目录 1 本周漏洞通告漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞漏洞二 :IBM WebSphere Commerce 存在多个漏洞漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞

Size: px

Start display at page:

Download "目录 1 本周漏洞通告漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞漏洞二 :IBM WebSphere Commerce 存在多个漏洞漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞"

烬珍江
5 years ago
Views:

1 北京安域领创科技有限公司安全服务通告报告周期 :2016 年 11 月第一周 (2016 年 10 月 31 日 -11 月 06 日 )

2 目录 1 本周漏洞通告漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞漏洞二 :IBM WebSphere Commerce 存在多个漏洞漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞漏洞四 : 北京天融信上网行为管理设备存在任意命令执行漏洞漏洞五 :Juniper Junos 拒绝服务漏洞漏洞六 :Cisco ASR 900 Series 缓冲区溢出漏洞本周病毒木马通告本周流行病毒木马统计 Trojan/PSW.Taworm.bcz( 木马病毒 ) Trojan/Scar.acnz( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告工业防火墙又出事了! 施耐德工业防火墙被爆严重安全漏洞谷歌又双叒叕曝光 Windows 的 0day 漏洞, 微软很不开心新型 DDos 攻击 : 利用 LDAP 服务器实现攻击放大影子经纪人的万圣节礼物 : 中国成为受 NSA 攻击最多的国家美总统大选日临近政府严阵以待防黑客攻击紧急预警通知关于 Memcached 存在多个远程代码执行高危漏洞的安全公告... 25

3 4.1.1 漏洞简介漏洞影响范围漏洞危害漏洞修复关于 GitLab 未授权访问漏洞预警漏洞简介漏洞影响范围漏洞危害漏洞修复关于 MySQL 现高危漏洞预警漏洞简介漏洞影响范围漏洞危害漏洞修复... 30

4 1 本周漏洞通告 1.1 漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD ( 安全限制绕过 ) CNVD ( 信息泄露 ) 中危 Apache Tomcat >=9.0.0.M1,<=9.0.0.M9 Apache Tomcat >=8.5.0,<=8.5.4 影响产品 Apache Tomcat >=8.0.0.RC1,<= Apache Tomcat <=7.0.0,<= Apache Tomcat >=6.0.0,<= 漏洞类型安全限制绕过 Apache Tomcat 是一个流行的开源 JSP 应用服务器程序漏洞描述 Apache Tomcat 在实现上存在安全限制绕过漏洞攻击者利用此漏洞可绕过某些安全限制, 执行未授权操作目前厂商已经发布了升级补丁以修复这个安全问题, 请到漏洞解决方案厂商的主页下载 : 1

5 1.2 漏洞二 :IBM WebSphere Commerce 存在多个漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 IBM Websphere Commerce 7 Feature Pack 8 IBM WebSphere Commerce 影响产品 IBM WebSphere Commerce >= ,<= IBM WebSphere Commerce >= ,<= IBM WebSphere Commerce <= ,<= IBM WebSphere Commerce 是美国 IBM 公司的一套电子商务解决方案该方案可在一个单一的客户交互平台上漏洞描述支持所有的销售业务模型, 包括 B2C B2B 和 B2B2C IBM WebSphere Commerce 中存在信息泄露漏洞和拒绝服务漏洞攻击者可利用这些漏洞泄露用户隐私数据, 执行未授权操作, 造成拒绝服务目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接 : swg

6 1.3 漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 远程代码执行高危影响产品 Memcached Memcached Memcached 是一个高性能的分布式内存对象缓存系统, 用于动态 Web 应用以减轻数据库负载漏洞描述 Memcached SASL 存在身份验证远程代码执行漏洞 process_bin_sasl_auth 函数处理 Memcached 二进制协议的多个命令被滥用时可导致堆溢出远程攻击者利用漏洞可执行任意代码厂商已发布新版本修复该漏洞, 请升级至官方最新版本 : 漏洞解决方案 tar.gz 3

7 1.4 漏洞四 : 北京天融信上网行为管理设备存在任意命令执行漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别影响产品 CNVD 任意命令执行高危北京天融信科技有限公司上网行为管理系统天融信上网行为管理系统是网络行为管理和内容审计的专业产品产品具有防止非法信息传播敏感信息泄漏实时监控日志追溯网络资源管理功能, 另外该产品基于天融信公司开放的系统架构及模块化设计, 具有高效实时漏洞描述的网络数据采集能力智能的信息处理能力强大的内容审计分析能力精细的行为管理能力, 是一款高性能智能灵活易于管理和扩展的上网行为管理产品北京天融信上网行为管理设备存在任意命令执行漏洞, 攻击者可利用漏洞获得服务器权限漏洞解决方案厂商尚未提供修复方案, 请关注厂商主页及时更新 : 4

