绿盟科技互联网安全威胁周报 ——第201750周

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

一. 互联网安全威胁态势

1.1 CVE统计

cve-201749

最近一周CVE公告总数与前期相比基本持平。

1.2 威胁信息回顾

  • 标题:激活工具KMSpico内含挖矿病毒事件
    • 时间:2017-12-21
    • 摘要:近日有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”,笔者对相应事件进行一番跟踪分析后发现,原作者的官方版本并不含挖矿病毒。
    • 链接:https://blog.nsfocus.net/kmspico/
  • 标题:Weblogic WLS组件漏洞
    • 时间:2017-12-22
    • 摘要:近日,绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者植入恶意程序,经分析,攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271),构造payload下载并执行虚拟币挖矿程序,对Weblogic中间件主机进行攻击。
    • 链接:https://blog.nsfocus.net/weblogic-wls-component-vulnerability-technology/
  • 标题:Copperfield恶意软件RAT攻击中东关键基础设施 据称我国也有感染
    • 时间:2017-12-21
    • 摘要:FireEye曾报道近期一起 工控安全 攻击事件,在这起事件中, 民族国家行为者中断了中东一处关键基础设施的运营 。数日之后,出现了另一起报道,是关于一起针对该地区类似组织的新网络攻击行为。
    • 链接:http://toutiao.secjia.com/copperfield-attack-critical-infrastructure
  • 标题:HUAWEI ROUTER VULNERABILITY USED TO SPREAD MIRAI VARIANT
    • 时间:2017-12-22
    • 摘要:Researchers have identified a vulnerability in a Huawei home router model that is being exploited by an adversary to spread a variant of the Mirai malware called Okiku, also known as Satori.
    • 链接:https://threatpost.com/huawei-router-vulnerability-used-to-spread-mirai-variant/129238/
  • 标题:Linksys无线网桥WVBR0-25远程命令注入漏洞CVE-2017-17411
    • 时间:2017-12-20
    • 摘要:攻击者利用该漏洞,可以使用用户权限,在受影响设备的上下文中执行任意命令。Linksys的wvbr0-25受影响,其他版本也可能受到影响。有消息称,签约AT&T公司DirecTV服务的用户可能会在服务使用中受到黑客攻击。
    • 链接:http://toutiao.secjia.com/linksys-wvbr0-25-rci
  • 标题:美加州选民1900多万条信息泄露 4G多数据包含公民个人敏感信息
    • 时间:2017-12-19
    • 摘要:一个新的、无保护的MongoDB数据库被发现了,内含4G多1900多万条加利福尼亚选民信息,包括每个注册选民的数据。这起事故与今年已被报道的多起选民 数据泄露 事故一样。Mongodb数据库相关的安全问题,今年已经出现过多次了
    • 链接:http://toutiao.secjia.com/california-voter-databreach
  • 标题:Hidden Backdoor Found In WordPress Captcha Plugin Affects Over 300,000 Sites
    • 时间:2017-12-09
    • 摘要:Buying popular plugins with a large user-base and using it for effortless malicious campaigns have become a new trend for bad actors.
    • 链接:https://thehackernews.com/2017/12/wordpress-security-plugin.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
  • 标题:GOOGLE PLAY BOOTS 3 FAKE BITCOIN WALLET APPS
    • 时间:2017-12-21
    • 摘要:Google moved quickly to kick three fake bitcoin wallet apps from its Google Play marketplace earlier this month after researchers at mobile security firm Lookout discovered them.
    • 链接:https://threatpost.com/google-play-boots-3-fake-bitcoin-wallet-apps/129216/
  • 标题:NISSAN CANADA FINANCE NOTIFIES 1.1 MILLION OF DATA BREACH
    • 时间:2017-12-22
    • 摘要:Nissan Canada Finance notified 1.13 million customers on Thursday of a data breach impacting an unspecified number of past and present customers.
    • 链接:https://threatpost.com/nissan-canada-finance-notifies-1-1-million-of-data-breach/129233/
  • 标题:Beware of Cryptocurrency Mining Virus Spreading Through Facebook Messenger
    • 时间:2017-12-21
    • 摘要:If you receive a video file (packed in zip archive) sent by someone (or your friends) on your Facebook messenger — just don’t click on it.
    • 链接:https://thehackernews.com/2017/12/cryptocurrency-hack-facebook.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
  • 标题:Windows 10 Hello facial recognition feature can be spoofed with photos
    • 时间:2017-12-20
    • 摘要:Experts discovered that the Windows 10 facial recognition security feature Hello can be spoofed using a photo of an authorized user.
    • 链接:http://securityaffairs.co/wordpress/66964/hacking/win10-hello-facial-recognition-bypass.html
  • 标题:星巴克某店Wifi被利用挖矿 事发后称店内Wifi不是他们运营的
    • 时间:2017-12-18
    • 摘要:上周星巴克出现店内Wifi被利用,用于挖矿的事件。整个事情是由Stensul CEO诺亚·丁金(Noah Dinkin)发现的,他在布宜诺斯艾利斯的一家星巴克店内连接Wifi,却发现他的笔记本电脑在不知不觉中成了一个 加密货币 的矿工。
    • 链接:http://toutiao.secjia.com/starbucks-wifi-cryptocurrency-miners

