【月报】绿盟科技网络安全威胁9月一览

高危漏洞发展趋势

2018年9月绿盟科技安全漏洞库共收录270漏洞, 其中高危漏洞122个，微软高危漏洞61个，整体态势平稳增长。

互联网安全时间

Cisco产品多个漏洞

时间：2018-09-06

摘要：当地时间9月5日，Cisco官方发布了30份关于其产品不同程度漏洞的安全报告，其中包括3个严重漏洞。

链接：http://blog.nsfocus.net/cisco-cve-2018-11776/

Windows 0day漏洞遭黑客组织利用

时间：2018-09-07

摘要：PowerPool组织在恶意广告系列中使用Windows本地特权漏洞，该漏洞存在于Windows的任务调度程序中，并与处理高级本地过程调用（ALPC）系统中的错误相关联。仅用了两天时间大约9个国家受攻击，包括智利，德国，印度，菲律宾，波兰，俄罗斯，英国，美国和乌克兰。

链接：http://toutiao.secjia.com/article/page?topid=110763

黑客秒破特斯拉model S钥匙系统获取车辆控制权

时间：2018-09-12

摘要：研究员发现特斯拉Model S的钥匙系统存在缺陷，利用这个缺陷可以在几秒钟内完成汽车钥匙的克隆，从而获得车辆的控制权。根据分析，这个缺陷可能也会影响到McLaren和Karma销售的汽车，以及Triumph销售的摩托车，因为他们使用了同一厂商的无钥匙进入系统。

链接：http://blog.nsfocus.net/tesla-model-key-system/

苹果App Store中含恶意软件

时间：2018-09-10

摘要：苹果公司的Mac App Store是一个非常受欢迎的应用程序，旨在保护其用户免受广告软件和恶意软件威胁，具有讽刺意味的是，恶意软件在Mac未同意的情况下秘密窃取他们的浏览历史，并将其发送到中国的服务器。

链接：http://toutiao.secjia.com/article/page?topid=110782

摄像头0day漏洞导致80万设备受影响

时间：2018-09-18

摘要：由于缓冲区溢出0day漏洞，多达800,000个闭路电视摄像头使用的固件可以攻击。该漏洞使黑客可以访问监控摄像头，监视和操纵视频源或植入恶意软件。

链接：http://toutiao.secjia.com/article/page?topid=110816

Cisco IOS XE Software Static Credential漏洞

时间：2018-09-20

摘要：当地时间9月19日，Cisco官方发布了一则通告称IOS XE Software中存在一个高危漏洞（CVE-2018-0150）。该漏洞是源于一个未记录的用户账户，该账户具有默认的用户名和密码并且权限等级为15。 一个未授权的攻击者可以利用此帐户远程连接到受影响的设备来利用此漏洞。 成功利用可能允许攻击者以权限级别15访问权限登录设备。

链接：http://blog.nsfocus.net/cve-2018-0150/

Locky勒索软件复出

时间：2018-09-13

摘要：7月和8月用于攻击的勒索软件家族是臭名昭着的Locky勒索软件，这个新的恶意软件用Python编写，名为PyLocky，它与PyInstaller一起打包，与其他Python恶意软件相比，PyLocky能脱颖而出的是反机器学习能力。

链接：http://toutiao.secjia.com/article/page?topid=110799

QBOT变种近期活动及分析

时间：2018-09-21

摘要：近期发现首例结合Mirai扫描特征的QBOT变种，同时该变种还增加了多个漏洞利用进行传播。从其传播的方式可以看出，该变种主要是针对路由器、家庭网关设备进行攻击，目标群体为网络质量较好的互联网用户(包括商户，企业，对网络要求较高的个人用户)。按照我们对qbot及其变种的监控情况来看，近期捕获的qbot变种较多，表明其活动较为活跃，处于构建僵尸网络的阶段。

链接：http://blog.nsfocus.net/qbot/

电商网站遭黑客入侵

时间：2018-09-21

摘要：Magecart黑客组织 设法渗透到 Newegg 网站并窃取了在2018年8月14日至9月18日期间输入支付卡信息的所有客户的信用卡详细信息 。黑客 在Newegg网站的结账页面插入了几行恶意Javascript代码，这些网页捕获了在网站上进行购买的客户的付款信息，然后将其发送到远程服务器。

