北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2017 年 11 月第四周 (2017 年 11 月 20 日 年 11 月 26 日 )

Transcription

1 安全服务通告 报告周期 :2017 年 11 月第四周 (2017 年 11 月 20 日 年 11 月 26 日 )

2 目录 1 本周漏洞通告 漏洞一 : 多款 Huawei 产品缓冲区溢出漏洞 漏洞二 :Intel Unite App admin portal 权限提升漏洞 漏洞三 :Cisco IP Phone 8800 系列 debug 界面命令注入漏洞 漏洞四 :Redhat Mobile Application Platform 远程代码执行漏洞 漏洞五 :IBM Security Identity Manager 未授权访问漏洞 漏洞六 :Berta CMS 任意文件上传漏洞 本周病毒木马通告 本周流行病毒木马统计 Trojan.Win32.BHO.gdz( 木马病毒 ) Worm.Win32.ECode.fw( 蠕虫病毒 ) 病毒木马防范措施 安全事件通告 本周国内外安全事件通告 Mirai 僵尸程序新变种爆发, 60 个小时 10 万个 IP 地址 Android MediaProjection 服务被曝高危漏洞 美国应用交付网络 F5 Networks 产品存在高危漏洞, ASLR 高危漏洞 : 黑客可轻易锁定 Win8 和 Win10 重要数据 数百万 PC 和服务器受 Intel 管理引擎漏洞影响 紧急预警通知 关于 6.x 版本 JBOSS 存在反序列化命令执行漏洞的安全公告... 25

3 4.1.1 漏洞简介 漏洞危害 漏洞影响范围 修复建议... 26

4 1 本周漏洞通告 1.1 漏洞一 : 多款 Huawei 产品缓冲区溢出漏洞 发布时间 更新时间 CNVD-ID 漏洞危害级别 CNVD 中危 Huawei DP300 V500R002C00 Huawei TE60 V500R002C00 Huawei TE60 V600R006C00 Huawei RP200 V600R006C00 Huawei TE30 V100R001C10 Huawei TE30 V500R002C00 影响产品 Huawei TE30 V600R006C00 Huawei TE40 V500R002C00 Huawei TE40 V600R006C00 Huawei TE50 V500R002C00 Huawei TE50 V600R006C00 Huawei TE60 V100R001C10 Huawei TX50 V500R002C00 Huawei TX50 V600R006C00 1

5 漏洞类型 缓冲区溢出漏洞 Huawei DP300 RP200 TE 系列及 TX50 均是华为公司 面向高端客户的一体化桌面智真产品及高清视频会议终端 漏洞描述 产品 多款 Huawei 产品存在缓冲区溢出漏洞, 该漏洞是由于设 备未能对报文中的参数进行充分校验 攻击者通过精心构 造的 HTTP 报文利用该漏洞导致部分服务异常 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案 漏洞二 :Intel Unite App admin portal 权限提升漏洞 发布时间 更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 Intel Intel Unite App 影响产品 Intel Intel Unite App Intel Intel Unite App 漏洞类型 权限提升漏洞 2

6 Intel Unite 是美国英特尔 (Intel) 公司的一套企业会议协 作解决方案 Intel Unite App 是其中的一个视频会议应用 漏洞描述 程序 admin portal 是其中的一个管理界面 Intel Unite App 版本 版本和 版本中的 admin portal 存在权限提升漏洞 攻 击者可利用该漏洞造成拒绝服务或获取信息 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案 intelid=intel-sa-00092&languageid=en-fr 1.3 漏洞三 :Cisco IP Phone 8800 系列 debug 界面命令注 入漏洞 发布时间 更新时间 CNVD-ID 漏洞类型漏洞危害级别影响产品 CNVD 命令注入漏洞高危 Cisco IP Phone 8800 Series Cisco IP Phone 8800 是美国思科 (Cisco) 公司的一款提 漏洞描述 供视频和 VoIP 通信功能的电话产品 debug interface 是 其中的一个调试界面 Cisco IP Phone 8800 系列中的 debug 界面存在命令注 3

