目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne

Size: px

Start display at page:

Download "目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne"

起但
5 years ago
Views:

1 北京安域领创科技有限公司安全服务通告报告周期 :2018 年 7 月第三周 (2018 年 07 月 16 日年 07 月 22 日 )

2 目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne Tools 存在未明漏洞漏洞四 :Oracle WebLogic 反序列化远程代码执行漏洞漏洞五 :IBM DB2 提权漏洞漏洞六 :ManageEngine Exchange Reporter Plus 远程代码执行漏洞本周病毒木马通告本周流行病毒木马统计 Trojan.Win32.BHO.gdz( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告西班牙电信一安全漏洞置数百万用户数据于泄露边缘疫苗门涉事公司官网被黑 : 不搞你, 对不起祖国的花朵国产扫地机器人缔奇 360 被曝存在安全漏洞, 秒变监视器美国最大血液检测实验室 LabCorp 出现安全漏洞新西兰云存储托管平台 Mega 上万登陆凭证遭泄露紧急预警通知关于 Oracle WebLogic Server 存在反序列化远程代码执行漏洞的安全公告漏洞简介... 18

3 4.1.2 漏洞危害漏洞影响范围修复建议... 19

4 1 本周漏洞通告 1.1 漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危影响产品漏洞类型北京神州绿盟信息安全科技股份有限公司远程安全评估系统 (RSAS) V6.0(R02F03SP06) 命令注入漏洞绿盟远程安全评估系统 (NSFOCUS Remote Security Assessment System 简称 :NSFOCUS RSAS) 是绿盟科漏洞描述技自主研发的新一代漏洞管理产品 NSFOCUS RSAS V6.0(R02F03SP06) 存在命令注入漏洞攻击者可通过构造 payload 进行远程命令注入, 并获取设备 root 权限用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案 sassys 1

5 1.2 漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 中危影响产品 SemCms SEMCMS 外贸网站 PHP 多语言版 V2.7 漏洞类型 SQL 注入漏洞 SemCms 是一套开源外贸企业网站管理系统, 主要用于外贸企业, 兼容 IE Firefox 等主流浏览器 SemCms 使用漏洞描述 php 和 vb 语言编写, 结合 apache 或 iis 运行 SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞攻击者可利用漏洞获取数据库敏感信息漏洞解决方案厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : 漏洞三 :Oracle JD Edwards EnterpriseOne Tools 存在未明漏洞发布时间更新时间 CNVD-ID CNVD

6 漏洞类型漏洞危害级别未明漏洞高危影响产品 Oracle JD Edwards EnterpriseOne Tools 9.2 Oracle JD Edwards EnterpriseOne Tools 为 Oracle JD Edwards EnterpriseOne 应用程序提供基础技术漏洞描述 Oracle JD Edwards EnterpriseOne Tools 9.2 中的 Web Runtime 组件存在未明漏洞攻击者可利用该漏洞影响机密性厂商已发布漏洞修复程序, 请及时关注更新 : 漏洞解决方案漏洞四 :Oracle WebLogic 反序列化远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危反序列化漏洞 Oracle WebLogic Server 影响产品 Oracle WebLogic Server Oracle WebLogic Server Oracle WebLogic Server

7 WebLogic 是美国 Oracle 公司出品的一个 application server, 是一个基于 JAVAEE 架构的中间件,WebLogic 是用于开发集成部署和管理大型分布式 Web 应用网络应用和数据库应用的 Java 应用服务器漏洞描述 Oracle WebLogic 存在反序列化远程代码执行漏洞该漏洞通过 JRMP 协议利用 RMI 机制的缺陷达到执行任意反序列化代码的目的攻击者可以在未授权的情况下将 payload 封装在 T3 协议中, 通过对 T3 协议中的 payload 进行反序列化, 从而实现对存在漏洞的 WebLogic 组件进行远程攻击, 执行任意代码并可获取目标系统的所有权限用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案漏洞五 :IBM DB2 提权漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危提权漏洞影响产品 IBM DB IBM DB

8 IBM DB2 9.7 IBM DB IBM DB2 是美国 IBM 公司的一套关系型数据库管理系统该系统的执行环境主要有 UNIX Linux IBM i z/os 以及 Windows 服务器版本漏洞描述基于 Linux UNIX 和 Windows 平台的 IBM DB2( 包括 DB2 Connect Server) 中存在不可信的搜索路径漏洞攻击者可借助恶意的共享库利用该漏洞获取 DB2 实例账户的全部访问权限厂商已发布了漏洞修复程序, 请及时关注更新 : 漏洞解决方案 =swg 漏洞六 :ManageEngine Exchange Reporter Plus 远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 远程代码执行高危影响产品 ManageEngine Exchange Reporter Plus <=5310 漏洞描述 ManageEngine Exchange Reporter Plus 是一个基于 5

9 北京安域领创科技有限公司 Web 的 Microsoft Exchange Server 分析和报告解决方案 ManageEngine Exchange Reporter Plus <=5310 在实现上存在一个远程代码执行漏洞该漏洞源于 Java servlet ADSHACluster 在执行 bcp.exe 文件时攻击者可以使用 BCP_EXE 参数绕过从而远程执行代码目前厂商已经发布了升级补丁以修复这个安全问题请到厂商的主页下载漏洞解决方案 e-reports/release-notes.html 2 本周病毒木马通告 2.1 本周流行病毒木马统计 2.1.1Trojan.Win32.BHO.gdz 木马病毒病毒危险级别该病毒运行后查找主流杀毒软件进程并尝试将其结束同时病毒还将修改用户的注册表以便实现开机自启动除此之外该病毒还在后台连接黑客指定网址并为恶意网址刷流量占用大量网络资源用户一旦中毒有可能出现网络拥堵等现象 6

10 2.2 病毒木马防范措施针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 7

11 北京安域领创科技有限公司 3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1西班牙电信一安全漏洞置数百万用户数据于泄露边缘据 El Espanol 报道西班牙电信 Telefónica 在 7 月 16 日凌晨被西班牙消费者协会 FACUA 发现存在一个安全漏洞透过这个漏洞能够访问数百万用户的完整个人数据这意味着这些数据可能早已经被置于泄露的边缘 Telefónica 告诉该报他们在接到这一通知后立即对该漏洞进行了修复另外也向有关当局进行了报告截至到目前为止还没有发现任何由于数据泄露导致的欺诈行为 El Espanol 称因为该漏洞而可能遭到泄露的数据包括用户的个人身份信息和支付卡信息并且漏洞极其易于利用即使是不具备高技术水平的入侵者也能够访问对它们进行访问 8

12 El Espano 的报道还指出, 暴露给黑客的信息包括固定电话和移动电话用户的全名国家身份证号码家庭住址银行记录和通话记录, 而所有这些数据都可以以电子表格的形式下载 Telefónica 目前无法确定潜在的影响, 这需要时间去了解云安全提供商 CipherCloud 的创始人兼首席执行官 Pravin Kothari 表示, Telefónica 作为全球十大电信公司之一, 收入超过 530 亿美元令人惊讶的是,Telefónica 用户的数据居然可以轻松下载为未加密的电子表格 Kothari 还指出, 如果 Telefónica 的数据受到了端到端加密 (end-to-end encryption) 的保护, 那么即使在欧盟通用数据保护条例 (GDPR) 已经生效的情况下也不会被作为数据泄露事件报告因为即使被窃取, 经加密的数据也无法被使用他说 : 既然 GDPR 已经生效, 那么 Telefonica 的客户通知和后续行动就必须以一种合规且可能代价昂贵的方式进行疫苗门涉事公司官网被黑 : 不搞你, 对不起祖国的花朵疫苗门风波持续发酵, 疫苗事件的话题讨论也持续占据微博热搜榜第一今天早上, 涉事公司之一的长生生物科技有限公司官网 ( 被黑客攻击, 并配文表示 : 不搞你, 对不起祖国的花朵有意思的事, 网站 title 被修改成 Anonymous, 不知大家是否还记得那个全球最大的黑客组织匿名者 9

