迪普科技 2017 年 8 月信息安全研究月报公开迪普科技 2017 年 8 月信息安全研究月报杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有,

Size: px

Start display at page:

霆宓
4 years ago
Views:

2 目录一安全漏洞态势... 3 二漏洞类型分布... 3 三高危漏洞实例... 5 ( 一 ) Microsoft Office 远程代码执行漏洞... 5 ( 二 ) Xshell 等系列软件存在恶意代码... 5 ( 三 ) Foxit PDF Reader 命令注入漏洞... 6 ( 四 ) WordPress Easy Modal 插件 SQL 注入漏洞... 7 ( 五 ) Git SVN Mercurial 远程命令执行漏洞... 7 四本月安全要闻... 9 ( 一 ) 逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏,61% 的 IP 位于中国... 9 ( 二 ) 黑客团队 OurMine 入侵维基解密网站... 9 ( 三 ) 黑客组织曝光足坛涉禁药名单, 特维斯库伊特等名将在列 ( 四 ) 密币投资平台 Enigma 又双叒叕被黑, 逾 47 万美元以太币被盗! ( 五 ) 美最大医保公司 Anthem 再遭数据泄露事件,1.8 万用户受影响第 2 页, 共 12 页

一安全漏洞态势 2017 年 8 月份新增安全漏洞 1242 个比上月增加了 179 个, 与前 5 个月平均数量相比, 安全漏洞数量小幅增加本月新增的漏洞中, 高危漏洞 487 个, 中危漏洞 669 个, 低危漏洞 86 个, 同比 2016 年 8 月 ( 漏洞总数 328 个 ) 增长 278.

3 一安全漏洞态势 2017 年 8 月份新增安全漏洞 1242 个比上月增加了 179 个, 与前 5 个月平均数量相比, 安全漏洞数量小幅增加本月新增的漏洞中, 高危漏洞 487 个, 中危漏洞 669 个, 低危漏洞 86 个, 同比 2016 年 8 月 ( 漏洞总数 328 个 ) 增长 % 表 1-1 为 2017 年 3 月年 8 月漏洞危险等级统计表年 3 月年 8 月漏洞危险等级统计三月四月五月六月七月八月高危中危低危总数图年 3 月年 8 月漏洞新增数量趋势二漏洞类型分布 2017 年 8 月份新增的漏洞类型分布如表 1-2 所示其中权限许可和访问控制, 占 2.01% 值得关注的还有信息泄露跨站脚本与缓冲区溢出等常见漏洞类型第 3 页, 共 12 页

表 1-2 2017 年 8 漏洞类型分布类型数量比例缓冲区溢出 12 0.97% 权限许可和访问控制 25 2.01% 信息泄露 20 1.61% 输入验证 7 0.56% 跨站脚本 22 1.

4 表年 8 漏洞类型分布类型数量比例缓冲区溢出 % 权限许可和访问控制 % 信息泄露 % 输入验证 % 跨站脚本 % 资源管理错误 % 未知 % 跨站请求伪造 % SQL 注入 % 代码注入 % 其他 % 图年 8 月漏洞类型占比第 4 页, 共 12 页

5 三高危漏洞实例 ( 一 ) Microsoft Office 远程代码执行漏洞 CVE 编号 :CVE CNNVD 编号 :CNNVD 发布时间 : 危险等级 : 漏洞类型 : 远程代码执行受影响软件 : Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 (32-bit/64-bit editions) Microsoft Office 2013 RT Service Pack 1 Microsoft Office 2013 Service Pack 1 (32-bit/64-bit editions) Microsoft Office 2016 (32-bit/64-bit edition) 漏洞描述 :Microsoft Office 是微软公司开发的一套基于 Windows 操作系统的办公软件套装漏洞原理在于构造畸形的 ppsx 文件, 当用户点击 ppsx 文件时会从黑客服务器下载一个 Windows 脚本 (Windows Script Component), 脚本会利用 powershell 下载黑客服务器的恶意 exe 可执行程序并启动, 达到任意代码执行的攻击效果攻击者可以利用此漏洞对远程主机进行执行代码, 危害系统安全修补建议 : 尽快打上该漏洞官方补丁或者升级到最新稳定版本目前厂商已经发布了升级补丁, 补丁获取链接 : ( 二 ) Xshell 等系列软件存在恶意代码 CVE 编号 :none CNNVD 编号 :none 发布时间 : 危险等级 : 第 5 页, 共 12 页

6 漏洞类型 : 信息泄露受影响软件 : Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xshell 5.0 Build 1322 Xftp 5.0 Build 1218 Xlpd 5.0 Build 1220 漏洞描述 :Xshell 是一款安全终端模拟软件, 支持 SSH1 SSH2 TELNET 协议, 可以在 Windows 界面下用来访问远程的服务器恶意代码存在于 nssock2.dll 模块中 ( 受影响的 nssock2.dll 文件版本为 ), 攻击者可以通过该漏洞获取到用户服务器账号密码等信息, 窃取或修改服务器的敏感信息, 对用户服务器造成较为严重的影响 Xshell 系列软件使用范围较广, 危害较大远程攻击者可直接利用该漏洞获取敏感信息, 并为进一步攻击提供便利修补建议 : 在软件安装目录下找到 nssock2.dll 文件, 右键查看属性, 版本号为则存在后门代码尽快升级到最新稳定版本, 目前厂商已经发布了升级补丁, 补丁获取链接 : ( 三 ) Foxit PDF Reader 命令注入漏洞 CVE 编号 :CVE CNNVD 编号 :CNNVD 发布时间 : 危险等级 : 漏洞类型 : 代码执行受影响软件 : Foxit Reader 漏洞描述 :Foxit PDF Reader 是一款 PDF 文档阅读器该漏洞是由于 app.launchurl 函数没有进行正确的过滤验证, 程序在执行系统调用之前, 会直接执行恶意字符串, 导致命令注入, 成功利用后可导致任意代码执行第 6 页, 共 12 页

7 攻击者可以利用此漏洞在受影响的应用程序内的上下文中执行任意代码, 严重危害主机安全修补建议 : 不要打开任何来源不明的 pdf 文档,Foxit pdf Reader 的安全阅读模式要保持打开状态尽快打上该漏洞官方补丁或者升级到最新稳定版本目前厂商已经发布了升级补丁, 补丁获取链接 : ( 四 ) Git SVN Mercurial 远程命令执行漏洞 CVE 编号 :CVE CVE CVE CNNVD 编号 :CNNVD CNNVD CNNVD 发布时间 : 危险等级 : 漏洞类型 : 远程代码执行受影响软件 : Git v2.7.6 Git v2.8.6 Git v2.9.5 Git v Git v Git v Git v SVN clients through (inclusive) SVN clients through (inclusive) SVN client alpha3 Mercurial < 4.3 漏洞描述 :Git 是一套免费开源的分布式版本控制系统 Mercurial 是一套使用 Python 语言编写的跨平台的分布式版本控制软件 Apache Subversionclients 是 Apache 软件基金会的一套开源的版本控制系统第 7 页, 共 12 页

8 攻击者通过向用户发送一条精心构造的 ssh:// URL 链接, 当用户访问这条 URL 就会触发该漏洞导致执行恶意代码攻击者可以利用此漏洞对远程主机进行执行代码, 危害系统安全修补建议 :Git 升级到 v 版本,SVN 升级到 Subversion Subversion 版本,Mercurial 升级到 4.3 版本以上尽快升级到最新稳定版本目前厂商已经发布了升级补丁, 补丁获取链接 : ( 五 ) WordPress Easy Modal 插件 SQL 注入漏洞 CVE 编号 :CVE CVE CNNVD 编号 :CNNVD CNNVD 发布时间 : 危险等级 : 漏洞类型 :SQL 注入受影响软件 : Microsoft Skype 7.37 之前的 7.2 版本 Microsoft Skype 7.37 之前的 7.35 版本 Microsoft Skype 7.37 之前的 7.36 版本漏洞描述 :WordPress 是一种使用 PHP 语言开发的博客平台, 该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站在国际上广泛使用, 可以兼容自开发的插件功能强大, 应用广泛该漏洞存在于 classes\controller\admin\modals.php 文件中, 未对 id ids modal 参数进行正确的过滤, 攻击者利用该漏洞提交特制的 SQL 查询等语句, 获取数据库数据等敏感信息攻击者可以利用此漏洞对受影响的系统进行 SQL 注入攻击, 获取敏感信息, 危害系统安全修补建议 : 尽快打上该漏洞官方补丁或者升级到最新稳定版本目前厂商已经发布了升级补丁, 补丁获取链接 : 第 8 页, 共 12 页

9 四本月安全要闻 ( 一 ) 逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏,61% 的 IP 位于中国安全研究人员 Ankit Anubhav 近期在 Twitter 上分享了一条消息, 声称逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏, 疑似成为黑客通过僵尸网络进行 DDoS 攻击的动力来源据悉, 该列表包含 33,000 个 IP 地址, 最初于今年 6 月在 Pastebin 平台出现, 早期名单的泄露者与此前发布有效登录凭据转储散发僵尸网络源代码的黑客是同一人统计显示, 该列表中的多数 IoT 设备均包含默认登录凭证, 出现频率最多的前三名分别是 :root: 出现 782 次,admin: 出现 634 次,default: 出现 18 次 GDI 研究人员 Victor Gevers 在分析了上述列表后确认它由 8200 个独特 IP 地址组成, 大约每个 IP 地址是通过远程登录凭证进行访问的然而, 该列表中的 61% 的 IP 地址位于中国此外, 该开发人员还在 Pastebin 平台上公布了包括标题为 Easy To Root Kit Mir ai Bots Mirai-CrossCompiler Apache Struts 2 RCE Auto-Exploiter v2 Slowl oris DDoS Attack Script 等在内的恶意脚本, 以供其他网络罪犯任意使用友情链接 : ( 二 ) 黑客团队 OurMine 入侵维基解密网站黑客组织 OurMine 以入侵知名公司的高管社交网络账号而闻名, 其中包括 Facebook 首席执行官马克扎克伯格 (Mark Zuckerberg),Twitter 首席执行官 Jack Dorsey,Google CEO Sun dar Pichai 等据 Twitter 上的截图显示, 维基解密官方网站已经被 OurMine 黑客组织挂了黑页维基解密 (WikiLeaks) 是一个国际性非营利的媒体组织, 专门来自匿名来源和网络泄露的文档自今年 3 月份来, 维基解密开始了以 Vault 7 为代号的 CIA 敏感信息披露计划披露了大量网络武器的文档及利用代码等没有迹象表明维基解密的服务器或者网站被入侵了, 看起来应该是采用了 DNS 投毒的方式间接挂了黑页第 9 页, 共 12 页

10 DNS 投毒攻击, 攻击者可以控制 DNS 服务器并更改 name-servers 的值, 以便将 Internet 流量转移到恶意 IP 地址攻击者欺骗 DNS 服务器相信伪造的 DNS 响应的真实性这种类型攻击的目的是将依赖于此 DNS 服务器的受害者重定向到其他的地址不久之后, 维基解密的管理员重新设置了其 DNS 服务器在本文发布时, 维基解密网站已经恢复了访问据传闻 OurMine 是一个沙特阿拉伯的黑客组织, 他们自称是一个白帽子安全公司该公司通过入侵一些知名公司高管的社交账号进行营销, 然后令其购买安全服务, 免受黑客攻击友情链接 : ( 三 ) 黑客组织曝光足坛涉禁药名单, 特维斯库伊特等名将在列黑客组织奇幻熊从足球管理机构以及足球协会的往来邮件中截取一批足坛涉禁药运动员名单并在线曝光目前, 泄露出来的名单有在 2010 年南非世界杯期间, 被相关机构允许使用违禁药物的 25 人, 其中包括特维斯贝隆库伊特海因策马里奥戈麦斯等知名球员据悉, 这些球员使用的药物包括倍他米松地塞米松沙丁胺醇等, 不过这些运动员都是因为出于治疗的目的, 经过申请后获得了使用这些药物的豁免权此外, 该组织还透露, 在 2015 年, 足坛共有 160 名运动员被检测出药物阳性在被曝光的信息中, 包括英足总发送给国际足联有关的四起反兴奋剂案件, 其中有两起案件还在处理当中对此, 英足总表示, 那些机密信息被公之于众很令人沮丧, 那些进行中的案件的信息, 直到最后调查结束之前, 都不应该被泄露早于去年 9 月, 这个名为奇幻熊的网络黑客组织就开始入侵体育管理机构和反兴奋剂机构的网络数据, 并向外界公布大量通过申请药物豁免权以服用禁药照常参赛的运动员名单在此之前, 包括英国长跑名将莫法拉赫日本乒乓球选手福原爱捷克网球名将科维托娃美国网球选手威廉姆斯姐妹等等, 都在名单当中此外, 西班牙网球天王纳达尔也是其中之一, 他曾表示, 自己服用违禁药物获得了世界反兴奋剂组织的准许, 并没有什么好隐藏的友情链接 : 第 10 页, 共 12 页