7 入漏洞, 该漏洞源于程序未能充分的验证输入 已通过认 证的本地攻击者可通过向受影响的参数提交多余的命令输 入利用该漏洞执行任意命令 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案 osecurityadvisory/cisco-sa ipp 1.4 漏洞四 :Redhat Mobile Application Platform 远程代 码执行漏洞 发布时间 更新时间 CNVD-ID 漏洞危害级别 漏洞类型 CNVD 高危 远程代码执行漏洞 影响产品 RedHat Mobile Application Platform On-Premise 4 RedHat Mobile Application Platform 4.5 Redhat Mobile Application Platform 是美国红帽公司 的一套企业移动应用平台 漏洞描述 Redhat Mobile Application Platform 存在远程代码执 行漏洞, 远程攻击者可利用漏洞在受影响应用程序的上下 文中执行任意代码或造成拒绝服务 4

8 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案 漏洞五 :IBM Security Identity Manager 未授权访问漏 洞 发布时间 更新时间 CNVD-ID 漏洞类型 漏洞危害级别 CNVD 未授权访问漏洞 高危 IBM Security Identity Manager 6.0 IBM Security Privileged Identity Manager IBM Security Privileged Identity Manager 2.0 IBM Security Identity Manager 7.0 影响产品 IBM Security Privileged Identity Manager IBM Security Identity Governance and Intelligence 5.2 IBM Security Identity Governance and Intelligence 漏洞描述 IBM Security Identity Manager(ISIM) 是美国 IBM 公 司的一套身份管理和治理解决方案, 它可在整个用户生命 5

9 周期内自动创建 修改 重新认证和终止用户特权, 并支 持基于策略的密码管理 Adapters 是其中的一个适配器 IBM Security Identity Manager 存在未授权访问漏洞, 该漏洞源于程序未能执行身份验证, 攻击者可利用漏洞访 问受保护的区域 目前厂商已发布升级补丁以修复漏洞, 详情请关注厂商主 漏洞解决方案 页 : uid=swg 漏洞六 :Berta CMS 任意文件上传漏洞 发布时间 更新时间 CNVD-ID 漏洞危害级别漏洞类型影响产品 CNVD 高危任意文件上传漏洞 Berta CMS Berta CMS 是一套基于 PHP 的 Web 内容管理系统 (CMS) 漏洞描述 Berta CMS 中存在任意文件上传漏洞 远程攻击者可通过 上传带有可执行扩展的图像文件利用该漏洞执行任意代 码 6

10 目前厂商暂未发布修复措施解决此安全问题, 建议使用此 漏洞解决方案 软件的用户随时关注厂商主页或参考网址以获取解决办 法 : 7

11 2 本周病毒木马通告 2.1 本周流行病毒木马统计 Trojan.Win32.BHO.gdz( 木马病毒 ) 病毒危险级别 : 该病毒运行后查找主流杀毒软件进程, 并尝试将其结束 同时病毒还将修改用户的 注册表, 以便实现开机自启动 除此之外, 该病毒还在后台连接黑客指定网址, 并为恶 意网址刷流量, 占用大量网络资源 用户一旦中毒, 有可能出现网络拥堵等现象 Worm.Win32.ECode.fw( 蠕虫病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束 同时病毒还将修改用户的注 册表, 以便实现开机自启动 除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意 网址刷流量, 占用大量网络资源 用户一旦中毒, 有可能出现网络拥堵等现象 2.2 病毒木马防范措施 针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不 能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件 不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据 进行备份 当计算机屏幕出现一些无意义的显示画面或异常的提示信息 屏幕出现异常 滚动而与行同步无关 系统出现异常死机和重启动现象 系统不承认硬盘或硬盘不能引 8

12 导系统 计算机自动产生鸣叫 系统引导或程序装入时速度明显减慢, 或异常要求用户 输入口令 文件或数据无故地丢失, 或文件长度自动发生了变化 磁盘出现坏簇或可用 空间变小, 或不识别磁盘设备 编辑文本文件时, 频繁地自动存盘等现象时, 使用反病 毒软件进行检测 发现病毒立即清除, 将病毒危害减小到最小限度 备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份 定期给系统打补丁, 将系统补丁升级至最新 对插入电脑的光盘,u 盘进行杀毒后再运行 禁止访问不良网页, 或打开非法链接的邮件 关闭系统不使用的端口服务, 如 3389, 等 9

