酷应用

【月报】绿盟科技网络安全威胁1月一览

百家作者：绿盟科技 2018-01-31 04:37:34

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 http://blog.nsfocus.net/

2018年1月数据统计

高危漏洞发展趋势

2018年01月绿盟科技安全漏洞库共收录152个漏洞, 其中高危漏洞27个，微软高危漏洞10个，01月监测到CVE公布高危漏洞数量为109个。

互联网安全漏洞

英特尔处理器芯片级Meltdown及Spectre漏洞曝光过去十年IntelCPU均受影响

来源：http://toutiao.secjia.com/intel_cpu_design_flaw

简述：英特尔处理器芯片的一个基本设计问题，已经迫使Linux和Windows内核进行重新设计，以解决芯片级的安全漏洞。程序员正在争先恐后地检查开源Linux内核的虚拟内存系统。与此同时，微软预计将在周二补丁日，公开介绍Windows操作系统的必要变更：这些变化已经发送给11月份和12月份Windows Insider版本的beta测试者。绿盟科技发布《Intel处理器漏洞“ Meltdown ” “ Spectre ”影响几乎全球用户安全威胁通告》。

境外APT-C1组织

来源：http://toutiao.secjia.com/apt-c1-coinrober

简述：绿盟科技发布APT报告《互金大盗背后的高级威胁组织APT-C1》。报告首次发现并命名了境外APT-C1组织，他们利用“互金大盗”恶意软件攻击我国某互金平台，导致平台数字资产被窃，损失高达150万美元。

微软office爆出内存破坏漏洞CVE-2018-0812 可执行任意代码也可DoS

来源：http://toutiao.secjia.com/cve-2018-0812

简述：Microsoft Office 内存破坏漏洞，CVE编号CVE-2018-0812，攻击者可以利用这个问题在当前登录的用户的上下文中执行任意代码。失败的利用尝试可能会可引发 DoS攻击

工控SCADA移动应用程序安全堪忧 34个供应商147个漏洞

来源：http://toutiao.secjia.com/scada-mobile-app-security

简述：研究人员对来自34个供应商的SCADA移动应用程序进行了分析，发现其中绝大多数存在漏洞，漏洞数量达到147个，安全问题包括缺乏安全授权机制、缺乏代码混淆、缺乏安全地存储数据、缺乏通信安全，而后端系统的漏洞类型包括SQL注入漏洞、内存破坏漏洞、DoS漏洞和信息泄露漏洞，黑客完全可以利用这些漏洞影响工业生产过程，导致工控安全问题。

联想指纹识别软件Fingerprint Manager硬编码密码漏洞CVE-2017-3762 影响

来源：http://toutiao.secjia.com/cve-2017-3762#

简述：近日联想承认笔记本电脑系统中内置的认证软件Fingerprint Manager Pro (version 8.01.86)存在安全漏洞，允许攻击者访问任意装备该应用的系统。CVE ID为CVE-2017-3762，该漏洞影响9个系列的联想笔记本，用户请尽快升级到Fingerprint Manager Pro 8.01.87之后版本。该漏洞是由 Security Compass高级安全顾问Jackson Thuraisamy发现的。

Hadoop大数据平台YARN NodeManager漏洞CVE-2017-15718

来源：http://toutiao.secjia.com/cve-2017-15718

简述: Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞，CVE编号CVE-2017-15718，攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4，之前为cve-2016-3086提供的安全性修复是不完整的。

DedeCMS最新版前台任意用户登录漏洞分析

来源：http://blog.nsfocus.net/dedecms-loophole-2/

简述: DedeCMS最近又有一个缺陷被爆出来，可以绕过一些判断条件从而导致前台任意用户登录，配合上一个重置密码漏洞，可以达到从前台登录管理员账户并修改dede_admin表里的密码，也就是真正修改了管理员密码。

ElectronJs远程代码执行漏洞（CVE-2018-1000006）

来源：http://blog.nsfocus.net/cve-2018-1000006/

简述: 使用自定义协议处理程序（custom protocol handlers）的Electron应用程序被发现存在一个远程执行代码漏洞。该漏洞源于应用程序在设计时，将自身注册为协议的默认处理程序（例如myapp://），无论协议是如何注册的，例如本机代码，Windows注册表或者Electron的app.setAsDefaultProtocolClient的API，都会受到影响。

DedeCMS最新版(20180109)任意用户密码修改

来源：http://blog.nsfocus.net/dedecms-20180109/

简述: 2018年01月09日，Dedecms官方更新了DedeCMS V5.7 SP2正式版，后续在10日有网友爆出其存在任意用户密码重置漏洞。

RedHat安全更新修复OpenJDK1.8.0版本漏洞

来源：http://blog.nsfocus.net/redhat-java/

简述: RedHat安全更新修复OpenJDK1.8.0版本漏洞。

新型KillDisk变种攻击拉丁美洲金融机构

来源：http://blog.nsfocus.net/new-killdisk/

简述: 一种新型的KillDisk变种攻击被发现，该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明，该攻击可能是另一个有效载荷的一部分，或者背后存在着更大规模的攻击。

