绿盟科技互联网安全威胁周报NSFOCUS-19-17

阅读： 1,293

绿盟科技发布了本周安全通告，周报编号NSFOCUS-19-17，绿盟科技漏洞库本周新增33条，其中高危6条。本次周报建议大家关注Symantec Endpoint Protection Manager 本地权限提升漏洞，Symantec Endpoint Protection Manager（SEPM）防病毒软件的管理端。Symantec Endpoint Protection Manager 12.1 RU6 MP10及之前版本、14.2 RU1之前版本存在一个本地权限提升漏洞，允许攻击者在应用中执行任意代码。目前厂商已经提供补丁程序，请到厂商的相关页面下载补丁。

焦点漏洞

Symantec Endpoint Protection Manager 本地权限提升漏洞
- CVE ID
  - CVE-2018-18367
- NSFOCUS ID
  - 43150
- 受影响版本
  - Symantec Endpoint Protection Manager <= 12.1 RU6 MP10
  - Symantec Endpoint Protection Manager < 14.2 RU1
- 漏洞点评
  - Symantec Endpoint Protection（SEP）是美国赛门铁克（Symantec）公司的一套防病毒软件。Symantec Endpoint Protection Manager（SEPM）该软件的管理端。Symantec Endpoint Protection Manager 12.1 RU6 MP10及之前版本、14.2 RU1之前版本存在一个本地权限提升漏洞，允许攻击者在应用中执行任意代码。目前厂商已经提供补丁程序，请到厂商的相关页面下载补丁。

（数据来源：绿盟威胁情报中心）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显下降。

1.2 威胁信息回顾

标题：高通公司芯片的严重缺陷暴露了Android设备的敏感数据
- 时间：2019-04-28
- 简介：研究人员发现一种新的旁道攻击，攻击者可利用Qualcomm安全执行环境（QSEE）中的一个缺陷，从Qualcomm安全密钥库中提取敏感数据，包括私钥和密码。这次攻击可能会影响大多数使用Qualcomm芯片的现代Android设备，包括流行的Snapdragon型号820,835,845和855。
- 链接：https://securityaffairs.co/wordpress/84612/hacking/qualcomm-flaw-android-devices.html
标题：针对企业的勒索软件攻击增加超过500％
- 时间：2019-04-25
- 简介：网络犯罪分子在2019年第一季度开始将重点放在企业上，消费者威胁检测率同比下降约24％，而企业对其计算系统的网络攻击数量增加了235％。在所有影响商业实体的恶意软件系列中，勒索软件已经出现大幅回升，自2018年第四季度以来增长了189％，自2018年第一季度以来增长了508％。
- 链接：https://www.bleepingcomputer.com/news/security/over-500-percent-increase-in-ransomware-attacks-against-businesses/
标题：Docker Hub数据库入侵，190,000名用户受到影响
- 时间：2019-04-27
- 简介：Docker于2019年4月25日发现未经授权访问Docker Hub数据库，该数据库暴露了大约190,000名用户的敏感信息。此信息包括一些用户名和散列密码，以及GitHub和Bitbucket存储库的令牌。
- 链接：https://thehackernews.com/2019/04/docker-hub-data-breach.html
标题：Beapy蠕虫利用EternalBlue漏洞进行传播
- 时间：2019-04-26
- 简介：安全专家发现了一个新的加密劫持活动，该活动追踪到Beapy蠕虫，它针对企业进行密码窃取活动，利用EternalBlue漏洞和窃取的硬编码凭证在网络中迅速传播，主要影响中国企业。Beapy蠕虫攻击活动在2019年1月首次被发现，并在3月初以来一直在增加。
- 链接：https://securityaffairs.co/wordpress/84512/malware/beapy-miner-eternalblue-doublepulsar.html
标题：TA505鱼叉式网络钓鱼活动使用LOLBins来避免检测
- 时间：2019-04-25
- 简介：TA505黑客组织在4月份进行了一次针对金融机构的网络钓鱼活动，其中包括ServHelper后门的签名版本和一些旨在帮助该操作逃避检测的LOLBins，此次攻击活动针对多个大陆进行，包括北美、亚洲、非洲和南美洲。TA505是一个非常老道的威胁组织，臭名昭著的恶意软件Dridex和勒索软件Locky均出自该组织。
- 链接：https://www.bleepingcomputer.com/news/security/ta505-spear-phishing-campaign-uses-lolbins-to-avoid-detection/
标题：Emotet使用受损设备作为代理命令服务器
- 时间：2019-04-25
- 简介：近期，发现Emotet Trojan的新变种，增加了使用受损连接设备作为代理命令和控制服务器以及使用随机URI目录路径来规避基于网络的检测规则的功能。Emotet的运营商正在积极尝试破坏IP摄像头，路由器，网络摄像头和Web界面/管理面板等设备，将其作为僵尸网络新的额外服务器通信层的一部分添加到伪装基础设施中。
- 链接：https://www.bleepingcomputer.com/news/security/emotet-uses-compromised-devices-as-proxy-command-servers/