13 3 安全事件通告 3.1 本周国内外安全事件通告 Mirai 僵尸程序新变种爆发, 60 个小时 10 万个 IP 地址 在 10 月 31 日, 一个 ZyXEL PK5001Z 调制解调器的后门漏洞 PoC 被公布在了 Exploit Database( 号称 全球漏洞库, 网址 漏洞被标识为 CVE ZyXEL PK5001Z 调制解调器被发现留有一个后门账户 admin/centryl1nk( 用户名 : admin; 密码 :centuryl1nk), 可以通过 su( Switch user, 切换用户 ) 语法来将普通用 户切换到拥有对根目录访问权限的超级账户 ( 密码 :zyad5001) 从本月 22 日开始, 来自奇虎 360 网络安全研究院 (Netlab) 的安全专家通过 ScanMon 10

14 系统利用这些被公布的信息进行了扫描 ScanMon 系统由 Netlab 研发, 提供全球范围内实时和历史扫描行为的监控和分析 ScanMon 通过分析大量多样的网络数据, 包括网络流 蜜罐等等, 来精确有效的检测扫 描行为 Netlab 注意到, 从 22 日 11:00 开始,ScanMon 系统端口 2323 和端口 23 扫描流量 大幅提升, 并在 2017 年 11 月 23 日白天达到峰值 经过调查,Netlab 有理由相信扫描 来自僵尸程序 Mirai 的新变种 11

15 其中, 大部分扫描 IP 地址来自阿根廷 在不到一天的时间里, 被监测到的 IP 地址 约有 6.57 万个 在经过 60 个小时后, 这个数值增加到 10 万, 这意味着新的僵尸网络 Mirai 至少由 10 万台设备组成 安全专家表示, 这些设备正在寻找易受攻击的 ZyXEL 设备 使用 admin/centryl1nk 和 admin/qwestm0dem 作为默认的 Telnet 证书的 ZyXEL 设备 好消息是,Mirai 僵尸程序没有持久性机制, 这意味着当受感染的设备重新启动时这 个僵尸程序可以被根除 Android MediaProjection 服务被曝高危漏洞 网络安全公司 MWR 的研究团队近期发现 Android MediaProjection 服务存在一处高 危漏洞, 允许黑客窃听系统音频 截取用户屏幕等敏感信息 目前, 运行 Lolipop Marshmallow 和 Nougat 应用的 Android 设备普遍遭受影响 ( 约占所有 Android 设备 的 77.5%) 12

16 MediaProjection 是一项允许应用程序捕获屏幕 记录系统音频的服务, 其自推出以 来就存在于 Android 系统当中 不过, 要想使用这一服务功能, 其应用程序需要在线发 出请求后通过 SystemUI 弹出窗口获取 root 访问权限, 并使用设备的系统密钥进行签 名 据悉, 虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用, 但随着 Android Lolipop(5.0) 的发布,Google 向所有应用开放了这项服务 调查显示, 此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制, 即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出, 从而绕过安全检测 一旦用户点击已被覆盖的页面后攻击者即可获取 root ( 包括捕获 用户屏幕和音频的 ) 权限 研究人员强调, 黑客利用该漏洞开展攻击时并非完全无法察 觉 如果一款应用访问 MediaProjection 服务时, 它会在生成一个虚拟显示, 从而自动 激活通知栏中的截图图标后获取用户信息 如下图所示 : 13

17 目前,Google 仅在 Android Oreo Android Oreo(8.0) 版本中修补了漏洞, 但旧版本 仍受到该问题的影响 另外, 尚不清楚 Google 是否计划针对较早受影响的 Android 版 本进行修复, 对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数, 以便确保应用程序的界面安全 美国应用交付网络 F5 Networks 产品存在高危漏洞, 德国鲁尔大学的研究人员 Hanno Böck 与 Juraj Somorovsky 近期发现美国应用交付网 络 (ADN) 领域的 F5 Networks 产品存在一处高危漏洞 (CVE CVSS 分值为 9.1), 允许黑客远程恢复加密数据并发动中间人 (MitM) 攻击 目前, 受影响产品是 F5 BIG-IP 企业管理器的一部分, 其中包括 LTM AAM AFM Analytics APM ASM DNS GTM Link Controller 与 PEM 等产品 此外, 该漏洞也影响了 F5 WebSafe 反欺诈解决 方案 调查显示, 该漏洞在线暴露了虚拟服务器配置客户端的 SSL 配置和 RSA 密钥交换 14