11 ( 四 ) 密币投资平台 Enigma 又双叒叕被黑, 逾 47 万美元以太币被盗! 以太币又双叒叕被盗了! 一名未具名黑客截至目前已从密币投资平台 Enigma 上盗取超价值 47.1 万美元的以太币 Enigma 是热门密币投资平台之一, 而以太币是最流行且还在继续升值的密币 Enigma 公司在官方网站上表示, 一个未具名实体设法入侵了网站 slack 账户和邮件简报, 并且上传了附带虚假以太币地址的预售页面发钱黑客还在 Enigma 的简报和预售代币的 slack 账户中塞满了这个虚假地址, 诱骗受害者将密币发送给黑客地址流行的以太坊区块链搜索引擎 Etherscan 可供用户查看确认并验证交易, 目前它已将该地址标记为被攻陷地址, 但人们仍然将以太币发送到了这个虚假地址 :0x29d7d1dd5b6f9c864 d9db560d72a247c178ae86b 截至目前, 黑客已获得 1, 个以太币, 并且还在继续收钱黑客动手的前几天,Enigma 曾发表文章教用户如何避免钓鱼攻击者诈骗者垃圾信息发送者以在令牌销售时保证安全这次事件标志着以太坊在两个月内的第五次被入侵, 此前四次分别是 : Veritaseum 首次代币发行时被黑, 价值 840 万美元的以太币被盗 Parity 以太坊钱包账户中价值 320 万美元的以太币被盗以色列创业公司 CoinDash 在首次代币发行时被黑, 价值 100 万美元的以太币被盗密币交换平台 Bithumb 中价值 100 万的以太币和比特币被盗目前尚不知晓攻击者是如何攻破 Enigma 的网络并入侵网站 slack 账户和邮件简报账户的由于密币热衷者和投资者还在向这个虚假地址发送以太币, 因此读者可将此条信息传播转发给亲友们以免他们上当受骗友情链接 : ( 五 ) 美最大医保公司 Anthem 再遭数据泄露事件,1.8 万用户受影响 Anthem 向美国卫生和公共服务办公室报告了一起数据泄露事件, 该办公室根据 2009 年颁布的 HITECH 法案追踪了此次数据泄露事件第 11 页, 共 12 页

12 Anthem 表示, 这次数据泄露衍生自第三方公司 LaunchPoint Ventures 在 2016 年发生的数据泄露事件, 而该公司向 Anthem 提供保险调解服务 LaunchPoint 上周表示 2016 年 7 月 8 日, 一名员工向自己的个人邮箱发送了一份文件, 里面包含 Anthem 会员的个人信息 Launc hpoint 直到今年 4 月份也就是事件发生 10 个月之后才知晓此事该公司表示这名员工随后被解雇并被送进监狱, 目前正在调查一起关于他可能涉及身份伪装活动的不相关事件 Launch Point 了解到这名员工涉及 4 月份的偷盗活动, 并且在一个月后知悉某些非 Anthem 数据可能在他任职期间被恶意使用 Anthem 指出,LaunchPoint 公司在 6 月中旬证实这名员工发送的文件中包含跟 Anthem 会员相关的敏感医疗信息文件包含医疗身份证号码社保号码健康计划身份证号码医疗合同号码以及投保日期甚至有一些会员的姓和出生日期也包含在内, 不过已经通知这些受影响的会员 Anthem 在上周一表示这起事件可能影响 18,580 名医疗会员目前尚不清楚这些受害者是否仅限于 Anthem 的特定数据泄露区域还是已扩散至全国目前 LaunchPoint 表示正在跟执法部门合作调查并且为受害者提供了为期两年的信用监控服务和身份伪装恢复服务虽然这起事件并非 Anthem 的失误, 但它仍然是该公司一系列安全事件的最新案例 Ant hem 在 6 月份同意支付 1.15 亿美元用来处理 2015 年影响 7900 万用户的数据泄露事件友情链接 : 第 12 页, 共 12 页

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了接报漏洞情况本周接报漏洞

迪普科技 2017 年 8 月信息安全研究月报 公开 迪普科技 2017 年 8 月 信息安全研究月报 杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有,

迪普科技 2017 年 8 月信息安全研究月报公开迪普科技 2017 年 8 月信息安全研究月报杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有,