8 1.5 漏洞五 :Juniper Junos 拒绝服务漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危拒绝服务漏洞影响产品 Juniper Networks Juniper Junos 9.3 Juniper Junos OS 是美国瞻博网络 (Juniper Networks) 公司的一套专用于该公司的硬件系统的网络操作系统该漏洞描述操作系统提供了安全编程接口和 Junos SDK Juniper Junos 9.3 版本的 udp6_ctlinput() 函数存在拒绝服务漏洞, 攻击者可以利用该漏洞造成拒绝服务目前厂商已经发布了升级补丁以修复这个安全问题, 请到漏洞解决方案厂商的主页下载 : nt&id=jsa10457&cat=sirt_1&actp=list 5

9 1.6 漏洞六 :Cisco ASR 900 Series 缓冲区溢出漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 Cisco ASR 900 Series Aggregation Services Routers S Cisco ASR 900 Series Aggregation Services 影响产品 Routers S Cisco ASR 900 Series Aggregation Services Routers S Cisco ASR 900 Series Aggregation Services Routers S Cisco ASR 900 Series Aggregation Services Routers S 漏洞类型拒绝服务漏洞 Cisco ASR 900 系列是模块化聚合服务路由器漏洞描述 Cisco ASR 900 在 Transaction Language 1 (TL1) 代码中存在安全漏洞, 可使远程攻击者造成受影响系统重载, 远程执行任意代码目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接 : osecurityadvisory/cisco-sa tl1 6

10 2 本周病毒木马通告 2.1 本周流行病毒木马统计 Trojan/PSW.Taworm.bcz( 木马病毒 ) 病毒危险级别 : 该病毒运行后, 会自我复制到被感染系统的 %SystemRoot%\system32\ 文件夹下, 重新命名为 emabx.exe 将恶意代码插入到 explorer.exe 进程中隐秘运行, 在后台执行恶意操作, 以此隐藏自我, 防止被轻易地查杀 Trojan/Scar.acnz( 木马病毒 ) 病毒危险级别 : 该木马运行后, 会自我复制到被感染系统的 %SystemRoot%\system32\ 文件夹下, 重新命名为 jalbks.exe 该木马具有远程监视控制等功能, 可以监视用户的一举一动 ( 如 : 键盘输入屏幕显示光驱操作文件读写鼠标操作和摄像头操作等 ) 还可以窃取修改或删除计算机中存储的机密信息, 从而对用户的个人隐私甚至是商业机密构成严重的威胁 2.2 病毒木马防范措施针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据 7

11 进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 8

3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1 工业防火墙又出事了!

12 3 安全事件通告 3.1 本周国内外安全事件通告工业防火墙又出事了! 施耐德工业防火墙被爆严重安全漏洞根据国外媒体的最新报道, 工业安全公司 CyberX 的安全研究专家在 2016 年工业控制系统 (ICS) 网络安全大会上披露了好几个严重的安全漏洞, 其中就包括一个存在于施耐德工业防火墙中的严重漏洞在此次大会上, 研究人员向公众演示了攻击者如何利用这个漏洞绕过工业控制系统 (ICS) 的安全防护措施, 并对目标 ICS 系统实施攻击如果各位同学想要了解关于此次大会的更多内容, 可以直接访问大会官网在 CyberX 所披露的安全漏洞中, 其中有一个漏洞将会影响施耐德电力工业防火墙的安全性根据安全研究专家的描述, 攻击者或可利用这个漏洞来实现远程代码执行 9

漏洞影响据了解, 该漏洞将会影响施耐德公司 ConneXium 工业级以太网防火墙的安全性该系列的防火墙产品主要用于保护工业环境下的数据采集与监视控制系统 (SCADA 系统 ) 自动化控制系统工业网络以及其他的一些关键设施总而言之, 这是一个用于确保工业自动化系统信息安全的全新工业级以太网防火墙系列产品安全研究专家在对施耐德 ConneXium