18 功能, 从而允许黑客发动 chosen-ciphertext 攻击 ( 又称 Bleichenbacher 攻击 ) 此外攻 击者还可通过该漏洞针对使用 RSA 密钥交换器建立的 TLS 会话发起黑客攻击 远程恢 复加密数据并启动中间人 (MitM) 攻击 网络安全公司 Cloudflare 的安全专家 Nick Sullivan 指出, 该漏洞与臭名昭着的 DROWN 类似, 允许攻击者在使用 SSLv2 时解密 TLS 通信 不过随着 SSLv2 需求的消除,F5 Networks 漏洞也变得愈加严重, 因为黑客 只需要一个使用密钥的服务器就可解密 TLS 会话 另外,F5 Networks 在其安全报告中表示 : 黑客恢复的加密数据需要在 TLS 会话结 束后才可读取 利用此漏洞进行 MiTM 攻击需要攻击者在配置的握手超时窗口内的目 标会话握手阶段完成初始攻击, 这可能需要数百万次服务器请求 这种攻击可以针对 任何使用 RSA 签名的 TLS 会话进行, 但只有在使用 RSA 密钥交换的密码套件也在虚 拟服务器上启用的情况下适用 机会有限, 带宽限制和延迟使得这种攻击更难执行 目前,F5 Networks 已修复受影响产品的安全漏洞并发布更新 此外, 该公司还提 醒各企业检查自家虚拟服务器的通用警报是否已经开启, 以便抵制黑客攻击的同时减少 各企业利益的损失 ASLR 高危漏洞 : 黑客可轻易锁定 Win8 和 Win10 重要数据 11 月 22 日讯一位安全专家找到解决微软地址空间层随机化的方法, 能够突破这 种用于保护操作系统免受内存类攻击的手段 由于此次在地址空间布局随机化 ( 简称 ASLR) 机制中发现的新漏洞, 目前广泛在用 的微软 Windows 主流版本面临严重的安全威胁 ASLR 机制中现漏洞 15

19 卡耐基梅隆大学 CERT-CC 高级漏洞分析师 Will Dormann( 威尔 多曼 ) 发现并报告了 这项漏洞 他解释称, 由于通过 EMET 在系统内强制启用的 ASLR 具有零熵 ( 非随机, 本 应是随机分配内存地址, 但实际上地址是固定的 ), 因此各受影响系统 无法受到任何有 效保护 这意味着攻击者将能够轻松利用 Windows 8 及后续更新系统中的内存损坏漏洞, 并 导致 ASLR 保护无效化 ASLR 的预期作用在于能够更好地解决内存损坏类错误, 但事实 上并不能真正实现这一效果 ASLR 地址空间布局随机化 (ASLR) 支持作为一个系统加固技术, 被大多数主要的桌面和 移动操作系统所支持 ASLR 自 Windows Vista 时期起正式亮相, 通过将系统可执行程序随机装载到内存里, 可防止代码复用类攻击, 例如缓冲溢出攻击 ASLR 还能通过让那些正受攻击的系统文件 崩溃来误导恶意软件 ios Android Windows MacOS 和 Linux 都使用 ASLR, 以便让系 统更安全 自 Windows 8 开始, 微软公司开始提供系统级强制 ASLR 功能 即使对于不支持 ASLR 16

20 的应用程序, 管理员同样能够实现程序位置随机化 EMET 则是一款免费工具, 微软公司此前利用其保护未启用 ASLR 以及其它漏洞利用 解决工具的应用程序 管理员可通过 EMET 界面启用这些功能 而到 Windows 10 Fall Creators Update 版本, 其将 EMET 的关键功能整合到了 Windows Defender Exploit Guard 当中 漏洞影响范围 此项安全漏洞会影响到通过微软增强缓解体验工具包 ( 简称 EMET) 或者 Windows Defender Exploit Guard 启用 ASLR 功能的 Windows 8 Windows 8.1 以及 Windows 10 系 统 Exploit Guard 能够选择自下而上为整个系统启用 ASLR 正如 Dormann 的发现,Windows 8 Windows 8.1 以及 Windows 10 中的 ASLR 实际 上并没有对内存位置进行随机化处理 如果 Exploit Guard 中的默认 GUI 显示为 默认为 开启, 将导致程序被重新定位到可预测的地址 美国国土安全部 (DHS) 的一位发言人表示, 这可能会导致多种潜在的攻击风险 误以为自己受到 ASLR 保护的用户可能会遭遇多种潜在风险 ; 例如在未经请求的消 息中打开附件 在正常情况下, 只要 ASLR 能够顺利起效, 那么即使消息本身存在钓鱼 17

21 风险, 用户也不会受到影响 但由于事实证明 ASLR 无法真正起效, 因此受害者的系统 很可能被攻击者所侵入, 并导致其借此访问更多其它系统 不属于 安全 缺陷? 微软公司指出, 这一问题并不属于安全缺陷 其解释称卡耐基梅隆大学 CERT/CC 发 现并向 US-CERT 报告的这项问题的关键, 在于使用 Exploit Guard 与 EMET 配置 ASLR 的 非默认设置 该公司正在调查并解决这一配置问题 微软公司的一位发言人表示, US CERT 所描述的问题并不属于安全漏洞 ASLR 的 运行方式与设计思路并无不同, 运行 Windows 默认配置的客户不会承受更高风险 CERT/CC 目前还没有找到这个问题的实际解决方案 Dormann 在其个人博文当中为管理员们提供了缓解措施 他建议大家利用特定的注 册表值在 Windows 8 或更高版本当中以自下而上方式强制启用 ASLR 系统 此外, 企业则应利用纵深防御策略以保护自己的网络 用户及数据免受未授权访问 的侵扰 数百万 PC 和服务器受 Intel 管理引擎漏洞影响 11 月 22 日讯英特尔公司承认, 根据外部安全专家的发现, 其管理引擎 ( 简称 ME) 服务器平台服务 ( 简称 SPS) 以及可信执行引擎 ( 简称 TXE) 易受到多项高危安全漏洞 的影响 哪些处理器芯片组受影响? 这些固件级别的 bug 允许登录管理员以及恶意或劫持性高权限进程运行操作系统 下的代码, 从而在完全不被其他用户及管理员察觉的前提下实施窥探或者干涉 网络管 理员或者其他伪装为管理员的人士亦可利用这些漏洞以远程方式对设备进行间谍软件 18

22 感染或者注入 rootkit 与此同时, 已登录用户 恶意或被感染应用程序亦可利用这些安全漏洞从计算机内 存当中提取机密及受保护信息, 从而为恶意攻击者提供敏感数据 包括密码或者密码 密钥, 从而屏蔽更多其它攻击活动 这一消息对于服务器以及其它共享型设备尤其令人 担忧 简而言之, 目前正有大量英特尔芯片秘密运行恶意代码, 并被攻击者及恶意软件用 于悄悄危害计算机用户 受此安全缺陷影响的处理器芯片组具体包括 : 第六 第七与第八代英特尔酷睿处理器 英特尔至强 E v5 与 v6 处理器 英特尔至强 Scalable 处理器 英特尔至强 W 处理器 英特尔凌动 C3000 处理器 Apollo Lake 英特尔凌动 E3900 系列 Apollo Lake 英特尔奔腾处理器 赛扬 N 与 J 系列处理器 19

23 英特尔管理引擎的组件出问题 根据英特尔方面的介绍, 这些漏泄可能允许攻击者冒充管理引擎 服务器平台服务 或者可信执行引擎机制, 从而令本地安全功能失效 在这种情况下, 任意代码的加载 与执行都将无法被用户以及操作系统所发现 ; 这可能令受影响系统陷入崩溃 但这些漏洞的严重程度并不是特别高, 这主要是由于其中大部分要求攻击者拥有本 地访问能力 ( 无论是作为管理员抑或较低权限用户 ), 而其余漏洞则要求攻击者作为经 过身份验证的系统管理员以访问这些管理功能 不过根据谷歌公司安全研究员 Matthew Garrett( 马修 加勒特 ) 所言, 之前提到的 AMT 漏泄如果未经修复, 则允许以远程方式利用 换言之, 如果某一尚未对 AMT 漏洞进行修复的服务器或者其它系统遭遇攻击, 那 么此次发现的新漏洞将允许任何外部人士通过网络进行登录, 同时在管理引擎协处理器 的帮助下执行恶意代码 Garrett 在推文中解释称, 管理引擎安全漏洞能够提供等同于 AMT 漏洞的一切, 而 且远不止于此 如果有人突破了管理引擎的内核, 即可访问管理引擎上的一切, 其中也 包括 AMT 乃至 PTT 他解释称, PTT 是英特尔的 在管理引擎软件中运行 TPM 功能 20