链接：http://toutiao.secjia.com/article/page?topid=110839

VPNFilter III:恶意软件中“瑞士军刀”的增强工具包

时间：2018-09-28

摘要：VPNFilter是一个多阶段模块化的恶意软件，已经感染了全球数十万的网络设备。之前的报告中介绍过VPNFilter的三个阶段，近日思科Talos又发现了另外7个第三阶段模块。这些模块为恶意软件新增的功能包括扩展在网络端点之间横向移动的能力、数据过滤和多个加密隧道功能用以掩护C2通信及数据泄漏流量。

链接：http://blog.nsfocus.net/vpnfilter-iii/

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

1. 2018-09-13 Microsoft Word PDF远程代码执行安全漏洞（CVE-2018-8430）
http://www.nsfocus.net/vulndb/41166
综述:Microsoft Word是Office套件中的一款文字处理软件。Microsoft Word中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
 
2. 2018-09-13 Microsoft ChakraCore内存破坏安全漏洞（CVE-2018-8459）
http://www.nsfocus.net/vulndb/41128

综述:ChakraCore是使用在Edge中的一个开源的JavaScript引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft ChakraCore脚本引擎处理内存对象方式中存在远程代码执行漏洞。

3. 2018-09-17 Adobe ColdFusion 任意文件上传漏洞（CVE-2018-15961）
http://www.nsfocus.net/vulndb/41178

综述:Adobe ColdFusion是一款动态Web服务器产品。Adobe ColdFusion由于未限制文件的上传。攻击者可利用该漏洞执行任意代码。

4. 2018-09-19 Apache SpamAssassin 任意代码执行漏洞（CVE-2018-11781）
http://www.nsfocus.net/vulndb/41201

综述:Apache SpamAssassin是一款开源的垃圾邮件过滤器。Apache SpamAssassin 3.4.2版本，meta rule语法存在安全漏洞。

5. 2018-09-03 Foxit Reader 任意代码执行安全漏洞（CVE-2018-14317）
http://www.nsfocus.net/vulndb/40988

综述:Foxit Reader是一款PDF文档阅读器。Foxit Reader 9.1.0.5096版本，在PDF文件的处理存在类型混淆漏洞。

6. 2018-09-18 D-Link DIR-816 A2 命令注入漏洞（CVE-2018-17068）
http://www.nsfocus.net/vulndb/41187

综述:D-Link DIR-816 A2是一款无线路由器产品。D-Link DIR-816 A2 1.10 B05版本，/goform/Diagnosis中handler函数在实现中存在命令注入漏洞，可使攻 击者通过sendNum参数的shell元字符，利用此漏洞导致命令注入。
 
7. 2018-09-11 多款I-O DATA产品任意命令执行漏洞（ CVE-2018-0663）
http://www.nsfocus.net/vulndb/41088

综述:I-O DATA TS-WRLP、TS-WRLA和TS-WRLP/E都是网络摄像机产品。多款I-O DATA产品存在安全漏洞，该漏洞源于程序使用了硬编码凭证。
 
8. 2018-09-05 Tenda AC9和AC10 操作系统命令注入漏洞（CVE-2018-16334）
http://www.nsfocus.net/vulndb/41011

综述:Tenda AC9是一款无线路由器产品。Tenda AC9 15.03.05.19(6318)_CN版本和AC10 15.03.06.23_CN版本及之前版本，POST请求中的‘mcc’参数直接用于了doSystemCmd函数调用，可造成操作系统命令注入。
 
9. 2018-09-04 ImageMagick CheckEventLogging拒绝服务安全漏洞（ CVE-2018-16328）
http://www.nsfocus.net/vulndb/41014

综述:ImageMagick是一套开源的图象处理软件。该软件可读取、转换、写入多种格式的图片。ImageMagick 7.0.8-8之前版本，MagickCore/log.c文件的‘CheckEventLogging’函数存在安全漏洞。   
 
10. 2018-09-04 OpenJPEG 堆缓冲区溢出漏洞（CVE-2018-16375）
http://www.nsfocus.net/vulndb/41007
综述:OpenJPEG是一款基于C语言的开源JPEG 2000编码解码器。OpenJPEG 2.3.0版本，bin/jpwl/convert.c文件存在基于堆的缓冲区溢出漏洞，该漏洞源于程序未检查‘pnmtoimage’函数中的header_info.height和header_info.width。

DDoS攻击类型

小提示

• Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是358.8倍。

• NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是556.9倍。

• SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议， 而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

点击“阅读原文”查看完整报告

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP