绿盟科技互联网安全威胁周报NSFOCUS-19-04

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-04, 绿盟科技漏洞库 本周新增18条,其中高危7条。本次周报建议大家关注Symantec Reporter OS命令注入漏洞,Symantec Reporter CLI在实现中存在OS命令注入漏洞。具有Enable模式访问权限的远程攻击者可利用该漏洞,以提升的系统权限执行任意的操作系统命令。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的页面下载。

焦点漏洞

  • TP-Link WDR Series 命令注入漏洞
  • CVE ID
    • CVE-2019-6487
  • NSFOCUS ID
    • 42580
  • 受影响版本
    • TP-LINK WDR Series <= 3
  • 漏洞点评
    • TP-Link WDR Series是一款WDR系列无线路由器。TP-Link WDR Series v3及之前版本固件(例如:TL-WDR5620 V3.0版本),在实现中存在命令注入漏洞,该漏洞源于get_weather_observe citycode字段中包含了sehll元字符。远程攻击者可利用该漏洞执行代码。目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。 (数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比稍有增长。

1.2 威胁信息回顾

  • 标题:Adobe修复了Experience Manager中可能导致信息泄露的XSS漏洞
    • 时间:2019-01-22
    • 简介:Adobe发布了安全更新,以解决可能导致信息泄露的Experience Manager和Experience Manager Forms中的多个XSS漏洞。
    • 链接:https://securityaffairs.co/wordpress/80183/security/adobe-xss-flaws.html
  • 标题:Linux APT中的关键RCE缺陷允许远程攻击者破解系统
    • 时间:2019-01-22
    • 简介:一位安全研究人员透露apt-get实用程序中一个新的关键远程代码执行漏洞的细节,这个漏洞可以被远程的中间人攻击者利用来破坏Linux机器。漏洞编号为CVE-2019-3462,位于APT包管理器中,这是一个广泛使用的实用程序,用于处理Debian,Ubuntu和其他Linux发行版上软件的安装,更新和删除。
    • 链接:https://thehackernews.com/2019/01/linux-apt-http-hacking.html
  • 标题:Anatova勒索软件
    • 时间:2019-01-23
    • 简介:研究人员在一个私有的点对点(p2p)网络中发现勒索软件Anatova。Anatova使用游戏或应用程序的图标诱骗受害者下载并执行它,并使用清单来请求管理员权限,实现了多种针对静态分析的有效保护技术,进行一些检查以避免在沙箱中运行。与其他勒索软件系列一样,Anatova的目标是加密受感染系统上的所有或多个文件,要求付款以解锁它们,该作者要求10DASH的加密货币支付赎金,目前价值约700美元。
    • 链接:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/
  • 标题:谷歌浏览器添加恶意驱动器下载保护
    • 时间:2019-01-24
    • 简介:谷歌正在增加对自动阻止源自网站iframe的偷渡式下载的支持,这是攻击者首选的技术之一,可以在有或没有用户交互的情况下删除易受攻击机器上的恶意软件payload。浏览器下载是指浏览器在没有用户请求的情况下下载文件,在某些情况下甚至没有实现。这可以通过恶意广告,iframe的后台或攻击者在网站上种植的恶意脚本来完成,而无需用户交互。
    • 链接:https://www.bleepingcomputer.com/news/security/google-chrome-adding-malicious-drive-by-downloads-protection/
  • 标题:卡巴斯基发现GreyEnergy和Zebrocy的联系
    • 时间:2019-01-24
    • 简介:卡巴斯基安全专家发现了GreyEnergy恶意软件与Zebrocy之间的联系。至少自2015年以来,GreyEnergy一直活跃,它在乌克兰和波兰开展了侦察和网络间谍活动,将活动重点放在能源和运输行业以及其他高价值目标上。Zebrocy恶意软件是俄罗斯威胁组织APT28所使用,在俄罗斯军方机构GRU下运行。GreyEnergy和Zebrocy使用相同的命令和控制(C&C)基础设施,两者都使用与乌克兰和瑞典服务器相关的相同IP地址,并在2018年6月都被用于针对哈萨克斯坦许多工业公司的攻击。
    • 链接:https://securityaffairs.co/wordpress/80268/apt/greyenergy-zebrocy-link.html
  • 标题:俄语版Malspam推动Redaman银行恶意软件
    • 时间:2019-01-23
    • 简介:Redaman是针对银行的恶意软件,在2015年首次被发现对俄罗斯金融机构进行攻击。自2018年9月以来,发现Redaman俄语版本大规模分发活动。
    • 链接:https://unit42.paloaltonetworks.com/russian-language-malspam-pushing-redaman-banking-malware/
  • 标题:新的Ursnif恶意软件活动使用无文件感染
    • 时间:2019-01-24
    • 简介:Ursnif,也被称为Gozi ISFB,是一个不断发展的Gozi变种,多年来一直定期更新新功能。其源代码2014年在网上泄露,并且在其上构建了许多其他银行特洛伊木马,例如GozNym。 近期发现一个新的恶意软件活动,该活动使用PowerShell传播Ursnif银行木马以实现无文件持久性以隐藏反恶意软件解决方案。
    • 链接:https://www.bleepingcomputer.com/news/security/new-ursnif-malware-campaign-uses-fileless-infection-to-avoid-detection/
  • 标题:【2018DDoS攻击】IP团伙行为分析报告
    • 时间:2019-01-23
    • 简介:本报告是IP团伙主题系列中的开篇之作。绿盟科技后续计划研究团伙成员如何进化与联系,以及如何基于此构建更有效的防御措施。首次将DDoS攻击作为协同团伙活动进行研究,从这一全新角度来研究DDoS攻击,可以获得一些独特见解,有助于我们更好地检测、缓解、取证分析甚至预测DDoS攻击。
    • 链接:https://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年1月23日,绿盟科技漏洞库已收录总条目达到42583条。本周新增漏洞记录18条,其中高危漏洞数量7条,中危漏洞数量11条,低危漏洞数量0条。

