绿盟科技网络安全威胁月报–201801

绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客https://blog.nsfocus.net/

一. 2018 年 01 月数据统计

1.1 高危漏洞发展趋势

2018 年 01 月绿盟科技安全漏洞库共收录 152 个漏洞, 其中高危漏洞 27 个,微软高危漏洞 10 个, 01 月监测到 CVE 公布高危漏洞数量为 109 个。

1.2 互联网安全漏洞

DedeCMS 最新版前台任意用户登录漏洞分析
来源:https://blog.nsfocus.net/dedecms-loophole-2/
简述: DedeCMS 最近又有一个缺陷被爆出来,可以绕过一些判断条件从而导致前台任意用户登录,配合上一个重置密码漏洞,可以达到从前台登录管理员账户并修改 dede_admin 表里的密码,也就是真正修改了管理员密码。

ElectronJs 远程代码执行漏洞 (CVE-2018-1000006)
来源:https://blog.nsfocus.net/cve-2018-1000006/
简述: 使用自定义协议处理程序(custom protocol handlers)的 Electron 应用程序被发现存在一个远程执行代码漏洞。该漏洞源于应用程序在设计时,将自身注册为协议的默认处理程序(例如 myapp://),无论协议是如何注册的,例如本机代码, Windows 注册表或者 Electron 的 app.setAsDefaultProtocolClient 的 API,都会受到影响。

DedeCMS 最新版(20180109)任意用户密码修改
来源:https://blog.nsfocus.net/dedecms-20180109/
简述: 2018 年 01 月 09 日, Dedecms 官方更新了 DedeCMS V5.7 SP2 正式版,后续在 10 日有
网友爆出其存在任意用户密码重置漏洞。

RedHat 安全更新修复 OpenJDK1.8.0 版本漏洞
来源:https://blog.nsfocus.net/redhat-java/
简述: RedHat 安全更新修复 OpenJDK1.8.0 版本漏洞。

新型 KillDisk 变种攻击拉丁美洲金融机构
来源:https://blog.nsfocus.net/new-killdisk/
简述: 一种新型的 KillDisk 变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。
(来源:绿盟科技威胁情报与网络安全实验室)

1.3 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由 NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。
http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten
1. 2018-01-11 Microsoft Office 远程内存破坏漏洞(CVE-2018-0802)
NSFOCUS ID: 38615
链接:http://www.nsfocus.net/vulndb/38615
综述:Microsoft Office 是微软公司开发的一套基于 Windows 操作系统的办公软件套装。Microsoft Office 由于不正确的内存操作,在实现上存在远程代码执行安全漏洞,成功利用后可使攻击者在目标系统上执行任意代码。
危害:远程攻击者可以通过诱使受害者打开恶意 office 文档来利用此漏洞,从而控制受害者系统

2. Intel CPU 芯片漏洞(CVE-2017-5754、 CVE-2017-5715、 CVE-2017-5753)
综述: 2018 年 1 月 3 号 Google Project Zero 团队成员 Jann Horn 在博客中披露了英特尔等处理器芯片基础架构中存在一个非常严重的安全漏洞。该漏洞存在 2 种攻击方式 Spectre 和Meltdown。。
危害: 攻击者通过创建一些指令在 CPU 回滚的时间窗口进行攻击,根据每条指令执行的时间差做侧信道攻击。

3. 2018-01-10 Microsoft Internet Explorer/Edge 脚 本 引 擎 远 程 内 存 破 坏 漏 洞(CVE-2018-0762)
NSFOCUS ID: 38568
链接:http://www.nsfocus.net/vulndb/38568
综述:Internet Explorer 是微软公司推出的一款网页浏览器。 Microsoft Edge 是内置于Windows10 版本中的网页浏览器。 Microsoft Internet Explorer/Edge 脚本引擎未正确处理内存对象时,在实现上存在远程代码执行漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞,从而控制受害者系统

4. 2018-01-11 Microsoft Word 远程内存破坏漏洞(CVE-2018-0812)
NSFOCUS ID: 38611
链接:http://www.nsfocus.net/vulndb/38611
综述:Microsoft Office 是微软公司开发的一套基于 Windows 操作系统的办公软件套装。Microsoft Office 由于不正确的内存操作,在实现上存在远程代码执行安全漏洞。
危害:远程攻击者可以通过诱使受害者打开恶意 doc 文档来利用此漏洞,从而控制受害者系统

5. 2018-01-11 VMware vSphere Data Protection 任意文件上传漏洞(CVE-2017-15549)
NSFOCUS ID: 38614
链接:http://www.nsfocus.net/vulndb/38614
综述:VMware vSphere Data Protection 是备份及恢复解决方案。 EMC Avamar Server 7.1.x,7.2.x, 7.3.x, 7.4.x, 7.5.0; EMC NetWorkerVirtual Edition (NVE) 9.0.x, 9.1.x, 9.2.x; EMC Integrated DataProtection Appliance 2.0 版本在实现上存在安全漏洞。
危害:成功利用后可使远程攻击者上传任意文件到服务器文件系统
6. 2017-12-25 Oracle WebLogic Server 远程代码执行漏洞(CVE-2017-10271)
NSFOCUS ID: 38473
链接:http://www.nsfocus.net/vulndb/38473
综述:WebLogic 是 J2EE 应用服务器,目前已推出到 12c 版。 WebLogic WLS 组件中存在远程代码执行漏洞,该漏洞利用方式简单,且能够直接获取目标服务器的控制权限。
危害:近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击