13 漏洞影响据了解, 该漏洞将会影响施耐德公司 ConneXium 工业级以太网防火墙的安全性该系列的防火墙产品主要用于保护工业环境下的数据采集与监视控制系统 (SCADA 系统 ) 自动化控制系统工业网络以及其他的一些关键设施总而言之, 这是一个用于确保工业自动化系统信息安全的全新工业级以太网防火墙系列产品安全研究专家在对施耐德 ConneXium 工业级以太网防火墙进行安全检测时, 在该系列防火墙产品的 Web 管理接口中发现了一个缓冲区溢出漏洞如果能够成功利用该漏洞的话, 那么攻击者将可以在目标设备中远程执行任意代码目前, 安全研究人员已经将关于该漏洞的信息提交给了美国的 ICS-CERT, 有关部门之后将会发布相关的安全公告根据研究人员的描述, 攻击者可以利用这个漏洞来修改目标设备的防火墙规则窃听网络数据注入恶意流量除此之外, 攻击者还可以干扰正常的网络通信需要注意的是, 安全研究专家还专门强调称 : 即使攻击者不具备非常高的黑客技术, 他们仍然可以利用这个漏洞来对防火墙系统实施攻击 10

安全研究专家在接受采访时表示 : 如果攻击者能够成功利用这个漏洞的话, 那么他们将可以获取到防火墙系统的控制权在最糟糕的情况之下, 攻击者还有可能导致工业设备发生物理损伤可编程逻辑控制器 (PLC) 通常不会对操作用户进行身份验证, 而这将允许攻击者利用 0 day 漏洞或者已知的漏洞来入侵工业设备, 并获取到设备的访问权限不幸的是, 对于攻击者来说,

14 安全研究专家在接受采访时表示 : 如果攻击者能够成功利用这个漏洞的话, 那么他们将可以获取到防火墙系统的控制权在最糟糕的情况之下, 攻击者还有可能导致工业设备发生物理损伤可编程逻辑控制器 (PLC) 通常不会对操作用户进行身份验证, 而这将允许攻击者利用 0 day 漏洞或者已知的漏洞来入侵工业设备, 并获取到设备的访问权限不幸的是, 对于攻击者来说, 想要从类似施耐德工业防火墙这样的工业设施中寻找出可利用的漏洞其实是非常简单的你想知道为什么吗? 因为 Shodan 和 Censys 这样的搜索引擎将会帮上大忙漏洞修复情况根据 CyberX 公司透露的信息, 施耐德电气目前已经开发出了能够修复该漏洞的更新补丁, 但是厂商目前由于种种原因还未能向用户推送这个修复补丁除了上述这个漏洞之外,CyberX 的安全研究人员还报告了七个存在于 PLC 控制系统中的 0 day 漏洞目前我们还不清楚这些产品具体来源于哪一家厂商, 我们只知道这家不愿意透露名称的厂商正在努力修复这些漏洞 11

3.1.2 谷歌又双叒叕曝光 Windows 的 0day 漏洞, 微软很不开心谷歌近日再次曝光 Windows 0day 漏洞, 称该漏洞可影响所有现行的 Windows 操作系统, 而微软还没来得及修复根据谷歌团队发布的博文, 该漏洞是一个本地提权漏洞, 可以让攻击者逃过沙盒过滤, 获得管理员权限, 并执行恶意代码 It can be triggered via the

15 3.1.2 谷歌又双叒叕曝光 Windows 的 0day 漏洞, 微软很不开心谷歌近日再次曝光 Windows 0day 漏洞, 称该漏洞可影响所有现行的 Windows 操作系统, 而微软还没来得及修复根据谷歌团队发布的博文, 该漏洞是一个本地提权漏洞, 可以让攻击者逃过沙盒过滤, 获得管理员权限, 并执行恶意代码 It can be triggered via the win32k.sys system call NtSetWindowLongPtr () for the index GWLP_ID on a window handle with GWL_STYLE set to WS _CHILD. 其实,10 天前谷歌就已经将此漏洞上报给微软既然已经提交微软团队, 谷歌为何在短短数日之后又将之公开? 漏洞已被利用上周五, 也就是 10 月 21 日, 我们报告了 ( 此前未公开的 ) 两个 0day 漏洞分别给 Adobe 和微软 Adobe 在 10 月 26 日更新了 Flash, 修补了 CVE 漏洞 ; 此次更新可通过 Adobe 更新程序和 Chrome 自动更新实现 12

16 7 天之后, 谷歌团队发现 Windows 系统中依然存在谷歌上报的高危漏洞, 并且微软没有发布任何安全公告或者补丁同时, 谷歌团队发现此漏洞正被积极利用, 俄罗斯 APT 黑客组织 Strontium, 也就是 Fancy Bear, 正利用此漏洞部署小规模攻击, 此组织也是美国民主党全国委员会 (DNC) 被黑事件的重点怀疑对象, 这一信息也得到了微软的确认因此, 谷歌认为此漏洞特别严重于是谷歌团队将此漏洞公开, 该举动符合谷歌在 2013 年制定的产品漏洞披露信息相关政策 : 我们建议, 厂商在 60 天内修复高危漏洞, 如果无法修复, 厂商也应知会公众风险相关信息, 并提供变通方案如果厂商需要更多时间修复漏洞, 我们鼓励研究人员发布自己的相关发现但是, 根据我们的经验, 我们认为对于高危的正被积极利用的漏洞, 厂商应在 7 天内采取更加紧急的措施 7 天的时限比较紧迫, 对于某些厂商而言, 如果要更新产品,7 天可能有些短但是, 厂商发布可能的缓解措施, 比如临时关闭某项服务限制访问或者联系厂商获取更多信息,7 天是足够的因此, 如果 7 天之后, 厂商未提供补丁或建议, 我们将支持研究者公开细节, 以便用户采取防范措施谷歌团队认为公开漏洞有两大好处 :1. 可让用户至少知晓问题的存在 ;2. 可以敦促开发者发布补丁谷歌不是第一次这么干了谷歌工程师特别擅长寻找微软软件里的漏洞 : 在 2010 年 6 月, 谷歌工程师发现了一个 Windows 高危漏洞, 只给了微软 5 天响应时间,5 天后, 工程师将漏洞细节发布在网上 ( 其中包括一个示例攻击代码 ); 去年 1 月, 谷歌 Project Zero 在给微软提交漏洞信息后, 给了微软 90 天期限修复, 但微软没有在期限内修复, 于是谷歌就曝光了漏洞细 13

节具体事件 FreeBuf 也曾报道过, 详情请戳这里当时, 微软的高级总监 Chris Betz 就曾喊话谷歌 : 我们请谷歌与我们合作, 等到 1 月 13 日我们发布补丁时, 再公布漏洞细节, 以保护客户他认为谷歌顽固执行其 90 天期限, 不像是坚守原则, 更像是套路, 最后受伤的都是客户谷歌认为正确的, 对客户来说不一定就是对的我们敦促谷歌,

17 节具体事件 FreeBuf 也曾报道过, 详情请戳这里当时, 微软的高级总监 Chris Betz 就曾喊话谷歌 : 我们请谷歌与我们合作, 等到 1 月 13 日我们发布补丁时, 再公布漏洞细节, 以保护客户他认为谷歌顽固执行其 90 天期限, 不像是坚守原则, 更像是套路, 最后受伤的都是客户谷歌认为正确的, 对客户来说不一定就是对的我们敦促谷歌, 将保护客户作为我们的首要共同目标此话一出, 谷歌方面重新考量自己的 Project Zero, 修改了披露规则, 在原有 90 天的基础上又宽限了 14 天 ( 详细情况请点这里 ) 微软 : 不开心对于谷歌此次的曝光, 微软肯定是不开心了, 他们指责谷歌欺骗网民, 混淆事实微软首先在一篇声明当中回应 : 我们认为公开漏洞时应互相配合, 谷歌此番公开漏洞, 将客户置于风险之中微软官方随后针对攻击事件在 11 月 1 日发布了安全公告 : 近日, 微软威胁情报称为 Strontium 的活动组织, 发动了一次小流量鱼叉式钓鱼攻击我们已经得知, 使用 Windows 10 周年更新版上的 Microsoft Edge 的用户不 14

会受到此次攻击的影响此次攻击, 最初由谷歌威胁分析小组发现, 利用的是 Adobe Flash 的两个 0day 漏洞和 Windows 的底层内核, 针对特定的客户群体微软发言人也表示并不是所有 Windows 版本都受到了影响 : 谷歌将这个本地提权漏洞描述为高危特别严重, 我们并不同意因为他们描述的攻击场景, 在上周 Adobe Flash 更新部署后就已经全面缓解了另外,

18 会受到此次攻击的影响此次攻击, 最初由谷歌威胁分析小组发现, 利用的是 Adobe Flash 的两个 0day 漏洞和 Windows 的底层内核, 针对特定的客户群体微软发言人也表示并不是所有 Windows 版本都受到了影响 : 谷歌将这个本地提权漏洞描述为高危特别严重, 我们并不同意因为他们描述的攻击场景, 在上周 Adobe Flash 更新部署后就已经全面缓解了另外, 我们的分析认为, 这种攻击针对 Windows 10 周年更新是无效的, 因为先前我们就已经对系统进行了安全方面的加强 Windows 执行副总 Terry Myerson 则表示谷歌的行为令人失望 Myerson 认为, Strontium 黑客组织利用谷歌报告的漏洞发动的鱼叉式钓鱼攻击是很有限的, 因此大部分 Windows 用户都没有成为攻击目标, 谷歌不必如此着急将漏洞公开 Myerson 表示, 微软将在下周二, 也就是 Patch Tuesday 发布时, 修复此漏洞 Myerson 还建议用户在等待补丁的同时, 先将系统升级为 Windows 10, 以免受到进一步攻击 15

这种攻击技术是一种利用轻量目录访问协议 (Lightweight Directory Access Protocol,LDAP) 的放大攻击, 峰值可以达到 Tb 级别 LDAP 是访问类似

19 3.1.3 新型 DDos 攻击 : 利用 LDAP 服务器实现攻击放大说到网络安全, 你一定会想起前不久的 DDoS 攻击 Mirai, 导致美国半数的互联网瘫痪, 你一定会觉得那很牛掰吧, 但其实这并不算什么, 要让 DDoS 攻击力更彪悍, 现在有一种新方法了 LDAP 据 Corero 网络安全公司披露, 上周发现一种新型 DDoS 攻击媒介针对其客户发起攻击这种攻击技术是一种利用轻量目录访问协议 (Lightweight Directory Access Protocol,LDAP) 的放大攻击, 峰值可以达到 Tb 级别 LDAP 是访问类似 Active Directory 数据库用户名和密码使用最广泛的协议它是基于 X.500 标准的, 但是简单多了并且可以根据需要定制与 X.500 不同,LDAP 支持 TCP/IP, 这对访问 Internet 是必须的 16

20 LDAP DDoS 攻击其实是安全领域的新事物, 这种 LDAP 协议可能会被黑客滥用, 然后推动大规模的 DDoS 攻击据 Corero 公司网络安全专家披露, 他们已经发现了 LDAP DDoS 攻击的实例在这起攻击中, 黑客利用了 CLDAP 协议中的零日漏洞来发起攻击, 其实在之前就发生过类似的攻击更令人担心的是, 专家认为这将有可能成为黑客的又一个选择闻所未闻, 黑客利用 LDAP 协议的漏洞实施攻击可以让放大系数达到 46, 在特定条件下, 峰值甚至能达到 55 Corero 的安全专家解释了黑客如何利用 CLDAP 进行攻击 : 攻击者可以从伪造地址 ( 受害人地址 ) 向支持 CLDAP( 无连接轻量级目录访问协议 ) 的服务器发送一个请求当 LDAP 服务器处理请求之后, 便会向发送人的地址发送回复而 LDAP 服务器准备发送的回复内容是原请求内容的数倍正是由于 LDAP 服务器回复的内容是原请求内容的数倍, 所以放大技术才允许惯犯扩大他们攻击的规模在受攻击的情况下,LDAP 服务器的响应能够达到非常高的带宽, 就像我们已经看到的那样, 平均放大系数为 46 倍, 而在攻击高峰期, 这个数值更是达到了 55 倍 LDAP DDoS IOT LDAP DDoS 攻击能够导致非常严重的后果, 有专家指出, 这种攻击产生的通信流量峰值能达到每秒数万兆试想一下, 网络拥堵会达到什么地步? 17

Corero 公司 CTO/COO Dave Larson: 这种媒介的出现, 是原本就已经很危险的 DDoS 攻击如虎添翼, 将使 DDoS 更可怕当与其他方式, 特别是与 IoT 僵尸网络结合后, 我们会发现, 这种攻击会达到前所未有的规模, 并且影响深远千兆级别的攻击将会成为现实常态, 互联网的可用性也可能会受到极大的影响至少, 在某些地方, 可用性将会降低同时,Dave

21 Corero 公司 CTO/COO Dave Larson: 这种媒介的出现, 是原本就已经很危险的 DDoS 攻击如虎添翼, 将使 DDoS 更可怕当与其他方式, 特别是与 IoT 僵尸网络结合后, 我们会发现, 这种攻击会达到前所未有的规模, 并且影响深远千兆级别的攻击将会成为现实常态, 互联网的可用性也可能会受到极大的影响至少, 在某些地方, 可用性将会降低同时,Dave 还表示 : LDAP 不是第一个, 当然也不会是最后一个被 LDAP DDoS 利用的协议或服务之所以会发生诸如此次的攻击事件, 就是因为网络上的开放式服务器会对伪造记录请求进行响应当然, 通过正确的方式, 也能减少这种攻击的发生比如, 加强检测, 在伪造的 IP 地址进入网络前就识别出来最常见的做法就是, 在路由器配置过程中, 采用入口过滤技术根除伪造 IP 地址, 这样将会使反射型 DDoS 总量减少一个数量级 18

3.1.4 影子经纪人的万圣节礼物 : 中国成为受 NSA 攻击最多的国家由于影子经纪人没有成功举办成黑客工具拍卖, 因此他们再次释放部分 NSA 的曾经攻击的目标列表, 企图破坏即将到来的美国总统选举这个列表包含方程组的 306 个域名历史目标, 其中主要包括中国, 印度的 EMAIL 提供商, 大学, 每个文件都采用

22 3.1.4 影子经纪人的万圣节礼物 : 中国成为受 NSA 攻击最多的国家由于影子经纪人没有成功举办成黑客工具拍卖, 因此他们再次释放部分 NSA 的曾经攻击的目标列表, 企图破坏即将到来的美国总统选举这个列表包含方程组的 306 个域名历史目标, 其中主要包括中国, 印度的提供商, 大学, 每个文件都采用 INTONATION 和 PITCHIMPAIR 作为黑客程序的代号经过统计, 包括 32 个.edu 域名,9 个.gov 域名, 所有的域名涉及到全球 49 个国家, 影响最大的 TOP 10 个国家分别是中国 (top1), 日本, 韩国, 西班牙, 德国, 印度, 中国台湾, 墨西哥, 意大利和俄罗斯, 统计结果见下表 : 19

23 可以看到国内受影响的高校包括西安电子科技大学国防科技大学清华大学等 ; 华为, 中国原子能工业有限公司等中国科技公司也赫然在列通过 shodan 扫描, 发现这些 IP 的共性是都开放了 Sendmail 服务 : 可以了解到方程组使用的针对 Solaris 不同版本的攻击工具列表 GPG 解压后的文件列表如下 : 20

24 更新 : 全球受影响的 IP 分布图 21

3.1.5 美总统大选日临近政府严阵以待防黑客攻击据国外媒体报道, 随着 11 月 8 日美国大选日的临近, 美国联邦和各州执法部门正严阵以待, 采取进一步措施以防止黑客届时对投票系统发动网络攻击网络攻击的威胁以及暴力冲突的可能性, 给民主党候选人希拉里克林顿和共和党候选人唐纳德特朗普之间的总统大选对决蒙上了一层阴影, 外界担心俄罗斯和其他国家届时可能会在线

25 3.1.5 美总统大选日临近政府严阵以待防黑客攻击据国外媒体报道, 随着 11 月 8 日美国大选日的临近, 美国联邦和各州执法部门正严阵以待, 采取进一步措施以防止黑客届时对投票系统发动网络攻击网络攻击的威胁以及暴力冲突的可能性, 给民主党候选人希拉里克林顿和共和党候选人唐纳德特朗普之间的总统大选对决蒙上了一层阴影, 外界担心俄罗斯和其他国家届时可能会在线传播错误的政治信息, 以及破坏投票系统努力加强投票系统安全美国国土安全部在接受路透社采访时表示, 为了消除网络攻击威胁, 除了两个州以外, 美国其他所有州都接受了国土安全部的帮助, 对选民登记和投票系统进行筛查俄亥俄州已要求美国国民警卫队 ( 美军预备役 ) 协助保护本州的投票系统亚利桑那州政府秘书长米歇尔里根 (Michele Reagan) 的发言人马特罗伯茨 (Matt Roberts) 表示, 本周四, 米歇尔及其网络安全团队与美国联邦调查局国土安全部以及州一级安全部门的官员见面, 讨论网络攻击威胁网络安全专家和美国政府官员表示, 黑客攻击改变大选结果的可能性微乎其微, 因为投票希望一般不联网尽管如此, 由于发现亚利桑那州和伊利诺伊州的选民登记数据 22