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

1. 2018-01-11 Microsoft Office远程内存破坏漏洞（CVE-2018-0802）

NSFOCUS ID: 38615

链接:http://www.nsfocus.net/vulndb/38615

综述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Office由于不正确的内存操作，在实现上存在远程代码执行安全漏洞，成功利用后可使攻击者在目标系统上执行任意代码。

危害:远程攻击者可以通过诱使受害者打开恶意office文档来利用此漏洞，从而控制受害者系统。

2. Intel CPU芯片漏洞（CVE-2017-5754、CVE-2017-5715、CVE-2017-5753）

综述: 2018年1月3号Google Project Zero 团队成员 Jann Horn 在博客中披露了英特尔等处理器芯片基础架构中存在一个非常严重的安全漏洞。该漏洞存在2种攻击方式Spectre 和 Meltdown。

危害: 攻击者通过创建一些指令在 CPU 回滚的时间窗口进行攻击，根据每条指令执行的时间差做侧信道攻击。

3. 2018-01-10 Microsoft Internet Explorer/Edge脚本引擎远程内存破坏漏洞（CVE-2018-0762）

NSFOCUS ID: 38568

链接:http://www.nsfocus.net/vulndb/38568

综述:Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Edge是内置于Windows10版本中的网页浏览器。Microsoft Internet Explorer/Edge脚本引擎未正确处理内存对象时，在实现上存在远程代码执行漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统。

4. 2018-01-11 Microsoft Word远程内存破坏漏洞（CVE-2018-0812）

NSFOCUS ID: 38611

链接:http://www.nsfocus.net/vulndb/38611

综述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Office由于不正确的内存操作，在实现上存在远程代码执行安全漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意doc文档来利用此漏洞，从而控制受害者系统。

5. 2018-01-11 VMware vSphere Data Protection任意文件上传漏洞（CVE-2017-15549）

NSFOCUS ID: 38614

链接:http://www.nsfocus.net/vulndb/38614

综述:VMware vSphere Data Protection是备份及恢复解决方案。EMC Avamar Server 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.0; EMC NetWorkerVirtual Edition (NVE) 9.0.x, 9.1.x, 9.2.x; EMC Integrated DataProtection Appliance 2.0版本在实现上存在安全漏洞。

危害:成功利用后可使远程攻击者上传任意文件到服务器文件系统。

6. 2017-12-25 Oracle WebLogic Server远程代码执行漏洞（CVE-2017-10271）

NSFOCUS ID: 38473

链接:http://www.nsfocus.net/vulndb/38473

综述:WebLogic是J2EE应用服务器，目前已推出到12c版。WebLogic WLS组件中存在远程代码执行漏洞，该漏洞利用方式简单，且能够直接获取目标服务器的控制权限。

危害:近期发现此漏洞的利用方式为传播虚拟币挖矿程序，不排除会被黑客用于其他目的的攻击。

7. 2018-01-03 Trend Micro Smart Protection Server远程命令执行漏洞（CVE-2017-14095）

NSFOCUS ID: 38500

链接:http://www.nsfocus.net/vulndb/38500

综述:Trend Micro Smart Protection Server是下一代基于云的高级保护解决方案。Trend Micro Smart Protection Server在实现上存在远程命令执行漏洞，可使攻击者通过本地文件包含，远程执行任意命令。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器。

8. 2018-01-09 Schneider Electric Pelco VideoXpert Enterprise路径遍历及访问绕过漏洞（CVE-2017-9965）

NSFOCUS ID: 38559

链接:http://www.nsfocus.net/vulndb/38559

综述:Schneider Electric Pelco VideoXpert Enterprise是视频管理系统。Schneider Electric Pelco VideoXpert Enterprise < 2.1版本在实现上存在路径遍历漏洞。

危害:攻击者通过嗅探通讯，可执行目录遍历攻击，绕过身份验证，劫持会话。

9. 2018-01-09 F5 BIG-IP SQL注入漏洞（CVE-2017-0304）

NSFOCUS ID: 38543

链接:http://www.nsfocus.net/vulndb/38543

综述:F5 BIG-IP产品可为企业提供集成的应用交付服务，如加速、安全、访问控制与高可用性。BIG-IP AFM 12.0.0, 12.1.0, 12.1.1, 12.1.2, 13.0.0版本，在实现中存在SQL注入安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问。

10. 2018-01-04 IBM QRadar SIEM命令注入漏洞（CVE-2017-1696）

NSFOCUS ID: 38513

链接:http://www.nsfocus.net/vulndb/38513

综述:IBM Security QRadar SIEM通过整合、标准化和关联日志和流数据，运用安全情报和感知分析，帮助划分安全事件的优先级，远离高级威胁。IBM QRadar 7.2、7.3版本在实现上存在安全漏洞，可使攻击者通过构造的请求，利用此漏洞执行任意命令。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器。

DDoS攻击类型

小提示

• Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是358.8倍。

• NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是556.9倍。

• SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议，而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

更多相关信息，请关注绿盟科技DDoS威胁报告。