业界动态
– 标题:全国人大执法检查组提请审议”一法一决定”实施情况报告 给出7方面建议
– 时间:2017-12-25
– 摘要:在今年 9月至10月,全国人大常委会6个检查组分赴各省执法检查,重点监督一法一决定实施情况 。12月24日,检查组第十二届全国人民代表大会常务委员会第三十一次会议上提交报告并提请审议,报告介绍了贯彻实施“一法一决定”的做法和成效,并就工作中存在的困难和问题,给出了7个方面的工作建议。
– 链接:http://toutiao.secjia.com/npc-law-enforcement-report

  • 标题:2018网络安全规划:9个趋势15类型事件11点希望 数百家企业5个预算选择
    • 时间:2017-12-20
    • 摘要:本文回顾了9个机构归纳的2018年网络安全发展趋势,并预测15个可能发生的2018年网络安全事件类型,有鉴于此大家还给出了11点网络安全方面的希望和建议,最后提供一份来自ESG/ISSA 的调查报告,报告显示数百家企业在制定2018年网络安全预算的时候,作出的5个共性考虑与选择,这可以作为您的2018网络安全规划的参考。
    • 链接:http://toutiao.secjia.com/2018-cybersecurity-plan
  • 标题:2018网络安全规划:CISO们需要考虑5个问题 首要是全球性合规法规
    • 时间:2017-12-21
    • 摘要:近日,外媒给出了 2018网络安全规划中的9个趋势15类型事件11点希望 ,并提到 ISSA报告《网络安全专家的生活和时代》中表示, 在数百家企业5个预算选择 。今天这篇文章是从 首席信息安全官CISO的角度出发,思考自己所面临着日益严峻的威胁形势,这包括缺乏熟练的网络安全专业人员,缺乏 网络安全最佳实践意识 的非技术型员工。2018年,每个 CISO 都必须做出与其组织安全有关的重大决策。这个关键点,让我们不妨给CISO们提几个问题。
    • 链接:http://toutiao.secjia.com/2018-ciso-cybersecurity-plan
  • 标题:黑客攻击调查报告 以攻击者的视角验证防御有效性
    • 时间:2017-12-21
    • 摘要:近日,数据泄露和攻击模拟供应商SafeBreach发布了第三版“黑客手册调查报告”,该报告以独特的 红队视角 衡量了企业安全趋势。攻击者的看法。报告汇总了1150万次模拟攻击中,超过3,400种数据泄露方法的知识和经验,发现 恶意软件 渗透成功率超过60%, 横向移动攻击 成功率高达70%。在大多数情况下,组织似乎在不断地实施安全控制,但却没有实现一个有凝聚力的防御战略,甚至在某些情况下,完全忽略了风险。
    • 链接:http://toutiao.secjia.com/safebreach-hacker-playbook

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2017年12月22日,绿盟科技漏洞库已收录总条目达到38472条。本周新增漏洞记录50条,其中高危漏洞数量5条,中危漏洞数量33条,低危漏洞数量12条。

