威胁通告 – 第 87 页 – 绿盟科技技术博客

【威胁通告】Intel处理器漏洞“Meltdown”“Spectre”影响几乎全球用户

2018-01-04绿盟科技intel, Meltdown, Spectre

近日， Intel处理器被爆出存在硬件上的漏洞，该漏洞源于芯片硬件层面的一处设计BUG。这个BUG会允许程序窃取当前在计算机上处理的数据，并且影响Windows, MacOS, Linux。

【威胁通告】基于IOHIDFamily 0day漏洞的macOS内核攻击 “IOHIDeous”

2018-01-04绿盟科技macos, 威胁通告, 绿盟科技

近日，安全研究者Siguza公布了一个基于IOHIDFamily 0day的macOS内核攻击。这是IOHIDFamily中的一个仅针对macOS系统的漏洞，可以导致内核的读/写（r/w），并且可以由任意非特权用户触发和利用。

新型ICS攻击框架“TRITON” 导致工业系统运营中断技术分析与防护方案

2017-12-29绿盟科技ICS攻击框架, TRITON, 安全防护, 工控

最近一起针对关键基础设施的攻击事件中，攻击者通过部署恶意软件来操作工业安全系统。目标系统为工业流程提供了紧急关闭功能。相关证据表明，攻击者在研发破坏物理装置功能的过程中，无意间关闭了操作流程。

【处置建议】Weblogic WLS 组件漏洞

2017-12-22刘红涛CVE-2017-10271, Weblogic, Weblogic WLS, Weblogic WLS 漏洞, Weblogic 漏洞防护, Weblogic漏洞

近期绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈，发现Weblogic主机被攻击者植入恶意程序，经分析，攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271)，构造payload下载并执行虚拟币挖矿程序，对Weblogic中间件主机进行攻击。

【病毒分析】激活工具KMSpico内含挖矿病毒事件的分析

2017-12-22钱, 雨村kms 病毒, kmspico, kmspico激活工具, kms激活工具病毒, kms激活工具病毒

近日有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”，笔者对相应事件进行一番跟踪分析后发现，原作者的官方版本并不含挖矿病毒。

更准确结论应该是黑客利用搜索引擎排名假冒克隆KMSpico的网页，发布捆绑挖矿软件在内的多种病毒，诱导用户下载，进而窃取用户隐私信息或利用用户电脑挖矿谋取暴利。

再次提醒用户，下载软件应从软件厂商官方网站下载，同时通过签名、哈希校验等途径确认下载的软件是官网原版，而非被恶意篡改的“带毒”版本。

【预警通告】近期大量WebLogic主机感染挖矿病毒

2017-12-22绿盟科技

本月15日，K.Orange在Twitter发推提到未打补丁的WebLogic版本存在漏洞，可能被挖矿程序watch-smartd所利用。

【预警通告】软件集成平台Jenkins安全漏洞

2017-12-20绿盟科技jenkins漏洞

近日，Jenkins官方发布了一则安全通告，该通告描述了2个Jenkins的安全漏洞，会导致一些安全设置无法被设置为默认状态，或者失去CSRF的保护机制。Jenkins已经通过新版本进行了修复。

【处置手册】GoAhead httpd2.5 to 3.5 LD_PRELOAD远程代码执行漏洞（CVE-2017-17562)

2017-12-20刘红涛CVE-2017-17562, goahead, GoAhead Web Server, GoAhead Web Server 漏洞, goahead 漏洞防护, goahead 漏洞分析

今日，GoAhead Web Server 被爆出在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化分叉CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。当与glibc动态链接器结合使用时，使用特殊变量（如LD_PRELOAD）就可以实施远程代码执行。2017年12月18日针对该漏洞利用的PoC公开，请受影响的用户及时更新版本进行修复。

【防护方案】GoAhead httpd/2.5 to 3.5 LD_PRELOAD 远程代码执行漏洞（CVE-2017-17562）

2017-12-19田泽夏CVE-2017-1762, goahead, Server漏洞, Web Server

GoAhead Web Server 在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。

【预警通告】GoAhead httpd/2.5 to 3.5 LD_PRELOAD 远程代码执行漏洞（CVE-2017-17562）

2017-12-19绿盟科技CVE-2017-17562, GoAhead Web Server, GoAhead Web Server 漏洞

GoAhead Web Server 在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。当与glibc动态链接器结合使用时，使用特殊变量（如LD_PRELOAD）可以滥用该漏洞，从而导致远程代码执行。

【威胁通告】微软发布12月补丁修复37个安全问题

2017-12-13绿盟科技microsoft patch, 微软, 微软漏洞, 微软2017年12月补丁, 微软周二补丁

微软于周二发布了12月安全更新补丁，修复了37个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及Adobe Flash Player、Device Guard、Microsoft Edge、Microsoft Exchange Server、Microsoft Malware Protection Engine、Microsoft Office、Microsoft Scripting Engine以及Microsoft Windows。

【威胁通告】Apache Synapse 远程代码执行漏洞（CVE-2017-15708）

2017-12-11绿盟科技Apache Synapse, Apache Synapse 漏洞, Apache 漏洞

近日，Apache Synapse发布了新版本修复了一个远程代码执行漏洞（CVE-2017-15708）。该漏洞源于Apache Commons Collections组件，攻击者可以通过注入特制的序列化对象来远程执行代码。