绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报,请访问绿盟科技博客 .
2018年08月数据统计
高危漏洞发展趋势
2018年08绿盟科技安全漏洞库共收录284个漏洞, 其中高危漏洞106个,微软高危漏洞58个,整体态势平稳
互联网安全事件
标题:台积电计算机病毒导致停产事件
时间:2018-08-07
摘要:台湾半导体制造公司(台积电) – 全球最大的半导体和处理器制造商,为许多业界最大的科技公司生产处理器和其他芯片,包括Apple、AMD、NVDIA、Qualcomm等。根据台积电的消息,已经确定所感染的病毒为WannaCryptor(又名WannaCry)的变种类型,导致内部网络感染病毒引起部分工厂生产中断。
标题:Turla变种针对Microsoft Outlook后门发起C&C攻击
时间:2018-08-24
摘要:APT组织Turla(或称Snake或Uroburos)针对Microsoft Outlook后门发起攻击,该后门用于获取至少三个欧洲国家当局的敏感通信,并不使用传统的命令和控制(C&C)方式,例如基于HTTP(S),而是通过电子邮件附件中的特制PDF文件,指示受感染的机器执行一系列命令。命令包括数据泄露、下载其他文件以及执行其他程序和命令。
标题:PHP反序列化漏洞
时间:2018-08-21
摘要:黑客使用以前风险较低的函数触发PHP编程语言中的关键反序列化漏洞。这项技术可使成千上万的Web应用程序受到远程代码执行攻击,包括由一些流行的内容管理系统(如WordPress和Typo3)提供支持的网站。
标题:朝鲜Darkhotel APT组织在野外攻击
时间:2018-08-20
摘要:与朝鲜有关的Darkhotel APT小组正在利用VBScript引擎中的CVE-2018-8373漏洞进行野外攻击。 该漏洞影响Internet Explorer 9,10和11,并影响了Windows最新版本的VBScript引擎。
标题:Apache Struts2 远程代码执行漏洞
时间:2018-08-22
摘要:Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(CVE-2018-11776,CNVD-2018-15894,CNNVD-201808-740)。
标题:HP喷墨打印机远程代码执行漏洞
时间:2018-08-07
摘要:惠普已发布固件更新,以解决影响某些喷墨打印机的两个关键RCE缺陷。跟踪为CVE-2018-5924和CVE-2018-5925的两个漏洞可被攻击者利用来触发堆栈或静态缓冲区溢出。 攻击者可以通过向易受攻击的喷墨打印机发送特制文件来利用这些漏洞。
标题:Siemens有关产品高危漏洞
时间:2018-08-13
摘要:西门子发布官方通告称其SIMATIC STEP7和WinCC产品中使用的TIA Portal(Totally Integrated Automation Portal)软件存在两个高危漏洞(CVE-2018-11453,CVE-2018-11454),影响该2款产品的多个版本。
标题:黑客利用未打补丁的MikroTik路由器挖矿
时间:2018-08-06
摘要:安全研究人员发现至少有三个大型恶意软件活动利用数十万个未打补丁的MikroTik路由器在连接到它们的计算机上秘密安装加密货币矿工。恶意软件活动已经损害了来自全世界拉脱维亚网络硬件提供商Mikrotik的210,000多台路由器,其感染数量仍在增加。
标题:艾默生DeltaV DCS Workstations多个安全漏洞
时间:2018-08-21
摘要:艾默生(Emerson)DeltaV DCS Workstations修复了多个安全漏洞,涉及目录穿越,权限提升和栈溢出等,CVSS 3.0评分最高9.6分。目前艾默生官方已经发布了相应补丁进行了修复。
https://blog.nsfocus.net/emerson-deltav-dcs/
标题:WordPress Plainview Activity Monitor插件远程命令执行漏洞
时间:2018-08-30
摘要:WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。
(来源:绿盟科技威胁情报与网络安全实验室)
绿盟科技漏洞库十大漏洞
声明:本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 <security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。
1. 2018-08-27 Adobe Acrobat/Reader任意代码执行安全漏洞(CVE-2018-12799)
NSFOCUS ID: 40913
综述:Adobe Acrobat是一套PDF文件编辑和转换工具,Reader是一套PDF文档阅读软件。Adobe Acrobat和Reader中存在安全漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
2. 2018-08-16 Microsoft Excel远程代码执行安全漏洞(CVE-2018-8375)
NSFOCUS ID: 40863
综述:Excel是微软公司的办公软件的试算表软件组件。Microsoft Excel软件没有正确处理内存中的对象,存在远程执行代码漏洞。
3. 2018-08-27 Adobe Flash Player 缓冲区溢出漏洞(CVE-2018-12826)
NSFOCUS ID: 40917
综述:Adobe Flash Player是一款跨平台、基于浏览器的多媒体播放器产品。Adobe Flash Player中存在越界读取漏洞。远程攻击者可利用该漏洞获取敏感信息。
4. 2018-08-31 Tencent Foxmail 命令注入漏洞(CVE-2018-11616)
NSFOCUS ID: 40984
综述:Tencent Foxmail是一款电子邮件客户端软件。该软件主要提供基于Internet标准的电子邮件收发功能。Tencent Foxmail 7.2.9.115版本,在URI处理程序中存在命令注入漏洞。
5. 2018-08-30 phpMyFAQ SQL注入漏洞(CVE-2014-6045)
NSFOCUS ID: 40980
综述:phpMyFAQ是一套开源的完全数据库驱动的FAQ(问答)系统。phpMyFAQ 2.8.13之前版本中存在SQL注入漏洞。远程攻击者可利用该漏洞执行任意的SQL命令。
6. 2018-08-27 Struts 2 远程代码执行漏洞(CVE-2018-11776)
NSFOCUS ID: 40895
综述:Apache Struts是是一套用于创建企业级Java Web应用的开源MVC框架。Apache Struts2 2.3.0 – 2.3.34、2.5.0 – 2.5.16版本在实现上存在远程代码执行漏洞。
7. 2018-08-17 Citrix XenServer 路径遍历漏洞(CVE-2018-14007)
NSFOCUS ID: 40882
综述:Citrix XenServer是一套用于管理云、服务器和桌面虚拟基础架构的开源虚拟化平台。Citrix XenServer 7.1及之后版本中存在目录遍历漏洞。
- 2018-08-15 WordPress 任意文件上传漏洞(CVE-2018-14028)
NSFOCUS ID: 40789
综述:WordPress是一套使用PHP语言开发的博客平台。WordPress 4.9.7版本中存在安全漏洞,该漏洞源于程序没有检测通过admin区域上传的插件是否为ZIP文件。
9. 2018-08-28 Samba 远程内存破坏安全漏洞(CVE-2018-10858)
NSFOCUS ID: 40922
综述:Samba是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软件。Samba在实现中存在堆缓冲区溢出漏洞,该漏洞源于samba客户端没有充分的检测目录列表中过长的文件名。
10. 2018-08-29 ASUS DSL-N12E_C1 远程命令执行漏洞(CVE-2018-15887)
NSFOCUS ID: 40952
综述:ASUS DSL-N12E_C1是一款无线路由器产品。ASUS DSL-N12E_C1 1.1.2.3_345版本,Main_Analysis_Content.asp文件存在远程命令执行漏洞。
DDoS攻击类型
小提示
- Chargen Flood:Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称,这种攻击类型最大放大倍数是8倍。
- NTP Flood:又称NTP Reply Flood Attack,是一种利用网络中时间服务器的脆弱性(无认证,不等价数据交换,UDP协议),来进行DDoS行为的攻击类型。有记录称,这种攻击类型最大放大倍数是9倍。
- SSDP Flood:智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的相互发现及感知是通过SSDP协议(简单服务发现协议)进行的。
攻击者伪造了发现请求,伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求,结果被害者就收到了大量智能设备返回的数据,被攻击了。有记录称,这种攻击类型最大放大倍数是30.8倍。
更多相关信息,请关注绿盟科技DDoS威胁报告。
博文精选
绿盟科技发布《2018上半年网络安全观察报告》
近年来,安全事件逐渐成为媒体的宠儿,尤其是个人信息泄露、银行资金窃取和IoT 设备的攻击利用事件 牵动着众人的眼球。在公众关注度方面,从近两年的百度指数就能看出,“个人信息泄露”和“黑客”等关键词的整体日均值都在历史中高位波动,网络安全和信息安全已经不仅仅是一个技术问题,而是关乎普罗大众的民生问题。
https://blog.nsfocus.net/network-security-observation-report-2018/
基于智能学习与业务感知的工控安全监测体系建设
绿盟科技针对工控系统网络可能发生的异常行为进行安全监测研究,深入解析不同行业工控系统使用的工控协议,利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配,重点对工控系统监测审计与入侵检测技术进行了深入研究,提出了基于智能学习与业务感知的工控安全监测体系。
浅谈金融行业APT防御体系 建设思路
随着金融行业交易数据的电子化发展,以及互联网金融不断发展出现的业务模式的创新,可以说IT信息系统已经是金融立命之本,起面临的各类的安全风险和挑战不容任何一家金融机构去忽视它。
https://blog.nsfocus.net/financial-industry-apt-defense-system/
(来源:绿盟科技博客)
安全会议
安全会议是从近期召开的若干信息安全会议中选出,仅供参考。
DerbyCon
时间:October 3 – October 7, 2018
简介: DerbyCon is an infosec conference that prides itself on its family feel. That means industry professionals, hobbyists, and people with an interest in security are welcome to attend.
网址:https://www.derbycon.com/