  • Asterisk 远程拒绝服务漏洞(CVE-2017-17664)
    • 危险等级:低
    • BID:102201
    • cve编号:CVE-2017-17664
  • Hitachi Vantara Pentaho BA Platform跨站请求伪造漏洞(CVE-2016-10701)
    • 危险等级:中
    • BID:102200
    • cve编号:CVE-2016-10701
  • Alteon 信息泄露漏洞(CVE-2017-17427)
    • 危险等级:中
    • BID:102199
    • cve编号:CVE-2017-17427
  • Cisco NX-OS System Software本地命令注入漏洞(CVE-2017-12339)
    • 危险等级:中
    • BID:102198
    • cve编号:CVE-2017-12339
  • Erlang/OTP信息泄露漏洞(CVE-2017-1000385)
    • 危险等级:中
    • BID:102197
    • cve编号:CVE-2017-1000385
  • Google Chrome 63.0.3239.108之前版本多个安全漏洞(CVE-2017-15429)
    • 危险等级:中
    • BID:102196
    • cve编号:CVE-2017-15429
  • Bouncy Castle信息泄露漏洞(CVE-2017-13098)
    • 危险等级:中
    • BID:102195
    • cve编号:CVE-2017-13098
  • Atlassian FishEye/Crucible远程代码执行漏洞(CVE-2017-14591)
    • 危险等级:中
    • BID:102194
    • cve编号:CVE-2017-14591
  • ImageMagick拒绝服务漏洞(CVE-2017-17682)
    • 危险等级:中
    • BID:102202
    • cve编号:CVE-2017-17682
  • IBM Maximo Asset Management 开放重定向漏洞(CVE-2017-1558)
    • 危险等级:中
    • BID:102211
    • cve编号:CVE-2017-1558
  • ImageMagick ‘coders/xpm.c’拒绝服务漏洞(CVE-2017-17680)
    • 危险等级:中
    • BID:102203
    • cve编号:CVE-2017-17680
  • Ruby多个命令执行漏洞(CVE-2017-17405)
    • 危险等级:高
    • BID:102204
    • cve编号:CVE-2017-17405
  • ImageMagick ReadPSDChannelZip拒绝服务漏洞(CVE-2017-17681)
    • 危险等级:中
    • BID:102206
    • cve编号:CVE-2017-17681
  • Python ‘Lib/webbrowser.py’远程命令执行漏洞
    • 危险等级:中
    • BID:102207
    • cve编号:CVE-2017-17522
  • Rapid7 Nexpose跨站请求伪造漏洞(CVE-2017-5264)
    • 危险等级:低
    • BID:102208
    • cve编号:CVE-2017-5264
  • Huawei FusionSphere OpenStack路由器身份验证绕过漏洞(CVE-2017-8194)
    • 危险等级:中
    • BID:102209
    • cve编号:CVE-2017-8194
  • EMC Isilon OneFS多个权限提升漏洞(CVE-2017-14380)
    • 危险等级:中
    • BID:102210
    • cve编号:CVE-2017-14380
  • DotNetNuke 远程代码执行漏洞(CVE-2017-9822)
    • 危险等级:中
    • BID:102213
    • cve编号:CVE-2017-9822
  • VideoLAN VLC ‘mp4/libmp4.c’拒绝服务漏洞(CVE-2017-17670)
    • 危险等级:低
    • BID:102214
    • cve编号:CVE-2017-17670
  • NetGain Systems Enterprise Manager信息泄露漏洞(CVE-2017-16607)
    • 危险等级:低
    • BID:102219
    • cve编号:CVE-2017-16607
  • IBM Business Process Manager跨站脚本漏洞(CVE-2017-1494)
    • 危险等级:中
    • BID:102218
    • cve编号:CVE-2017-1494
  • IBM RPA with Automation Anywhere跨站脚本漏洞(CVE-2017-1751)
    • 危险等级:中
    • BID:102217
    • cve编号:CVE-2017-1751
  • Trend Micro Mobile Security 信息泄露及拒绝服务漏洞
    • 危险等级:低
    • BID:102216
    • cve编号:CVE-2017-14082
  • Linksys WVBR0-25远程命令注入漏洞(CVE-2017-17411)
    • 危险等级:中
    • BID:102212
    • cve编号:CVE-2017-17411
  • IBM Integration Bus信息泄露漏洞(CVE-2017-1694)
    • 危险等级:中
    • BID:102215
    • cve编号:CVE-2017-1694
  • vBulletin ‘index.php’ 远程文件包含漏洞
    • 危险等级:中
    • BID:102222
    • cve编号:
  • Ecava IntegraXor多个SQL注入漏洞(ICSA-17-353-03)(CVE-2017-16733)
    • 危险等级:中
    • BID:102223
    • cve编号:CVE-2017-16733
  • Intel类型混淆本地权限提升漏洞(CVE-2017-5717)
    • 危险等级:中
    • BID:102221
    • cve编号:CVE-2017-5717