24 如果用户使用 PTT, 而攻击者入侵了您的管理引擎, 那么 TPM 将不再安全可靠 这可 能意味着用户的 Bitlocker 密钥遭到破解, 同时也意味着您的远程认证证书也全部作废 Garrett 指出, 如果利用这些漏洞通过管理引擎安装并解释未经签名的数据, 则攻击 者将能够在每一次管理引擎重启后再次触发恶意软件并实现感染 一旦发生这种情况, 解决问题的惟一方法只有手动刷新硬件, 而真到了这一步, 直接购买新硬件反而可能更 具成本优势 受影响的固件及相关漏洞 英特尔公司指出, 采用管理引擎固件版本 以及 11.20, 服务器平台服务固件版本 4.0 以及可信执行引擎版本 3.0 的系统会受到影响 相关漏洞 CVE 编号如下 : 英特尔管理引擎固件 11.0.x.x/11.5.x.x/11.6.x.x/11.7.x.x/11.10.x.x/11.20.x.x CVE : 英特尔管理引擎固件 11.0/11.5/11.6/11.7/11.10/11.20 版本内存在 的多项缓冲区溢出漏洞允许攻击者以本地系统访问方式执行任意代码 已登陆的超级 用户或高权限程序可在隐藏的管理引擎之内执行代码, 且整个执行流程较操作系统及任 何其它软件更为底层 CVE : 英特尔管理引擎固件 11.0/11.5/11.6/11.7/11.10/11.20 版本内核中 的多项权限升级机制允许未授权进程通过未指定向量访问高权限内容 已登录用户或 运行中的应用可能泄漏内存中的机密信息 这一情况对共享系统而言尤为危险 CVE : 英特尔管理引擎固件 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 版本中的主动管理技术 ( 简称 AMT) 存在多项缓冲区溢出漏洞, 允许攻击者以远程方式 访问系统以利用 AMT 执行权限执行任意代码 已登录超级用户或高权限程序, 将可在 AMT 套件之内执行代码, 且整个执行流程较操作系统及任何其它软件更为底层 21

25 CVE : 英特尔管理引擎固件 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 版本当中主动管理技术 ( 简称 AMT) 存在一项缓冲区溢出漏洞, 允许攻击者利用远程管 理员身份访问系统, 从而利用 AMT 执行权限执行任意代码 具备目标设备网络访问和 能力 以及能够作为管理员进行登录的人士将能够在 AMT 套件内执行代码 英特尔管理引擎固件 8.x/9.x/10.x CVE : 英特尔管理引擎固件 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 版本中的主动管理技术 ( 简称 AMT) 存在多项缓冲区溢出漏洞, 允许攻击者以本地方式 访问系统以利用 AMT 执行权限执行任意代码 已登录超级用户或高权限程序, 将可 在 AMT 套件之内执行代码, 且整个执行流程较操作系统及任何其它软件更为底层 CVE : 英特尔管理引擎固件 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 版本当中主动管理技术 ( 简称 AMT) 存在一项缓冲区溢出漏洞, 允许攻击者利用远程管 理员身份访问系统, 从而利用 AMT 执行权限执行任意代码 具备目标设备网络访问和 能力 以及能够作为管理员进行登录的人士将能够在 AMT 套件内执行代码 服务器平台服务 4.0.x.x CVE : 英特尔服务器平台服务固件 4.0 版本内核当中存在多项缓冲区溢 出漏洞, 允许攻击者以本地方式访问系统并执行任意代码 已登录超级用户或高权限 程序, 将可在 AMT 套件之内执行代码, 且整个执行流程较操作系统及任何其它软件更 为底层 CVE : 英特尔服务器平台服务固件 4.0 版本内核当中存在多项缓冲区溢 出漏洞, 允许未授权进程通过未知向量访问机密信息 已登录用户或运行中的应用可 能泄漏内存中的机密信息 这一情况对共享系统而言尤为危险 英特尔可信执行引擎 3.0.x.x 22