26 库遭到黑客攻击, 美国联邦调查局在 8 月份发布了预警多位不愿透露姓名的情报官员周四在接受媒体采访时表示,11 月 8 日大选日是否会遭到黑客攻击, 目前还没有任何明确的迹象, 但他们仍然担心来自俄罗斯和其他国家的黑客可能试图破坏大选进程, 比如通过操纵 Facebook 和 Twitter 等社交媒体网站来散布错误的信息美国国土安全部的网络安全专家计划在周五举行发布会, 向媒体汇报该部门如何与各州联手增强投票和选举系统的安全性由于美国大选已经持续了数月时间, 有关在大选期间发生暴力活动的可能性日益增大全美众多有权配备武器的组织已经誓言投入前所未有的力量, 对投票站进行密切监控, 防止投票舞弊的事情发生增加警力会让选民感到紧张不过, 路透社周四对俄亥俄宾夕法尼亚亚利桑那威斯康辛和佛罗里达等五个州的执法部门进行了调查, 他们表示今年在大选日投入的执法人员和资源不会超过 2012 年美国大选时的水平按照惯例, 每逢总统大选, 美国联邦调查局 (FBI) 的 56 个驻外办事处都会各派出一名专员, 处理与大选有关的犯罪活动美国联邦调查局发言人表示, 该局今年并未增加人手或是对特工进行额外培训美国司法部发言人则称, 该部门在保障大选的人员配备上并未有任何显著改变美国司法部平常会指派美国助理检察官和该部公共廉正处 (Public Integrity Section) 的联邦检察官, 处理与大选有关的犯罪活动美国最大的警察组织警察共济会 (Fraternal Order of Police) 主席吉姆帕斯科 (Jim Pasco) 表示, 警方为保障此次大选所采取的安全措施, 与保障任何大型活动安全的措施没什么两样帕斯科称, 他预计一些帮助监督大选投票的民兵组织将会坚持多说少 23

27 做的原则一些民权组织表示, 在投票点部署更多警力只会给选民带来紧张感投票监督机构 Lawyers Committee for Civil Rights Under Law 主席克里斯滕克拉克 (Kristen Clarke) 说 : 执法人员的出现只会对选民造成一种不利影响我们想要阻止这样的事情发生 24

28 4 紧急预警通知 4.1 关于 Memcached 存在多个远程代码执行高危漏洞的安全公告近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 Memcached 存在的多个远程代码执行漏洞 (CNVD CNVD CNVD , 对应 CVE CVE CVE ) 综合利用上述漏洞, 远程攻击者通过发送特制的命令到目标系统, 进而可远程执行任意命令, 有可能诱发以控制为目的大规模攻击漏洞简介 Memcached 是一个高性能的分布式内存对象缓存系统, 用于动态 Web 应用以减轻数据库负载由于 Memcached 用于插入添加修改键值对的函数 process_bin_append_prepend 和 process_bin_update 以及 Memcached 在编译过程中启用的 SASL 验证存在整数溢出漏洞远程攻击者利用漏洞通过构造特制的 Memcached 命令, 可在目标系统执行任意系统命令, 获取敏感进程信息, 进而绕过通用的漏洞缓解机制, 最终可获取系统控制权限 CNVD 对上述漏洞的综合评级均为高危目前, 相关利用代码已经在互联网上公开, 近期出现攻击尝试爆发的可能漏洞影响范围上述漏洞影响 Memcached 版本由于攻击者可绕过常规的漏洞缓解机制利用漏洞, 可直接在公网访问的 Memcached 服务受漏洞威胁严重根据 CNVD 秘书处普查 25

29 相关情况, 有超过 2.8 万集成 memcache 的主机暴露在互联网上 ( 暂未区分版本情况 ) 按国家和地区分布排名, 位居前五的分别是中国 (53.2%) 美国 (38.9%) 中国香港 (3.3%) 英国 (2.5%) 德国 (2.0%), 其中境内 IP 分布方面, 阿里云上承载的服务器主机占比较高, 占境内比例约为 29.2% 按前端承载容器分布, 排名前三分别是 :Apache(62.0%) Nginx(32.3%) IIS(3.6%) 漏洞危害远程攻击者利用漏洞通过构造特制的 Memcached 命令, 可在目标系统执行任意系统命令, 获取敏感进程信息, 进而绕过通用的漏洞缓解机制, 最终可获取系统控制权限漏洞修复目前, 官方厂商已发布了漏洞修复方案, 用户可将程序升级至版本 4.2 关于 GitLab 未授权访问漏洞预警 GitLab 是一个利用 Ruby on Rails 开发的开源应用程序, 实现一个自托管的 Git 项目仓库, 可通过 Web 界面进行访问公开的或者私人项目 2016 年 11 月 3 日, 美国众测平台 HackerOne 公布了 GitLab 的目录遍历漏洞漏洞的发现者为 Jobert Abma, 同时表示该漏洞可导致远程命令执行漏洞编号 :CVE 漏洞简介从 GitLab 8.9 开始,GitLab 允许用户导入或者导出他们的 TAR 文件在版本 26