  • Ecava IntegraXor多个SQL注入漏洞(ICSA-17-353-03)(CVE-2017-16735)
    • 危险等级:中
    • BID:102223
    • cve编号:CVE-2017-16735
  • Cisco NX-OS System Software本地命令注入漏洞(CVE-2017-12341)
    • 危险等级:中
    • BID:102220
    • cve编号:CVE-2017-12341
  • Apache Sling信息泄露漏洞(CVE-2017-15700)
    • 危险等级:低
    • BID:102229
    • cve编号:CVE-2017-15700
  • GNU C Library ‘elf/dl-load.c ‘ 本地权限提升漏洞(CVE-2017-16997)
    • 危险等级:中
    • BID:102228
    • cve编号:CVE-2017-16997
  • Linux Kernel 拒绝服务漏洞(CVE-2017-17741)
    • 危险等级:低
    • BID:102227
    • cve编号:CVE-2017-17741
  • Apache Drill 跨站脚本漏洞(CVE-2017-12630)
    • 危险等级:中
    • BID:102226
    • cve编号:CVE-2017-12630
  • Siemens LOGO! Soft Comfort 中间人安全限制绕过漏洞(CVE-2017-12740)
    • 危险等级:中
    • BID:102225
    • cve编号:CVE-2017-12740
  • ABB Ellipse中间人信息泄露漏洞(CVE-2017-16731)
    • 危险等级:低
    • BID:102224
    • cve编号:CVE-2017-16731
  • Linux Kernel raw_sendmsg()竞争条件漏洞(CVE-2017-17712)
    • 危险等级:低
    • BID:102231
    • cve编号:CVE-2017-17712
  • Wecon LEVI Studio HMI堆缓冲区溢出漏洞(CVE-2017-16717)
    • 危险等级:中
    • BID:102230
    • cve编号:CVE-2017-16717
  • Trend Micro ScanMail for Exchange安全限制绕过漏洞(CVE-2017-14091)
    • 危险等级:低
    • BID:102239
    • cve编号:CVE-2017-14091
  • IBM MQ/IBM MQ Appliance拒绝服务漏洞(CVE-2017-1283)
    • 危险等级:中
    • BID:102232
    • cve编号:CVE-2017-1283
  • NetApp Clustered Data ONTAP拒绝服务漏洞(CVE-2017-14583)
    • 危险等级:低
    • BID:102233
    • cve编号:CVE-2017-14583
  • Trend Micro ScanMail for Exchange多个跨站脚本漏洞(CVE-2017-14093)
    • 危险等级:中
    • BID:102234
    • cve编号:CVE-2017-14093
  • Trend Micro Encryption for Email远程代码执行漏洞(CVE-2017-11397)
    • 危险等级:中
    • BID:102235
    • cve编号:CVE-2017-11397
  • OpenLDAP ‘contrib/slapd-modules/nops/nops.c’拒绝服务漏洞
    • 危险等级:中
    • BID:102236
    • cve编号:CVE-2017-17740
  • Trend Micro ScanMail for Exchange跨站请求伪造漏洞(CVE-2017-14092)
    • 危险等级:低
    • BID:102237
    • cve编号:CVE-2017-14092
  • VMware多个产品远程栈溢出漏洞(CVE-2017-4941)
    • 危险等级:高
    • BID:102238
    • cve编号:CVE-2017-4941
  • VMware vCenter Server Appliance本地权限提升漏洞(CVE-2017-4943)
    • 危险等级:中
    • BID:102242
    • cve编号:CVE-2017-4943
  • VMware ESXi HTML注入漏洞(CVE-2017-4940)
    • 危险等级:高
    • BID:102241
    • cve编号:CVE-2017-4940
  • VMware多个产品远程堆溢出漏洞(CVE-2017-4933)
    • 危险等级:高
    • BID:102240
    • cve编号:CVE-2017-4933
  • Microsoft Malware Protection Engine远程代码执行漏洞(CVE-2017-11937)
    • 危险等级:高
    • BID:102070
    • cve编号:CVE-2017-11937

(数据来源:绿盟科技安全研究部&产品规则组)

2.2 焦点漏洞

  • 焦点漏洞
    • Weblogic WLS 组件漏洞
    • NSFOCUS ID
      • 38473
    • CVE ID
      • CVE-2017-10271
    • 受影响版本
      • Oracle WebLogic Server 10.3.6.0.0版本
      • Oracle WebLogic Server 12.1.3.0.0版本
      • Oracle WebLogic Server 12.2.1.1.0版本
    • 漏洞点评
      • Oracle WebLogic Server的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。近期绿盟科技应急响应团队陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者利用此漏洞植入恶意程序。请用户及时下载更新包,升级Weblogic。

(数据来源:绿盟科技安全研究部&产品规则组)

Spread the word. Share this post!

Meet The Author

Leave Comment