26 CVE : 英特尔可信执行引擎固件 3.0 版本内核当中存在多项缓冲区溢出 漏洞, 允许攻击者以本地方式访问系统并执行任意代码 已登录超级用户或高权限程 序, 将可在隐藏管理引擎之内执行代码, 且整个执行流程较操作系统及任何其它软件更 为底层 CVE : 英特尔可信执行引擎固件 3.0 版本内核当中存在多项权限升级漏 洞, 允许未授权进程通过未知向量访问机密内容 已登录用户或运行中的应用可能泄 漏内存中的机密信息 这一情况对共享系统而言尤为危险 芯片巨头感激 Mark Ermolov( 马克 厄莫罗夫 ) 与 Maxim Goryachy( 马克西姆 格拉 奇 ) 积极发现并通报 CVE 安全漏洞, 这亦成为进行上述漏洞源代码审查的契 机 相关修复建议 今天的消息无疑迫使英特尔考虑未来不再推出包含管理引擎的组件, 或者提供一种 能够将其完全禁用的方法 这样人们即可放心使用自己的计算机, 而不必担忧神秘的 协处理器中所存在的安全漏洞 英特尔公司建议微软及 Linux 用户下载并运行 Intel-SA 检测工具, 以确保其系 统是否易受到上述错误的影响 如果您身处危险当中, 则必须从计算机制造商处获取并安装固件更新 ( 如果可用 ) 新代码由英特尔方面负责开发, 但需要配合各硬件供应商的加密签名方可被引擎接受及 安装 研究人员表示, 苹果 x86 设备应该不会受到影响, 因为其芯片中并不包含英特尔管 理引擎 23

27 Lenovo 官方补丁 联想公司的行动速度最快, 目前已经准备好自己的下载补丁 Lenovo 补丁链接 : 其他 OEM 暂未提供补丁, 请联系对应 OEM 获取 临时缓解措施 保护本地用户访问权限不被他人获取 升级建议 升级到 OEM 提供的漏洞修复的版本 24

28 4 紧急预警通知 4.1 关于 6.x 版本 JBOSS 存在反序列化命令执行漏洞的安全 公告 2017 年 9 月 14 日, 国家信息安全漏洞共享平台 (CNVD) 收录了 JBOSS Application Server 反序列化命令执行漏洞 (CNVD , 对应 CVE ), 远程攻击者 利用漏洞可在未经任何身份验证的服务器主机上执行任意代码 漏洞细节和验证代码已 公开, 近期被不法分子利用出现大规模攻击尝试的可能性较大 漏洞简介 JBOSS Application Server 是一个基于 J2EE 的开放源代码的应用服务器 JBoss 代码 遵循 LGPL 许可, 可以在任何商业应用中免费使用,2006 年,JBoss 被 Redhat 公司收购 2017 年 8 月 30 日, 厂商 Redhat 发布了一个 JBOSSAS5.x 的反序列化远程代码执行 漏洞通告 该漏洞位于 JBoss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中, 其 dofilter 方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数 据流进行反序列化, 导致攻击者可以通过精心设计的序列化数据来执行任意代码 但近 期有安全研究者发现 JBOSSAS 6.x 也受该漏洞影响, 攻击者利用该漏洞无需用户验证在 系统上执行任意命令, 获得服务器的控制权 CNVD 对该漏洞的综合评级为 高危 漏洞危害 远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码 25

29 4.1.3 漏洞影响范围 该漏洞影响 5.x 和 6.x 版本的 JBOSSAS 目前评估潜在受影响主机数量超过 5000 台 修复建议 升级到 JBOSS AS7 临时解决方案 : 1. 不需要 http-invoker.sar 组件的用户可直接删除此组件 2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中 : <url-pattern>/*</url-pattern> 用于对 httpinvoker 组件进行访问控制 附 : 参考链接 :