绿盟科技网络安全威胁周报NSFOCUS-19-21

截止到2019年5月24日,绿盟科技漏洞库已收录总条目达到43367条。本周新增漏洞记录41条,其中高危漏洞数量8条,中危漏洞数量31条,低危漏洞数量2条。

当未经身份验证的攻击者使用Remote Desktop Services(RDP)连接到目标系统并发送特制请求时,RDP中存在远程执行代码漏洞。此漏洞发生在身份验证前,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后可以安装程序, 查看、更改或删除数据,或创建具有完全用户权限的新帐户。要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。 目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

焦点漏洞

  • Microsoft Windows Remote Desktop Services远程代码执行漏洞
    • CVE ID
      • CVE-2019-0708
    • NSFOCUS ID
      • 43268
    • 受影响版本
      • Microsoft Windows XP
      • Microsoft Windows Server 2008 R2 for x64-based S
      • Microsoft Windows Server 2008 R2 for Itanium-bas
      • Microsoft Windows Server 2008 for x64-based Syst
      • Microsoft Windows Server 2008 for Itanium-based
      • Microsoft Windows Server 2008 for 32-bit Systems
      • Microsoft Windows Server 2003
      • Microsoft Windows 7 for x64-based Systems SP1
      • Microsoft Windows 7 for 32-bit Systems SP1
    • 漏洞点评
      • Remote Desktop Services,在Windows Server 2008及更早版本中称为终端服务,是Microsoft Windows的一个组件,允许用户通过网络连接控制远程计算机或虚拟机。当未经身份验证的攻击者使用Remote Desktop Services(RDP)连接到目标系统并发送特制请求时,RDP中存在远程执行代码漏洞。此漏洞发生在身份验证前,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后可以安装程序, 查看、更改或删除数据,或创建具有完全用户权限的新帐户。要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。 目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

(数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:绿盟科技发布CVE-2019-0708漏洞防护规则
    • 时间:2019-05-22
    • 简介:针对近日曝出的Windows 远程桌面无需授权认证的远程代码执行漏洞(CVE-2019-0708),绿盟网络入侵防护系统(NIPS)发布漏洞防护规则,可以检测并阻断对目标系统的漏洞攻击。用户可开启绿盟NIPS自动规则升级功能或者至绿盟科技官网下载该规则升级包并更新至IPS设备上,以保证目标系统不受该漏洞的攻击。
    • 链接:https://blog.nsfocus.net/nips-cve-2019-0708/
  • 标题:卡巴斯基发布《2019第一季度DDoS攻击》报告
    • 时间:2019-05-21
    • 简介:卡巴斯基发布《2019第一季度DDoS攻击》报告,报告中提到攻击总数上升了84%,持续(超过60分钟)DDoS会话的数量正好翻了一番。平均持续时间增加了4.21倍,而极长的攻击部分增长了487%。
    • 链接:https://securelist.com/ddos-report-q1-2019/90792/
  • 标题:SandboxEscaper24小时内披露3个微软0day漏洞
    • 时间:2019-05-24
    • 简介:在Windows10中公开暴露了一个未修补的零日漏洞不到24小时后,匿名黑客通过在线别名“SandboxEscaper”继续披露了两个未修补的微软零日漏洞。两个新的零日漏洞会影响Microsoft Windows错误报告服务和Internet Explorer 11。