7. 2018-01-03 Trend Micro Smart Protection Server 远程命令执行漏洞(CVE-2017-14095)
NSFOCUS ID: 38500
链接:http://www.nsfocus.net/vulndb/38500
综述:Trend Micro Smart Protection Server 是下一代基于云的高级保护解决方案。 Trend Micro Smart Protection Server 在实现上存在远程命令执行漏洞,可使攻击者通过本地文件包含,远程执行任意命令。
危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器

8. 2018-01-09 Schneider Electric Pelco VideoXpert Enterprise 路径遍历及访问绕过漏洞(CVE-2017-9965)
NSFOCUS ID: 38559
链接:http://www.nsfocus.net/vulndb/38559
综述:Schneider Electric Pelco VideoXpert Enterprise 是视频管理系统。 Schneider Electric Pelco VideoXpert Enterprise < 2.1 版本在实现上存在路径遍历漏洞。
危害:攻击者通过嗅探通讯,可执行目录遍历攻击,绕过身份验证,劫持会话

9. 2018-01-09 F5 BIG-IP SQL 注入漏洞(CVE-2017-0304)
NSFOCUS ID: 38543
链接:http://www.nsfocus.net/vulndb/38543
综述:F5 BIG-IP 产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。BIG-IP AFM 12.0.0, 12.1.0, 12.1.1, 12.1.2, 13.0.0 版本,在实现中存在 SQL 注入安全漏洞。
危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,对服务器进行非授权的访问

10. 2018-01-04 IBM QRadar SIEM 命令注入漏洞(CVE-2017-1696)
NSFOCUS ID: 38513
链接:http://www.nsfocus.net/vulndb/38513
综述:IBM Security QRadar SIEM 通过整合、标准化和关联日志和流数据,运用安全情报和感知分析,帮助划分安全事件的优先级,远离高级威胁。 IBM QRadar 7.2、 7.3 版本在实现上存在安全漏洞,可使攻击者通过构造的请求,利用此漏洞执行任意命令。
危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞,从而控制服务器。

1.4 DDoS 攻击类型


小提示
• Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试 TCP 或 UDP 协议程序、测量连接的带宽或进行QoS 的微调等。 但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是 358.8 倍。
• NTP Flood:又称 NTP Reply Flood Attack, 是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换, UDP 协议),来进行 DDoS 行为的攻击类型。有记录称,这种攻击类型最大放大倍数是 556.9 倍。
• SSDP Flood:智能设备普遍采用 UPnP(即插即用)协议作为网络通讯协议, 而 UPnP设备的相互发现及感知是通过 SSDP 协议(简单服务发现协议)进行的。
攻击者伪造了发现请求,伪装被害者 IP 地址向互联网上大量的智能设备发起 SSDP 请求, 结果被害者就收到了大量智能设备返回的数据,被攻击了。 有记录称,这种攻击类型最大放大倍数是 30.8 倍。
更多相关信息,请关注绿盟科技 DDoS 威胁报告。
二. 博文精选
2017 年国内恶意物联网 IP 分析
近两年来,随着物联网相关技术的发展,几乎所有的家用电器都可以接入网络。智能化的应用给生活带来便利的同时,其副作用也随之而生。 2016 年,攻击者使用 Mirai 病毒用僵尸物联网设备让一个新闻网站的重要防火墙瘫痪之后,紧接着 Dyn DNS service 遭受到攻击,使得美国网络中流砥柱的公司大面积瘫痪,影响遍及数百万人群。
https://blog.nsfocus.net/2017-mailip-analyse/

2017 年反序列化漏洞年度报告
在 2017 年绿盟科技 NS-SRC 处理的漏洞应急中有很大一部分是反序列化漏洞,和以往漏洞形式不一样的是, 2017 年则多出了 fastjson、 Jackson 等,还有关于 XMLDecoder 和 XStream 的应急,本报告重点回顾 2017 年绿盟科技重点应急,影响面非常广的那些反序列化漏洞。从这个报告中能看出反序列化漏洞的发展,攻击方和防御方不停的
对抗过程, bypass 和反 bypass 在这个过程中体现得淋漓尽致。
https://blog.nsfocus.net/2017-loophole-report/

(来源:绿盟科技博客)

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出, 仅供参考。
Gartner Data & Analytics Summit 2018
时间:March 05- 08, 2018
简介: At Gartner Data & Analytics Summit 2018, we’ll help you create the future
— a future based on data you can trust, analytics you can rely on, and the
insight needed to make game-changing business decisions.
网址:https://www.gartner.com/events-na/data-analytics/why-attend/

Spread the word. Share this post!

Meet The Author

Leave Comment