  • Siemens SICAM A8000 Series 拒绝服务安全漏洞(CVE-2018-13798)
    • 危险等级:中
    • cve编号:CVE-2018-13798
  • Xytronix Research&Design ControlByWeb X-320M 跨站脚本漏洞(CVE-2018-18882)
    • 危险等级:高
    • cve编号:CVE-2018-18882
  • Xytronix Research&Design ControlByWeb X-320M 身份验证安全漏洞(CVE-2018-18881)
    • 危险等级:高
    • cve编号:CVE-2018-18881
  • ABB CP400PB TextEditor 输入验证漏洞(CVE-2018-19008)
    • 危险等级:高
    • cve编号:CVE-2018-19008
  • OmronCX-Supervisor 代码注入安全漏洞(CVE-2018-19011)
    • 危险等级:高
    • cve编号:CVE-2018-19011
  • OmronCX-Supervisor 命令注入安全漏洞(CVE-2018-19015)
    • 危险等级:高
    • cve编号:CVE-2018-19015
  • OmronCX-Supervisor 命令注入安全漏洞(CVE-2018-19013)
    • 危险等级:中
    • cve编号:CVE-2018-19013
  • OmronCX-Supervisor 类型混淆安全漏洞(CVE-2018-19019)
    • 危险等级:高
    • cve编号:CVE-2018-19019
  • OmronCX-Supervisor 释放后重利用安全漏洞(CVE-2018-19017)
    • 危险等级:高
    • cve编号:CVE-2018-19017
  • Microsoft Team Foundation Server信息泄露安全漏洞(CVE-2019-0647)
    • 危险等级:中
    • BID:106650
    • cve编号:CVE-2019-0647
  • Microsoft Team Foundation Server跨站脚本安全漏洞(CVE-2019-0646)
    • 危险等级:中
    • BID:106651
    • cve编号:CVE-2019-0646
  • Microsoft Skype for Business Server 欺骗安全漏洞(CVE-2019-0624)
    • 危险等级:中
    • cve编号:CVE-2019-0624
  • Adobe Acrobat和Reader 缓冲区溢出漏洞(CVE-2018-19722)
    • 危险等级:中
    • cve编号:CVE-2018-19722
  • IBM Security Identity Manager XML外部实体注入漏洞(CVE-2018-2019)
    • 危险等级:中
    • BID:106657
    • cve编号:CVE-2018-2019
  • TP-Link WDR Series 命令注入漏洞( CVE-2019-6487)
    • 危险等级:中
    • cve编号:CVE-2019-6487
  • Schneider Electric IIoT Monitor 信息泄露漏洞( CVE-2018-7839)
    • 危险等级:中
    • cve编号:CVE-2018-7839
  • GNU C Library string组件拒绝服务安全漏洞(CVE-2019-6488)
    • 危险等级:中
    • cve编号:CVE-2019-6488
  • GNU C Library 安全漏洞(CVE-2016-10739)
    • 危险等级:中
    • cve编号:CVE-2016-10739

(数据来源:绿盟威胁情报中心)

 

Spread the word. Share this post!

Meet The Author

Leave Comment