    • 链接:http://toutiao.secjia.com/article/page?topid=111539
  • 标题:Zebrocy收集浏览器和电子邮件数据库
    • 时间:2019-05-21
    • 简介:Zebrocy恶意软件收集系统感兴趣的信息,数据范围从文档图片到Web浏览器和电子邮件客户端存储的数据库,该恶意软件是一个工具包,由一组下载程序、丢弃程序和后门程序组成,自2018年8月后,Zebrocy的使用量有所增加,受害者包括大使馆、外交部以及来自中东和中亚国家的外交官。Zebrocy恶意软件与APT28高级威胁组织相关,可被用来进行网络间谍活动。
    • 链接:https://www.welivesecurity.com/2019/05/22/journey-zebrocy-land/
  • 标题:谷歌一直在存储未清洗的G Suite客户密码
    • 时间:2019-05-22
    • 简介:谷歌已发现其以明文形式存储了一些G Suite用户的密码,并且通知G Suite管理员,如果在此期间没有更改受影响的密码,它将强制更改密码。Google发现了两个独立的问题,第一个出现在2005年,由于遗留功能使G Suite Domain Admins能够查看用户密码;第二个是最近发现从2019年1月开始在我们的安全加密基础设施中存储了一组未清洗的密码,这些密码最多可存储14天。
    • 链接:https://www.helpnetsecurity.com/2019/05/22/g-suite-passwords/
  • 标题:与MuddyWater组织相关的BlackWater战役使用新的反检测技术
    • 时间:2019-05-21
    • 简介:近期发现BlackWater战役与MuddyWater威胁组织相关联,攻击者使用新样本可绕过某些安全机制以及MuddyWater的策略、技术和程序(TTP)可规避检测。MuddyWater是一个伊朗威胁组织,主要针对中东国家,并且还针对欧洲和北美国家,该组织的受害者主要是电信、政府(IT服务)和石油部门。
    • 链接:https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html
  • 标题:Shade勒索软件对高科技和教育行业的攻击
    • 时间:2019-05-23
    • 简介:Shade勒索软件(又名Troldesh)于2014年底首次出现,主要针对Microsoft Windows的主机,通常利用恶意垃圾邮件和漏洞利用工具包进行分发。近期发现Shade勒索软件针对北美和亚洲国家的高科技、批发和教育行业攻击,特别是美国、日本、印度、泰国和加拿大。
    • 链接:https://threatpost.com/shade-ransomware-expands-us/145020/
  • 标题:Facebook称在2019年第一季度减少了21.9亿个账户
    • 时间:2019-05-24
    • 简介:社交网络巨头Facebook透露,最近禁用了由“bad actors”操作的数十亿账户,并且有5%的活跃账户都是假的。
    • 链接:https://securityaffairs.co/wordpress/86046/social-networks/facebook-2-billion-accounts-fake.html
  • 标题:GitHub引入了新工具和安全功能来保护代码
    • 时间:2019-05-25
    • 简介:百分之九十九的新软件项目依赖于开源代码。这种广泛的代码重用可以帮助每个人以前所未有的速度构建更好的软件,但它也使我们所有人都面临从依赖关系中分发安全漏洞的风险。GitHub宣布推出几种新工具和安全功能,以帮助开发人员保护他们的代码。
    • 链接:https://securityaffairs.co/wordpress/86092/security/github-security-tools-features.html
  • 标题:加密货币价格引发新一轮恶意软件攻击
    • 时间:2019-05-23
    • 简介:随着比特币价格飙升,恶意软件欺诈和加密攻击等将从加密货币行业中获利。在2019年5月,比特币价格攀升至今年的最高点,其中流行的加密货币价值为8,300美元(自2018年9月以来的最高估值),这让攻击者渴望通过使用大量的诈骗、恶意软件和加密劫持活动攻击加密货币投资者,进而获得利润。
    • 链接:https://threatpost.com/soaring-cryptocurrency-prices-draw-malicious-new-onslaught-of-apps-malware/144998/