13 被黑期间, 网站被挂上两张图, 一张是这几天在微博朋友圈刷屏的那张那张表情包, 另一张则是李克强总理对疫苗事件强硬的回应 : 必须给全国人民一个明明白白的交代另外一个值得注意的是, 网站 title 被修改成 Anonymous, 很容易让人联想到一个知名的黑客组织匿名者, 几乎是全球最大的黑客组织, 在欧洲亚洲非洲南美等都有分部 10

确实类似匿名者组织的风格而在昨天晚上, 笔者认识的一名白帽子也对长生生物的官网进行了一番探究,

14 该黑客组织所进行的活动, 大多都是对热门事件的抗议或者回应, 例如 2014 年的马航 370 事件, 中国匿名者组织也表示参与黑客行动而这一次, 长生生物官网被黑的恶搞风格, 确实类似匿名者组织的风格而在昨天晚上, 笔者认识的一名白帽子也对长生生物的官网进行了一番探究, 发现网站存在布尔型盲注 SQL 注入漏洞, 可以通过自动化脚本对该漏洞发起攻击, 获取管理员权限 11

3 国产扫地机器人缔奇 360 被曝存在安全漏洞秒变监视器近日 Positive Technologies 公司的两位安全研究员 Leonid Krolle

15 北京安域领创科技有限公司对于此次疫苗事件几乎让所有人都愤怒不已有人发文谴责有人在社交圈发泄而黑客则用自己方式来表达自己的愤怒虽然这种方式有些极端并不鼓励大家都通过这种方式来发泄而这一切的目的不是想要制造混乱我们都在等一个结果正如李克强总理所说一个明明白白的交代国产扫地机器人缔奇 360 被曝存在安全漏洞秒变监视器近日 Positive Technologies 公司的两位安全研究员 Leonid Krolle 和 Georgy Zaytsev 公布了影响到缔奇 Diqee 360 扫地机器人的两个漏洞的相关信息 Diqee 360 是由缔奇公司生产的一款智能扫地机器人除了具备自动吸尘扫地与拖 12

16 地等功能之外, 还配备有摄像头以提供远程控制视频监控能够, 目前的售价为 2999 元人民币 Leonid Krolle 和 Georgy Zaytsev 表示, 这两个漏洞允许攻击者在具有超级用户特权的设备上运行恶意代码, 并有效地对其进行接管与其他任何物联网设备一样, 这些扫地机器人可能被整合到僵尸网络中以进行 DDoS 攻击 Positive Technologies 的网络安全主管 Leigh-Anne Galloway 说, 但对于其使用者来说, 这并不是最糟糕的情况由于 Diqee 360 具有 Wi-Fi 功能, 带有夜视功能的网络摄像头和智能手机控制的导航功能, 攻击者可能会暗中监视其使用者这两个漏洞分别是 CVE 和 CVE 第一个可以通过远程利用, 而第二个需要对设备的物理访问第一个漏洞只能由经过身份验证的攻击者利用, 但 Positive Technologies 表示, 所有 Diqee 360 扫地机器人都为管理员帐户提供了默认密码 , 很少会有用户对其进行更改, 这使得漏洞利用相对来说并不那么困难这个漏洞存在于在函数 REQUEST_SET_WIFIPASSWD(UDP 命令 153) 中, 黑客可以借助扫地机器人的 MAC 位址在网络上找到它而经过身份验证的攻击者完全可以发送特制的 UDP 数据包, 并以 root 身份在 Diqee 360 上执行任意命令对于第二个漏洞的利用相对困难, 因为需要物理访问它存在于 Diqee 360 的更新机制中, 攻击者可以将恶意软件植入到 microsd 卡中, 并将其插入 Diqee 360 然后, 利用恶意软件来控制 Diqee 360, 甚至能够拦截 Diqee 360 所处 Wi-Fi 网络中所进行的任何通信 Positive Technologies 警告说, 值得注意的是, 这两个漏洞不单单只影响到 Diqee 360, 可能也会影响到由缔奇公司生产并在售的其他产品, 这可能包括数字视频录像机监控 13

