酷应用

盘点6月|发生在你身边的潜在威胁有增无减

百家作者：绿盟科技 2017-06-29 10:14:23

关键词：高危漏洞、 DDoS攻击事件、安全会议、绿盟科技漏洞库、绿盟科技博客

摘要： 绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

获取最新的威胁月报，请访问绿盟科技博客 http://blog.nsfocus.net/

一. 2017年6月数据统计

高危漏洞发展趋势

2017年6月绿盟科技安全漏洞库共收录203个漏洞, 其中高危漏洞110个，微软高危漏洞95个，上月监测到CVE公布高危漏洞数量为387个。相比5月份漏洞数量有所上扬。

互联网安全漏洞

Spring Web Flow 远程代码执行漏洞(CVE-2017-4971)

来源：http://blog.nsfocus.net/spring-web-flow-remote-code-execution-vulnerability/

简述：Spring Web Flow发布了更新补丁修复了一个Spring Web Flow 在数据绑定上存在的一个漏洞（CVE-2017-4971, CNNVD-201706-147）。该漏洞源于在Model的数据绑定上没有指定相关model的具体属性，从而导致恶意的表达式可以通过表单提交并且被执行，导致远程代码执行。

VMware vSphere Data Protection (VDP)安全漏洞

来源：http://blog.nsfocus.net/vdp-security-vulnerabilities/

简述：VMware官方发布通告，披露了2个存在于vSphere Data Protection(VDP)的漏洞：VDP Java反序列化漏洞（CVE-2017-4914, CNNVD-201706-260），攻击者可以通过该漏洞远程执行任意代码；VDP本地存储vCenter服务器凭据漏洞（CVE-2017-4917），本地存储的凭据采取的加密方式可逆，攻击者可能获取明文的凭据。VMware官方已经发布了相关升级补丁修复了该漏洞。

暗云III木马程序

来源：http://blog.nsfocus.net/dark-clouds-iii-trojan-program/

简述：一款名为暗云III的木马被发现在网络上有大面积的攻击行为，该木马通过下载站点大规模传播，随后会感染磁盘MBR来实现开机自动，大量用户被检测到受感染。

Linux 多个内核拒绝服务漏洞

来源：http://blog.nsfocus.net/linux-multiple-kernel-denial-service-vulnerabilities/

简述：Linux内核存在的多个拒绝服务漏洞被公布，涉及CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077，影响几乎所有Linux kernel 2.5.69 ~Linux kernel 4.11的内核版本。

TP-LINK WR841N V8 Router 代码执行漏洞

来源：http://blog.nsfocus.net/tp-link-wr841n-v8-router-code-execution-vulnerability/

简述：IoT安全公司Senrio 披露了存在于TP-LINK WR841N V8版本的路由器的2个安全漏洞，成功利用漏洞可以使得攻击者在该路由器上执行任意代码。据Senrio的研究人员表示，该型号的路由器的配置服务（configuration service）存在一个逻辑漏洞（CVE-2017-9466），攻击者可以绕过访问限制来重置路由器的验证信息（密码等）。

多个Apache httpd安全漏洞

来源：http://blog.nsfocus.net/tp-link-wr841n-v8-router-code-execution-vulnerability/

简述： Apache 官方发布了httpd的新版本修复了多个安全漏洞，涉及CVE-2017-3167，CVE-2017-3169，CVE-2017-7659，CVE-2017-7668，CVE-2017-7679，可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。

Petya变种勒索爆发（NotPetya）

来源：http://blog.nsfocus.net/enterprise-infection-mbr-extortion-virus-threat/

简述：北京时间6月27日，据国外社交媒体消息，乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁，导致主机无法正常引导开机，严重影响了国家多个正常业务的运转；同时6月27日晚间，国内部分外企也确认有发现感染同样的勒索病毒。