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年5月24日,绿盟科技漏洞库已收录总条目达到43367条。本周新增漏洞记录41条,其中高危漏洞数量8条,中危漏洞数量31条,低危漏洞数量2条。

  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1776)
    • 危险等级:中
    • BID:108376
    • cve编号:CVE-2019-1776
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1770)
    • 危险等级:中
    • BID:108376
    • cve编号:CVE-2019-1770
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1791)
    • 危险等级:中
    • BID:108390
    • cve编号:CVE-2019-1791
  • Cisco NX-OS Software本地缓冲区溢出和命令注入漏洞(CVE-2019-1768)
    • 危险等级:中
    • BID:108386
    • cve编号:CVE-2019-1768
  • Cisco NX-OS Software本地缓冲区溢出和命令注入漏洞(CVE-2019-1767)
    • 危险等级:中
    • BID:108386
    • cve编号:CVE-2019-1767
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1790)
    • 危险等级:中
    • BID:108383
    • cve编号:CVE-2019-1790
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1769)
    • 危险等级:中
    • BID:108393
    • cve编号:CVE-2019-1769
  • Cisco NX-OS Software SSH Key信息泄露漏洞(CVE-2019-1731)
    • 危险等级:中
    • BID:108353
    • cve编号:CVE-2019-1731
  • Cisco Prime Infrastructure与Evolved Programmable Network Manager目录遍历漏洞(CVE-2019-1819)
    • 危险等级:高
    • BID:108351
    • cve编号:CVE-2019-1819
  • Cisco Prime Infrastructure与Evolved Programmable Network Manager目录遍历漏洞(CVE-2019-1818)
    • 危险等级:高
    • BID:108352
    • cve编号:CVE-2019-1818
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1732)
    • 危险等级:中
    • BID:108361
    • cve编号:CVE-2019-1732
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1735)
    • 危险等级:高
    • BID:108365
    • cve编号:CVE-2019-1735
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1774)
    • 危险等级:高
    • BID:108371
    • cve编号:CVE-2019-1774
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1783)
    • 危险等级:中
    • BID:108370
    • cve编号:CVE-2019-1783
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1784)
    • 危险等级:中
    • BID:108369
    • cve编号:CVE-2019-1784
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1775)
    • 危险等级:高
    • BID:108371
    • cve编号:CVE-2019-1775
  • Cisco NX-OS Software本地命令注入漏洞(CVE-2019-1778)
    • 危险等级:中
    • BID:108362
    • cve编号:CVE-2019-1778
  • Cisco FXOS和NX-OS Software本地命令注入漏洞(CVE-2019-1728)
    • 危险等级:中
    • BID:108391
    • cve编号:CVE-2019-1728
  • Cisco FXOS和NX-OS Software本地信息泄露漏洞(CVE-2019-1734)
    • 危险等级:中
    • BID:108381
    • cve编号:CVE-2019-1734
  • Cisco NX-OS Software跨站脚本漏洞(CVE-2019-1733)
    • 危险等级:中
    • BID:108348
    • cve编号:CVE-2019-1733
  • Cisco FXOS和NX-OS Software本地命令注入漏洞(CVE-2019-1780)
    • 危险等级:中
    • BID:108392
    • cve编号:CVE-2019-1780
  • Cisco FXOS和NX-OS Software本地命令注入漏洞(CVE-2019-1779)
    • 危险等级:中
    • BID:108394
    • cve编号:CVE-2019-1779
  • Linux Kernel本地信息泄露漏洞(CVE-2018-7191)
    • 危险等级:低
    • BID:108380
    • cve编号:CVE-2018-7191
  • Cisco Unified Intelligence Center远程文件包含漏洞(CVE-2019-1860)
    • 危险等级:中
    • BID:108354
    • cve编号:CVE-2019-1860
  • Cisco FXOS和NX-OS Software远程拒绝服务漏洞(CVE-2019-1858)
    • 危险等级:中
    • BID:108358
    • cve编号:CVE-2019-1858
  • Cisco WebEx Network Recording Player远程代码执行漏洞(CVE-2019-1771)
    • 危险等级:高
    • BID:108373
    • cve编号:CVE-2019-1771
  • Symantec Messaging Gateway本地信息泄露漏洞(CVE-2019-9699)
    • 危险等级:中
    • BID:108303
    • cve编号:CVE-2019-9699
  • Linux Kernel本地信息泄露漏洞(CVE-2019-11833)
    • 危险等级:低
    • BID:108372
    • cve编号:CVE-2019-11833
  • Cisco Identity Services Engine信息泄露漏洞(CVE-2019-1851)
    • 危险等级:中
    • BID:108356
    • cve编号:CVE-2019-1851
  • Cisco AnyConnect Secure Mobility Client for Linux信息泄露漏洞(CVE-2019-1853)
    • 危险等级:中
    • BID:108364
    • cve编号:CVE-2019-1853
  • Cisco WebEx Network Recording Player远程代码执行漏洞(CVE-2019-1773)
    • 危险等级:高
    • BID:108373
    • cve编号:CVE-2019-1773
  • Cisco WebEx Network Recording Player远程代码执行漏洞(CVE-2019-1772)
    • 危险等级:高
    • BID:108373
    • cve编号:CVE-2019-1772
  • Cisco NX-OS Software Bash绕过Guest Shell漏洞(CVE-2019-1730)
    • 危险等级:中
    • BID:108397
    • cve编号:CVE-2019-1730
  • Cisco NX-OS Software任意文件覆写漏洞(CVE-2019-1729)
    • 危险等级:中
    • BID:108378
    • cve编号:CVE-2019-1729
  • systemd信息泄露漏洞(CVE-2018-20839)
    • 危险等级:中
    • BID:108389
    • cve编号:CVE-2018-20839
  • Cisco多款产品本地安全绕过漏洞(CVE-2019-1809)
    • 危险等级:中
    • BID:108375
    • cve编号:CVE-2019-1809
  • Apache JSPWiki跨站脚本漏洞(CVE-2019-10078)
    • 危险等级:中
    • BID:108437
    • cve编号:CVE-2019-10077
  • Apache JSPWiki跨站脚本漏洞(CVE-2019-10077)
    • 危险等级:中
    • BID:108437
    • cve编号:CVE-2019-10077
  • Apache JSPWiki跨站脚本漏洞(CVE-2019-10076)
    • 危险等级:中
    • BID:108437
    • cve编号:CVE-2019-10076
  • Fortinet FortiOS缓冲区溢出漏洞(CVE-2018-13381)
    • 危险等级:中
    • BID:108440
    • cve编号:CVE-2018-13381
  • cockpit-ovirt本地信息泄露漏洞(CVE-2019-10139)
    • 危险等级:中
    • BID:108396
    • cve编号:CVE-2019-10139

(数据来源:绿盟威胁情报中心)

Spread the word. Share this post!

Meet The Author

Leave Comment