30 之前, 这个功能是只有管理员才可以使用版本之后, 这个功能开放给的用户进行使用, 只要有管理员许可由于 GitLab 没有检查符号链接 (symlinks), 因此经过身份验证的用户可以检索任何 GitLab 账户中的文件, 甚至是 secret tokens 等敏感信息因为该漏洞可以访问到 secret tokens, 有了 secret 后,cookie 可以在 GitLab 中被 marshalled 和 resigned, 所以该漏洞又可以导致远程命令执行漏洞影响范围漏洞危害由于该漏洞可以访问到 secret tokens, 有了 secret 后,cookie 可以在 GitLab 中被 marshalled 和 resigned, 所以该漏洞又可以导致远程命令执行漏洞修复 GitLab 官方强烈建议所有的用户请立刻对自己的 GitLab 进行升级但是注意, 版本号为至并没有相关补丁如果没有办法进行升级, 或者无修复补丁, 可以采取以下方法修补该漏洞 27

31 验证修复 4.3 关于 MySQL 现高危漏洞预警上周, 一位名叫 Dawid Golunski 的波兰黑客发现了存在于 MySQL 中的漏洞 : 一个远程 root 代码执行漏洞和一个权限提升漏洞当时,Golunski 只提供了第一个漏洞的 poc, 但是承诺之后会透露第二个漏洞 (CVE ) 的更多细节本周二,Golunski 公布了针对两个漏洞的 PoC: 第一个 PoC 针对的是之前的高危权限提升漏洞, 而另一个 PoC 针对的则是一个新的 root 权限提升漏洞, 利用这个漏洞, 攻击者能够获取到整个数据库的权限漏洞简介权限提升 / 竞争条件漏洞 (CVE ) 本周发布的两个漏洞中较为严重的是竞争条件 (race condition) 漏洞, 它能够让一个低权限账号 ( 拥有 CREATE/INSERT/SELECT 权限 ) 提升权限并且以系统用户身份执行任 28

32 意代码一旦漏洞被利用, 黑客就能够成功获取到数据库服务器内的所有数据库 Root 权限提升 (CVE ) 另一个漏洞则是 root 权限提升漏洞, 这个漏洞可以让拥有 MySQL 系统用户权限的攻击者提升权限至 root, 以便进一步攻击整个系统导致这个问题的原因其实是因为 MySQL 对错误日志以及其他文件的处理不够安全, 这些文件可以被替换成任意的系统文件, 从而被利用来获取 root 权限这个漏洞与前面提到的权限提升漏洞配合使用风味更佳黑客先使用权限提升漏洞 (CVE ) 把普通用户提升为系统用户, 之后再利用 root 权限提升漏洞 (CVE ) 进一步提升为 root 用户所有的这些漏洞都可以在共享环境中使用在共享环境中, 用户能够访问各自独立的数据库而通过这些漏洞, 黑客可以获取到所有数据库的权限漏洞影响范围漏洞危害权限提升 / 竞争条件漏洞 (CVE ) 该漏洞能够让一个低权限账号 ( 拥有 CREATE/INSERT/SELECT 权限 )) 提升权限并且以系统用户身份执行任意代码一旦漏洞被利用, 黑客就能够成功获取到数据库服务器 29

33 内的所有数据库 Root 权限提升 (CVE ) 漏洞可以让拥有 MySQL 系统用户权限的攻击者提升权限至 root, 以便进一步攻击整个系统漏洞修复我们强烈建议站长们尽快安装补丁, 如果无法立即安装补丁, 也可以采用临时的解决方案关闭数据库服务器配置中的符号链接支持 ( 在 my.cnf 中设置 symbolic-links = 0) 30

目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞

目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞北京安域领创科技有限公司安全服务通告报告周期 :2017 年 12 月第五周 (2017 年 12 月 25 日 -2017 年 12 月 31 日 ) 目录 1 本周漏洞通告...1 1.1 漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞... 1 1.2 漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞... 1 1.3 漏洞三 :Google Android

目录 1 本周漏洞通告 漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞 漏洞二 :IBM WebSphere Commerce 存在多个漏洞 漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞

目录 1 本周漏洞通告漏洞一 :Apache Tomcat 安全限制绕过及信息泄露漏洞漏洞二 :IBM WebSphere Commerce 存在多个漏洞漏洞三 :Memcached SASL 存在身份验证远程代码执行漏洞