（数据来源：绿盟科技威胁情报中心收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2019年4月26日，绿盟科技漏洞库已收录总条目达到43180条。本周新增漏洞记录33条，其中高危漏洞数量6条，中危漏洞数量27条，低危漏洞数量0条。

Palo Alto Networks Global Protect Client 本地信息泄露漏洞（CVE-2019-1573）
- 危险等级:高
- BID:107868
- cve编号:CVE-2019-1573
Linux kernel 释放后重用漏洞（CVE-2019-6974）
- 危险等级:高
- BID:107127
- cve编号:CVE-2019-6974
Linux kernel 本地拒绝服务漏洞（CVE-2019-7221）
- 危险等级:高
- BID:107294
- cve编号:CVE-2019-7221
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2640）
- 危险等级:高
- BID:107932
- cve编号:CVE-2019-2640
Oracle VM VirtualBox 信息泄露漏洞（CVE-2019-2679）
- 危险等级:高
- BID:107960
- cve编号:CVE-2019-2679
Oracle VM VirtualBox 信息泄露漏洞（CVE-2019-2690）
- 危险等级:高
- BID:107960
- cve编号:CVE-2019-2690
Symantec Endpoint Protection Manager 本地权限提升漏洞（CVE-2018-18367）
- 危险等级:中
- BID:108046
- cve编号:CVE-2018-18367
PHP堆缓冲区溢出漏洞（CVE-2019-11034）
- 危险等级:中
- BID:107794
- cve编号:CVE-2019-11034
ISC BIND 远程拒绝服务漏洞（CVE-2018-5745）
- 危险等级:中
- BID:107142
- cve编号:CVE-2018-5745
PHP堆缓冲区溢出漏洞（CVE-2019-11035）
- 危险等级:中
- BID:107794
- cve编号:CVE-2019-11035
OpenSSH 用户枚举漏洞（CVE-2018-15473）
- 危险等级:中
- BID:105140
- cve编号:CVE-2018-15473
Linux Kernel 本地信息泄露漏洞（CVE-2019-7222）
- 危险等级:中
- BID:106963
- cve编号:CVE-2019-7222
Symantec Endpoint Protection安全绕过漏洞（CVE-2018-12244）
- 危险等级:中
- BID:107999
- cve编号:CVE-2018-12244
Apache Pony Mail 跨站脚本漏洞（CVE-2019-0218）
- 危险等级:中
- BID:108046
- cve编号:CVE-2019-0218
Apache HTTP Server 拒绝服务漏洞（CVE-2018-17189）
- 危险等级:中
- BID:106685
- cve编号:CVE-2018-17189
Linux Kernel 本地拒绝服务漏洞（CVE-2019-11487）
- 危险等级:中
- BID:108054
- cve编号:CVE-2019-11487
CentOS Web Panel HTML注入漏洞（CVE-2019-10893）
- 危险等级:中
- BID:108035
- cve编号:CVE-2019-10893
Dovecot 拒绝服务漏洞（CVE-2019-10691）
- 危险等级:中
- BID:108022
- cve编号:CVE-2019-10691
Oracle VM VirtualBox 信息泄露漏洞（CVE-2019-2696）
- 危险等级:中
- BID:107960
- cve编号:CVE-2019-2696
Oracle VM VirtualBox 信息泄露漏洞（CVE-2019-2574）
- 危险等级:中
- BID:107960
- cve编号:CVE-2019-2574
Oracle Supply Chain Products Suite 信息泄露漏洞（CVE-2019-2575）
- 危险等级:中
- BID:107960
- cve编号:CVE-2019-2575
Oracle JD Edwards EnterpriseOne Tools 信息泄露漏洞（CVE-2019-2564）
- 危险等级:中
- BID:107972
- cve编号:CVE-2019-2564
Oracle JD Edwards World Technical Foundation 信息泄露漏洞（CVE-2019-2565）
- 危险等级:中
- BID:107971
- cve编号:CVE-2019-2565
Oracle Configurator 信息泄露漏洞（CVE-2019-2567）
- 危险等级:中
- BID:107947
- cve编号:CVE-2019-2567
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2662）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2662
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2652）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2652
Oracle VM VirtualBox 信息泄露漏洞（CVE-2019-2657）
- 危险等级:中
- BID:107960
- cve编号:CVE-2019-2679
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2643）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2643
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2642）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2642
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2641）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2641
Oracle Database Server 信息泄露漏洞（CVE-2019-2571）
- 危险等级:中
- BID:107919
- cve编号:CVE-2019-2571
Oracle Service Bus拒绝服务漏洞（CVE-2019-2576）
- 危险等级:中
- BID:107946
- cve编号:CVE-2019-2576
Oracle E-Business Suite 信息泄露漏洞（CVE-2019-2640）
- 危险等级:中
- BID:107932
- cve编号:CVE-2019-2640

（数据来源：绿盟威胁情报中心）

绿盟科技互联网安全威胁周报NSFOCUS-19-17

绿盟科技互联网安全威胁周报NSFOCUS-19-17

焦点漏洞

一. 互联网安全威胁态势

1.1 CVE统计

1.2 威胁信息回顾

二. 漏洞研究

2.1 漏洞库统计

Meet The Author

Leave Comment