17 北京安域领创科技有限公司摄像头和智能门铃 3.1.4美国最大血液检测实验室 LabCorp 出现安全漏洞 LabCorp 是美国最大的血液检测实验室而 LabCorp 在近日发表声明称他们遭到了黑客的非法入侵而这一事件将会让数百万的美国公民陷入安全风险之中据英国每日邮报 DailyMail 报道 LabCorp 在上周末遭遇了一起网络攻击事件可能存在数据泄露的问题虽然目前调查仍在进行当中但有关当局表示 LabCorp 的网络系统的确在上周末遭到了匿名黑客的入侵而入侵目的很可能是为了获取医疗数据在 LabCorp 发布的一份声明中该公司表示在上周末也就是 2018 年 7 月 14 日 LabCorp 在自己的信息技术网络上发现了可疑活动 LabCorp 立即对部分系统进行了离线处理作为对紧急事件全面响应的一部分到目前为止 LabCorp 尚未公布与此次事件相关的进一步细节但坚称没有证据表明数据遭到了未经授权的转移以及滥用 LabCorp 的一位发言人发言人表示该公司的技术专家正在努力恢复离线的系统及功能预计会在几天之后完全恢复已经暂停的部分业务 14

18 业内人士指出,LabCorp 是美国最大的独立医学实验室之一, 拥有者数百万客户的记录正如他们的网站所描述的那样 LabCorp 每年为超过 1.15 亿名患者提供诊断药物开发和技术解决方案每周测试的患者血液样本通常都超过 250 万个, 并支持大约 100 个国家的临床试验活动这些信息和数据是非常令人印象深刻的, 如果真的发生数据泄露, 那么受影响患者的数量可能是空前惊人的新西兰云存储托管平台 Mega 上万登陆凭证遭泄露据外媒 ZDNet 报道,Mega 这家于新西兰成立并提供在线云存储和文件托管服务的公司, 目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布被泄露的信息以文本文件形式提供, 据了解这份文本文件包含超过 15,500 条用户名密码和文件名的数据, 这意味着这些帐号都曾出现异常登录的情况, 并且帐号中的文件名也被爬取了这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于 6 月份在恶意软件分析 VirusTotal 上发现, 而这份文件是在几个月前由一名据称在越南的用户上传的 15

Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号, 确认这些数据来自 Mega, 通过联系多位用户, 还确定这些电子邮件密码和一些文件都是在 Mega 上使用的据 "Have I Been Pwned" 网站的管理员 Troy Hunt 分析, 这些数据并不是通过直接入侵 Mega 而获取的, 而是被撞库了他说文件中 98% 的电子邮件地址已经存在于他的中 (

19 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号, 确认这些数据来自 Mega, 通过联系多位用户, 还确定这些电子邮件密码和一些文件都是在 Mega 上使用的据 "Have I Been Pwned" 网站的管理员 Troy Hunt 分析, 这些数据并不是通过直接入侵 Mega 而获取的, 而是被撞库了他说文件中 98% 的电子邮件地址已经存在于他的中 ( 于先前的漏洞中收集 ) ZDNet 也表示, 在他们联系的人中, 有五人说他们在不同的网站上使用过相同的密码目前还不知道是谁创建的这份列表, 也不知道这些数据是如何被爬取到的虽然 Mega 提供端到端加密, 但登录时没有使用双因素身份认证方式, 因此攻击者只需使用登录凭据便可登录每个帐户, 并抓取帐号中文件的文件名 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色, 因为它在被上传到 Mega 之前已在用户的设备上被加密, 除了在技术上不可行之外, Mega 和其他主要云存储提供商实际上也做不到, 毕竟每秒上传 100 多个文件这不是 Mega 第一次遇到安全问题 2016 年, 黑客声称通过利用其中的安全漏洞 16

