绿盟科技技术博客

【预警通告】BadTunnel超级漏洞威胁预警通告

2016-06-26绿盟科技BadTunne 漏洞, BadTunne超级漏洞, Win95到Win10 漏洞, windows 漏洞, windows漏洞修复, windows漏洞利用, windows漏洞攻击, 绿盟科技

2016年6月15日，微软发布了6月安全更新，其中有一个高危漏洞被修复，此漏洞能够影响从Windows 95到Windows10所有版本的操作系统，可能为Windows漏洞史上影响范围最广的漏洞。

Struts2 S2-037(CVE-2016-4438)漏洞分析

2016-06-26tang3Apache Struts2 漏洞, Apache Struts2 漏洞检测, CVE-2016-4438, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析（好像是他们提交的？），和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞，而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断，而且感觉rest插件配置有点麻烦，就没有跟S2-033这个鸡肋。但是没想到居然还有后续，这次是想偷懒也没得躲了╮(╯▽╰)╭，下面就让我们来看看这个漏洞到底是个什么玩意儿~~

Struts2远程代码执行漏洞（S2-037）技术分析与防护方案

2016-06-26李东宏Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

继Apache Struts S2-033后，Apache官方披露了一个新的高级别漏洞，影响范围比S2-033更广。无论是否在开启动态方法调用（Dynamic Method Invocation）的情况下，攻击者使用REST插件调用恶意表达式均可以远程执行代码。
此漏洞编号为 CVE-2016-4438，定名为 S2-037。

WVSS和RSAS 助你快速检测Apache Struts2远程代码执行漏洞S2-037

2016-06-26李静Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, WVSS RSAS, 绿盟科技

Apache Struts2在使用REST插件的情况下，攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438，定名S2-037。该漏洞和S2-033漏洞触发流程基本一致，都是在ActionMapping中methodName带入到OGNL表达式中执行，从而导致任意代码执行。你还在担心无法快速确认自己的业务是否安全吗？WVSS和RSAS 助你快速确认风险。

【预警通告】Struts2三爆远程代码执行漏洞（S2-037）

2016-06-26绿盟科技Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

2016年5月12日，Apache官方发布安全通告S2-033（CVE-2016-3087），在开启动态方法调用（Dynamic Method Invocation）的情况下，攻击者使用REST插件调用恶意表达式可以远程执行代码。

信息泄露之拖库撞库思考（3）

2016-06-26绿盟科技信息泄露, 拖库, 拖库撞库, 拖库撞库, 撞库, 撞库攻击, 数据库拖库

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。

信息泄露之拖库撞库思考（2）

2016-06-26绿盟科技信息泄露, 拖库, 拖库撞库, 拖库撞库, 撞库, 撞库攻击, 数据库拖库

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。

TAC检测恶意样本扩展分析实例(下篇)

2016-06-25刘弘利TAC, 恶意应用样本, 恶意样本, 恶意样本分析, 恶意样本分析, 恶意样本扩展分析, 恶意样本提取, 恶意样本查找, 恶意样本检测, 检测恶意样本

上篇中，通过对恶意样本的TAC告警分析，以及借助第三方平台进行扩展分析，给大家展示了一个恶意样本有可能的行为，有可能的来源等。下篇，我们来看一下通过手工分析的部分。恶意样本分析的上篇，我们通过对恶意样本的TAC告警分析，以及借助第三方平台进行扩展分析，让大家了解，一个恶意样本有可能的行为，并尝试找到样本来源。下篇，我们来看一下通过手工分析恶意样本的行为。

【预警通告】数据采集系统ESC8832漏洞

2016-06-25绿盟科技ESC8832数据采集系统, ESC8832漏洞, 数据采集, 数据采集系统, 数据采集系统漏洞, 绿盟科技

2016年6月2日，ICS-CERT通报独立研究员Maxim Rupp于2015年2月18日发现了在Environmental Systems Corporation(ESC)8832存在远程越权使用漏洞。ESC表示设备中没有多余的空间做额外的安全补丁，所以固件更新是不可能了。
该设备主要用于能源部门，尤其是石油和天然气领域，用于校准并开关气管电磁阀以及其它ICS/SCADA设备。
通过互联网信息了解到，已经发现有电厂使用了此设备，攻击者可以利用该漏洞远程控制电厂系统。
此漏洞编号为CVE-2016-4502，ICS-CERT定名为ICSA-16-147-01。