Industroyer工控恶意软件

来源：http://toutiao.secjia.com/industroyer-ics-malware-analysis-protection

简述：2017年6月8日，安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer ，并提前向Dragos公司做了通告，Dragos通过对ESET分析结果进行验证后， 6月12日公布了Win32/Industroyer的hash信息以及分析报告。随后，绿盟科技发布了Industroyer工控恶意软件分析与防护方法，报告全文见文末附件下载。

32TB windows源代码泄露

来源：http://toutiao.secjia.com/windows10-source-code-leaked#

简述：来自外媒消息，微软已经确认32TB的微软Windows 10核心源代码遭到了泄露，源代码泄漏的前一天, 两名男子在英国被捕, 他们未经授权的访问微软的网络。侦探即刻实施抓捕, 拘捕了来自林肯郡的一名 22岁的男子, 以及一名来自布拉克内尔的 25 岁男子。

维基解密第12批：残暴袋鼠Brutal Kangaroo项目

来源：http://toutiao.secjia.com/cia-vault-7-brutal-kangaroo

简述：6月22日, 维基解密公布 cia 残暴袋鼠 Brutal Kangaroo 项目文件，并称残暴袋鼠计划是运行在Windows上的的工具套件, 它通过使用U盘等移动存储设备突破隔离的网络。该项目组件在隔离网络中，创建自定义的隐蔽网络，并为执行查询、列表目录和执行任意文件提供服务。

Google又披露了一个微软高危漏洞CVE-2017-0037

来源：http://www.nsfocus.com.cn/content/details_47_2377.html

简述：谷歌Project Zero披露了微软Edge和Internet Explorer浏览器中的一个“高危”漏洞CVE-2017-0037 （CNNVD-201702-882）。远程攻击者可利用该漏洞执行任意代码。相关信息表明，由于尚未提供上一个已知漏洞的补丁，微软已经推迟了本月的例行补丁发布。

Chrome发布新版本了 Chrome 57修复了36个漏洞

来源：http://toutiao.secjia.com/chrome-57-fix-36-vulnerabilities

简述：Chrome 57中修复了数个媒体安全问题，这些问题包括Omnibox中的地址欺骗问题、Blink中的内容安全策略绕过、Cast中的cookie错误处理、Skia中的堆溢出、GuestView中的两个释放后使用问题以及V8、XSS Auditor和Blink中的信息泄露问题。

维基解密第10批这次是Pandemic植入项目

来源：http://toutiao.secjia.com/cia-vault-7-pandemic-implant

简述：维基解密发布了一份新的文件, 属于 cia 项目代号为 "Pandemic" 的 Vault7 文档。

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

1. 2017-05-25 Samba远程代码执行漏洞（CVE-2017-7494）

NSFOCUS ID: 36755

链接:http://www.nsfocus.net/vulndb/36755

综述:Samba，是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软件。Samba服务器软件存在远程执行代码漏洞。

危害:攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录，会导致服务器加载并执行指定的库文件

2. 2017-06-15 Microsoft Windows LNK远程代码执行漏洞(CVE-2017-8464)

NSFOCUS ID: 36895

链接:http://www.nsfocus.net/vulndb/36895

综述:Microsoft Windows是流行的计算机操作系统。Microsoft Windows在处理构造的.lnk文件中存在远程代码执行漏洞。

危害:攻击者可以通过诱使受害者浏览恶意文件来利用此漏洞，从而控制受害者系统

3. 2017-06-14 Microsoft Edge远程内存破坏漏洞(CVE-2017-8548)

NSFOCUS ID: 36838

链接:http://www.nsfocus.net/vulndb/36838

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft浏览器处理内存对象时，JavaScript引擎呈现方式中存在远程代码执行漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

4. 2017-06-09 WebKit 内存破坏漏洞(CVE-2017-2530）

NSFOCUS ID: 36811

链接:http://www.nsfocus.net/vulndb/36811

综述:WebKit是一个开源的浏览器引擎。iOS多个版本中存在安全漏洞，此漏洞位于Webkit组件中，可以导致执行任意代码或造成拒绝服务。。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

5. 2017-06-20 Apache HTTP Server 缓冲区溢出漏洞(CVE-2017-7668)

NSFOCUS ID: 36933

链接:http://www.nsfocus.net/vulndb/36933

综述:Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。httpd的多个版本，在令牌列表解析中存在缓冲区溢出漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

6. 2017-06-15 Microsoft Windows Kernel 'Win32k.sys' 本地权限提升漏洞(CVE-2017-8468)

NSFOCUS ID: 36919

链接:http://www.nsfocus.net/vulndb/36919

综述:Microsoft Windows是流行的计算机操作系统。Windows kernel未正确处理内存地址，在实现上存在权限提升漏洞。

危害:本地攻击者可以利用此漏洞来提升权限，对系统进行非授权的访问

7. 2017-06-20 FreeType 2 越界写缓冲区溢出漏洞(CVE-2017-8105)

NSFOCUS ID: 36940

链接:http://www.nsfocus.net/vulndb/36940

综述:FreeType是一个流行的字体函数库。FreeType 2存在堆缓冲区溢出漏洞造成的越界写。

危害:攻击者可以通过诱使受害者打开恶意字体文件来利用此漏洞，从而控制受害者系统

8. 2017-06-22 Cisco IOS XR Software本地命令注入漏洞（CVE-2017-6719）

NSFOCUS ID: 36958

链接:http://www.nsfocus.net/vulndb/36958

综述:Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XR Software在CLI实现中存在安全漏洞。

危害:经过身份验证的本地攻击者在主机操作系统上，可以以root权限执行任意命令

9. 2017-05-31 Juniper Networks Junos Space任意代码执行漏洞(CVE-2017-2306)

NSFOCUS ID: 36770

链接:http://www.nsfocus.net/vulndb/36770

综述:Junos Space是网络管理平台。Juniper Networks Junos Space由于无效的授权检查，在实现上存在安全漏洞。

危害:只读用户可以利用此漏洞在web管理接口执行任意代码

10. 2017-06-05 Apache Hadoop远程权限提升漏洞(CVE-2017-7669)

NSFOCUS ID: 36777

链接:http://www.nsfocus.net/vulndb/36777

综述:Apache Hadoop是支持数据密集型分布式应用并以Apache 2.0许可协议发布的软件框架。Apache Hadoop的LinuxContainerExecutor没有有效验证输入，存在漏洞。

危害:经过身份验证的本地攻击者在主机操作系统上，可以以root权限执行任意命令。

DDoS攻击类型

6月份绿盟科技科技威胁情报及网络安全实验室收集及梳理了近2万次攻击，与5月份相比，攻击次数变化不明显，但在这个月的攻击类型中， CHARGEN攻击和SSDP攻击是主要的攻击类型，在攻击事件中超过50%

小提示

• Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是358.8倍。

• NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是556.9倍。

• SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议，而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

更多相关信息，请关注绿盟科技DDoS威胁报告。

博文精选

金融行业未知威胁检测探知之道

烟草行业工控安全防护思路

不是空头勒索，聚焦真实对抗

信息科技风险管理流程优化

云安全如何站队：SDN or NFV

如何有效地开展应急响应工作

内部人员威胁的分析和防护措施

反钓鱼的整体防护思路

网络安全法解读及安全建设交流

《网络安全法》解读：这些条文务必重点关注！

《网络安全法解读（金融行业）

感兴趣的朋友可点击底部阅读原文查看

安全会议

安全会议是从近期召开的若干信息安全会议中选出，仅供参考。

Black Hat

时间：July 22-27, 2017

简介: The Black Hat conference series is a favorite among infosec professionals for its emphasis on the more technical themes of the industry.

网址：http://blackhat.com/

DEF CON

时间：July 27-30, 2017

简介: DEF CON started out in 1993 as a gathering among 10 small hacker networks. It’s since expanded over the last 24 years, becoming one of the oldest and largest security conferences in the world. DEF CON 22 (2014) alone attracted a record-breaking 14,500 attendees..

网址：https://www.defcon.org/index.html