析手册–特殊方法篇

 

打磨渗透测试人员的利器Kali Linux

Kali Linux是基于Debian的Linux发行版,专用于数字取证和渗透测试。在其中选择安装一些办公和常用的渗透测试软件,就能形成渗透测试人员的工作利器。本文既是介绍一些安装和调试方法。

【渗透测试】打磨渗透测试人员的利器Kali Linux

 

打磨渗透测试人员的利器Kali Linux

Kali Linux是基于Debian的Linux发行版,专用于数字取证和渗透测试。在其中选择安装一些办公和常用的渗透测试软件,就能形成渗透测试人员的工作利器。本文既是介绍一些安装和调试方法。

【渗透测试】打磨渗透测试人员的利器Kali Linux

 

【专题策划】“大数据安全”大起底

什么是大数据?“大数据”技术大盘点,运用大数据进行安全可视化

【专题策划】“大数据安全”大起底

 

 

 

(来源:绿盟科技博客)

安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

HITCON

时间:DECEMBER 7-8, 2017

简介: 繼 HITCON CMT Mission: Regain The Initiative 的前哨站,悄悄揭開了台灣年度資安盛會 HITCON Pacific 的序幕,我們可以看到今年整個攻擊的手法與規模都趨於泛化,表示威脅將越來越貼近大眾的日常生活,從水電、交通運輸到工廠生產系統、關鍵基礎設施及銀行等,或具有聯網能力之 IoT 設備,其遭受網路攻擊的機會大幅增加.

网址:https://hitcon.org/2017/pacific/

 



发表评论