20 获取了内部 Mega 文档黑客还表示获取了与管理帐户关联的七个电子邮件地址 Stephen Hal 表示当时没有任何用户数据遭到破坏 17

21 北京安域领创科技有限公司 4 紧急预警通知 4.1 关于 Oracle WebLogic Server 存在反序列化远程代码执行漏洞的安全公告 2018 年 7 月 18 日国家信息安全漏洞共享平台 CNVD 收录了 Oracle WebLogic Server 反序列化远程代码执行漏洞 CNVD 对应 CVE 攻击者利用该漏洞可在未授权的情况下远程执行代码目前厂商已发布补丁进行修复 4.1.1漏洞简介 WebLogicServer 是美国甲骨文 Oracle 公司开发的一款适用于云环境和传统环境的应用服务中间件它提供了一个现代轻型开发平台支持应用从开发到生产的整个生命周期管理并简化了应用的部署和管理 RMI 目前使用 Java 远程消息交换协议 JRMP Java Remote Messaging Protocol 进行通信 JRMP 协议是专为 Java 的远程对象制定的协议在 WebLogic Server 的 RMI 远程方法调用通信中 T3 协议丰富套接字用来在 WebLogic Server 和其他 Java 程序包括客户端及其他 WebLogic Server 实例间传输数据该协议在开放 WebLogic 控制台端口的应用上默认开启由于在 WebLogic 中 T3 协议和 Web 协议共用同一个端口因此只要能访问 WebLogic 就可利用 T3 协议将 payload 发送至目标服务器北京时间 7 月 18 日凌晨 Oracle 官方发布了 7 月份关键补丁更新 CPU Critical Patch Update 其中修复了一个在 4 月份 CPU 补丁中未能完全修复的 WeblogicServer 反序列化漏洞 CNVD CVE 该漏洞通过 JRMP 协议利用 RMI 机制的缺陷达到执行任意反序列化代码的目的攻击者可以在未授权的情况下将 payload 封装在 18

22 T3 协议中, 通过对 T3 协议中的 payload 进行反序列化, 从而实现对存在漏洞的 WebLogic 组件进行远程攻击, 执行任意代码并可获取目标系统的所有权限 CNVD 对该漏洞的综合评级为高危漏洞危害攻击者利用该漏洞, 可在未授权的情况下远程执行代码漏洞影响范围根据官方公告情况, 该漏洞的影响版本如下 : WebLogic WebLogic WebLogic WebLogic CNVD 秘书处对 WebLogic 服务在全球范围内的分布情况进行了统计, 结果显示该服务的全球规模约为 6.9 万, 其中我国境内的用户量约为 2.15 万随机抽样检测结果显示, 约 0.4% 的 WebLogic 服务器受此漏洞影响该比例远低于我平台在 4 月 18 日收录的 WebLogic Server 反序列化漏洞 (CNVD ) 的影响范围修复建议 1 美国甲骨文公司已发布了修复补丁, 建议及时更新至最新版本 : 2 临时解决方案 : 控制 T3 协议的访问此漏洞产生于 WebLogic 的 T3 服务, 因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击当开放 WebLogic 控制台端口 ( 默认为 7001 端口 ) 时,T3 服务会默认开启 19

23 具体操作 : (1) 进入 WebLogic 控制台, 在 base_domain 的配置页面中, 进入安全选项卡页面, 点击筛选器, 进入连接筛选器配置 (2) 在连接筛选器中输入 :weblogic.security.net.connectionfilterimpl, 在连接筛选器规则中输入 : * * allow t3 t3s, /0 * *deny t3 t3s(t3 和 t3s 协议的所有端口只允许本地访问 ) (3) 保存后需重新启动, 规则方可生效 3 升级到 jdk-8u20 以上的版本 20

目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞

目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞北京安域领创科技有限公司安全服务通告报告周期 :2017 年 12 月第五周 (2017 年 12 月 25 日 -2017 年 12 月 31 日 ) 目录 1 本周漏洞通告...1 1.1 漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞... 1 1.2 漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞... 1 1.3 漏洞三 :Google Android

目 录 1 本周漏洞通告 漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞 漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞 漏洞三 :Oracle JD Edwards EnterpriseOne

目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne