目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet

Size: px

Start display at page:

Download "目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet"

质宓
7 years ago
Views:

1 北京安域领创科技有限公司安全服务通告报告周期 :2017 年 7 月第一周 (2017 年 06 月 26 日年 07 月 02 日 )

2 目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet Explorer 远程内存破坏漏洞漏洞四 : 北京云狐时代安卓 App 存在任意密码重置漏洞漏洞五 :Piwigo Facetag SQL 注入漏洞漏洞六 :jeecms 最新版 v8.1 前后台存在多个漏洞本周病毒木马通告本周流行病毒木马统计 Worm.Mail.NetSky.lz( 蠕虫病毒 ) Trojan.Win32.VBCode.fio( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告万帐户信息外泄!GitHub 搞砸 8Tracks 数据库 Linux 现严重漏洞, 仅靠恶意 DNS 响应就能实施远程攻击新 Petya 并非勒索软件, 而是 Wiper 恶意软件 CNN 等多家知名网站遭遇 Error503 错误英国政府数据服务网站用户数据遭意外泄露紧急预警通知关于 Petya 勒索病毒有关情况的通报... 15

3 4.1.1 漏洞简介漏洞危害漏洞影响范围修复建议... 16

4 1 本周漏洞通告 1.1 漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危影响产品浙江大华技术股份有限公司 DSS 3.0 漏洞类型远程代码执行漏洞 DSS(Digital Surveillance System) 是浙江大华技术股份有限公司研发的一套集成度很高, 功能很强大的数字监漏洞描述控管理系统浙江大华 DSS 3.0 安防新平台采用 Apache Struts 2 作为网站应用框架, 由于该软件存在一个远程代码执行高危漏洞, 攻击者可利用漏洞取得网站服务器主机远程控制权漏洞解决方案用户可联系供应商获得补丁信息 : 大华安防新平台存在 struts2-045 远程代码执行漏洞 1

5 1.2 漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞发布时间更新时间 CNVD-ID 漏洞危害级别影响产品漏洞类型 CNVD 高危锐捷网络股份有限公司 RG-WALL 防火墙 160S 权限绕过漏洞 RG-WALL 160S 是锐捷网络推出的一款百兆防火墙产品锐捷 RG-WALL-160S 防火墙存在 SNMP 协议社区字符串漏洞描述认证权限绕过漏洞允许攻击者利用任意字符串或整数值来绕过 SNMP 的访问控制, 在 MIB( 管理信息库 ) 中写入任意字符串, 从而获得设备的敏感信息漏洞解决方案厂商暂未修复此漏洞, 请关注厂商主页 : 漏洞三 :Microsoft Internet Explorer 远程内存破坏漏洞发布时间更新时间 CNVD-ID CNVD

6 漏洞类型漏洞危害级别内存破坏漏洞高危 Microsoft Internet Explorer 10 影响产品 Microsoft Internet Explorer 9 Microsoft Internet Explorer 11 Microsoft Internet Explorer ( IE ) 是美国微软 (Microsoft) 公司开发的一款 Web 浏览器, 是 Windows 漏洞描述操作系统附带的默认浏览器 Microsoft IE 9 10 和 11 版本中存在远程内存破坏漏洞远程攻击者可利用该漏洞在当前用户上下文中执行任意代码或造成拒绝服务目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案漏洞四 : 北京云狐时代安卓 App 存在任意密码重置漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型影响产品 CNVD 高危任意密码重置漏洞北京云狐时代科技有限公司北京云狐时代安卓 App 3

7 3.8.0 北京云狐时代科技有限公司, 是国内尖端特种智能装备研发公司, 是行业终端及服务方案解决专家漏洞描述北京云狐时代安卓 App 存在任意密码重置漏洞, 通过对方手机号, 攻击者可以利用该漏洞修改其密码获取用户账户相关敏感信息, 个人详细体质情况和商城交易信息漏洞解决方案厂商尚未提供修复方案, 请关注厂商主页更新 : 漏洞五 :Piwigo Facetag SQL 注入漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD Sql 注入漏洞高危影响产品 Piwigo Facetag Piwigo 是 Piwigo 团队的一套基于 Web 的相册软件该软件支持照片发布管理多种浏览方式 ( 类别标签漏洞描述时间 ) 等 Piwigo Facetag 插件存在 SQL 注入漏洞, 由于程序在 SQL 查询中使用之前未能正确过滤用户提供的输入允许攻击者访问或修改数据 4

8 漏洞解决方案目前没有详细解决方案提供 : 漏洞六 :jeecms 最新版 v8.1 前后台存在多个漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危多个漏洞影响产品江西金磊科技发展有限公司 jeecms v8.1 JEECMS 是国内 Java 版开源网站内容管理系统 (java cms jsp cms) 的简称漏洞描述 JEECMS 最新版 v8 存在 XSS 和 CSRF 漏洞, 攻击者可利用该漏洞通过向管理员发私信或投稿通知的方式发送精心构造的 payload 进行攻击, 最终获得管理员权限漏洞解决方案厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : 5

9 北京安域领创科技有限公司 2 本周病毒木马通告 2.1 本周流行病毒木马统计 2.1.1Worm.Mail.NetSky.lz 蠕虫病毒病毒危险级别病毒运行后查找主流杀毒软件进程并尝试将其结束同时病毒还将修改用户的注册表以便实现开机自启动除此之外该病毒还在后台连接黑客指定网址并为恶意网址刷流量占用大量网络资源用户一旦中毒有可能出现网络拥堵等现象 2.1.2Trojan.Win32.VBCode.fio 木马病毒病毒危险级别该病毒运行后查找主流杀毒软件进程并尝试将其结束同时病毒还将修改用户的注册表以便实现开机自启动除此之外该病毒还在后台连接黑客指定网址并为恶意网址刷流量占用大量网络资源用户一旦中毒有可能出现网络拥堵等现象 2.2 病毒木马防范措施针对出现的计算机病毒我们可以采用以下的措施进行防护安装正版防病毒软件并及时进行升级不使用盗版或者来历不明的软件特别不能使用盗版的杀毒软件对未知程序要使用查毒软件进行检查未经检查的可执行文件不能拷入硬盘更不能使用将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引 6

10 导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 7

11 北京安域领创科技有限公司 3 安全事件通告 3.1 本周国内外安全事件通告万帐户信息外泄 GitHub 搞砸 8Tracks 数据库社交音乐流媒体网站 8Tracks 的工作人员正面临着一场无妄之灾由于 GitHub 方面的疏忽目前 8Tracks 网站 1800 万用户的个人帐户遭到外泄好消息是该服务拥有良好的安全管理机制意味着存储在数据库当中的用户密码已经经过伪装并散列化处理但密码撞库仍能够成功突破其防线密码泄露仍有可能而通过谷歌或者 Facebook 进行 8Tracks 注册的用户则不会受到影响身份验证缺陷惹的祸根据该公司在事件回复帖中作出的解释此次问题的来源在于 GitHub 存储库存在安全机制缺陷即员工未使用双因素身份验证 8Tracks 方面发现了未经授权的密码更 8

改尝试, 并借此意识到该问题, 另外, 该公司还在调查当中发现员工存储库内存在数据库表备份这篇帖子解释称, 我们已经对相关帐户进行了保护, 变更了我们的存储系统密码, 同时为备份系统添加了访问记录机制我们正在对当前全部安全措施进行审计, 并采取措施以在 GitHub 上实施双因素验证, 希望借此限制对存储库的访问, 同时改善我们的密码加密能力 3.1.

12 改尝试, 并借此意识到该问题, 另外, 该公司还在调查当中发现员工存储库内存在数据库表备份这篇帖子解释称, 我们已经对相关帐户进行了保护, 变更了我们的存储系统密码, 同时为备份系统添加了访问记录机制我们正在对当前全部安全措施进行审计, 并采取措施以在 GitHub 上实施双因素验证, 希望借此限制对存储库的访问, 同时改善我们的密码加密能力 Linux 现严重漏洞, 仅靠恶意 DNS 响应就能实施远程攻击研究人员在 Systemd 中发现一个严重漏洞 Systemd 是 Linux 操作系统常用的初始化系统和服务管理器这个漏洞可能会让远程攻击者触发缓冲区溢出, 通过 DNS 响应在目标设备上执行恶意代码该漏洞编号为 CVE , 存在于 systemd-resolved 中的 dns_packet_new 功能中 systemd-resolved 是 DNS 响应处理器的组件, 负责将解析域名提供给本地应用程序研究人员周二发布的公告显示, 当系统试图在攻击者控制的 DNS 服务上查询主机名 9

13 时, 特制的恶意 DNS 响应能远程使 systemd-resolved' 程序崩溃最终, 大量 DNS 响应会溢出缓冲区, 从而允许攻击者重写内存, 执行远程代码这就意味着, 攻击者可以通过恶意 DNS 服务在目标系统或服务器上远程运行恶意软件哪些版本受影响? Ubuntu 开发人员克里斯库尔森解释称, 在 Systemd 233 版本中, 一定量的 DNS 响应传至 systemd-resolved 中的 dns_packet_new, 就会导致 Systemd 分配极小的缓冲区恶意 DNS 服务器可以借助特制的 TCP 有效载荷予以响应, 并加以利用, 诱骗 systemdresolved 配置极小的缓冲区, 继而在最后编写任何数据自 2015 年 6 月推出 Systemd 223 版本以来, 这个漏洞一直存在, 并存在于之后发布的版本中, 包括今年 3 月推出的 Systemd 233 这个漏洞存在于 Ubuntu 和 Debian Stretch( 即 Debian 9) Buster( 即 10) 和 Sid( 即 Unstable) 以及其它各个使用 Systemd 的其它 Linux 发行版上目前, 该漏洞的安全补丁已经推出, 建议用户和系统管理员尽快安装并更新 Linux 发行版新 Petya 并非勒索软件, 而是 Wiper 恶意软件本周二的破坏性全球恶意软件爆发并不是由任何勒索软件感染造成的? 是的, 本周二开始在若干国家感染计算机并要求 $300 赎金的 Petya 勒索软件攻击根本不是以恢复电脑为意图而设计的新的分析表明, 该病毒貌似勒索软件, 实则是 wiper 恶意软件, 其直接对计算机进行擦除, 破坏目标系统的所有记录 10

Comae Technologies 公司创始人 Matt Suiche 密切关注了该恶意软件的操作, 其在分析称为 Petya 的病毒后称, 其团队发现这是一个 Wiper 恶意软件, 并非勒索软件安全专家甚至认为, 真正的攻击已被伪装, 以将全世界的注意力从一个国家赞助的对乌克兰的攻击转移到恶意软件爆发 Petya 勒索软件是有缺陷还是太聪明了?

14 Comae Technologies 公司创始人 Matt Suiche 密切关注了该恶意软件的操作, 其在分析称为 Petya 的病毒后称, 其团队发现这是一个 Wiper 恶意软件, 并非勒索软件安全专家甚至认为, 真正的攻击已被伪装, 以将全世界的注意力从一个国家赞助的对乌克兰的攻击转移到恶意软件爆发 Petya 勒索软件是有缺陷还是太聪明了? Petya 是一款令人讨厌的恶意软件, 与其他传统勒索软件不同, 其不会逐个加密目标系统上的文件相反,Petya 重新启动受害者的计算机并加密硬盘驱动器的主文件表 (MFT), 并使主引导记录 (MBR) 不可操作, 通过占用有关物理磁盘上的文件名大小及位置的信息导致完全无法访问系统然后 Petya 勒索软件用其自身的恶意代码替换 MBR 加密副本, 该恶意代码显示勒赎信, 使电脑无法启动但是,Petya 的这个新变种不保留被替换的 MBR 的副本, 因此, 即使受害者获得解密密钥也无法重启被感染的计算机, 因此也不建议支付赎金此外, 在感染一台机器之后,Petya 勒索软件会扫描本地网络, 并利用 EternalBlue SMB 漏洞 WMIC 和 PSEXEC 工具快速感染同一网络上的所有其他机器 ( 即使已完全打 11

15 补丁 ) Petya 最初是如何进入电脑的? 根据 Talos Intelligence 的研究, 不知名的乌克兰企业 MeDoc 可能是这一全球勒索软件大爆发的主要来源研究人员称, 该病毒可能是通过恶意软件更新传播到了称为 MeDoc 的乌克兰税务会计系统, 不过 MeDoc 否认了这一指控但若干安全研究人员, 甚至微软也认可 Talo 的发现, 称 MeDoc 被攻破, 病毒是通过更新传播的 CNN 等多家知名网站遭遇 Error503 错误据国外媒体报道,CNN( 美国有线电视新闻网 ) 等多家知名网站日前遭遇了 Error 503 错误 CNN 等多家知名网站遭遇 Error 503 错误外媒称, 据用户反映, 受到影响的包括社交新闻网站 Reddit 纽约时报 CNN BuzzFeed 等知名网站, 它们的网络管理系统出了大问题 12

16 用户反映, 屏幕上会显示 Error 503: 达到服务最大线程的字样 (Error 503: Maximum threads for service reached) 为这些网站提供云服务的 Fastly 公司表示, 这种情况属于全球性事件, 公司多个团队正在进行修复和调查有分析认为, 这次的事故可能是 DDoS( 分布式拒绝服务 ) 攻击所造成的 Error 503 错误出现就是因为服务器流量超载, 导致无法处理新的请求另外, 新勒索病毒正席卷全球, 渗透进许多的大型跨国企业受影响的公司包括 WPP 俄罗斯石油公司马士基美国制药公司默克俄罗斯第二大钢铁企业耶弗拉兹 (Evraz) 以及欧华律师事务所 (DLA Piper) 等等乌克兰受到大面积打击, 使国有供电企业 Ukrenergo 以及该国几家银行受到影响在此之前,WannaCry 病毒在 5 月份的一个周末肆虐全球, 当时就造成 100 多个国家超过 20 万台 Windows 系统电脑中招, 影响了全球各地的各个组织, 其中包括法国汽车制造商俄罗斯银行和西班牙电信运营商, 引发了全世界的关注网民电脑里的重要资料被病毒加密, 黑客称只有支付赎金才能恢复英国政府数据服务网站用户数据遭意外泄露英国政府每月访问量超过 20 万次的 Data.gov.uk 网站, 最近不慎在某第三方系统上公开其数据仪表板用户信息, 用户方强烈要求立即更改密码内容, 而英国政府方面则提醒应尽快更改密码内容 13

根据一封来自政府数字化服务局的邮件, 目前暴露在第三方系统上的文件包含用户姓名邮箱地址以及经过散列处理的密码信息邮件同时指出, 在最近的例行安全审查当中, 我们发现某个包含有用户姓名邮箱地址以及经过散列处理的密码信息的文件可在第三方系统上接受公开访问该文件包含所有于 2015 年 6 月 20 日之前进行注册的 data.gov.

17 根据一封来自政府数字化服务局的邮件, 目前暴露在第三方系统上的文件包含用户姓名邮箱地址以及经过散列处理的密码信息邮件同时指出, 在最近的例行安全审查当中, 我们发现某个包含有用户姓名邮箱地址以及经过散列处理的密码信息的文件可在第三方系统上接受公开访问该文件包含所有于 2015 年 6 月 20 日之前进行注册的 data.gov.uk 用户的相关信息英国政府方面建议用户重新设置密码, 以及使用同一密码内容的其它帐户, 不过其同时补充称, 目前尚无这部分信息遭到滥用的证据出现通知邮件解释称, 目前还没有任何证据表明有用户的凭证遭到滥用因此, 重置密码内容纯粹只是一种预防性措施政府数据服务局进一步补充道, 其立即采取措施以将这些数据自公共域内清理出去目前, 该机构已将这一安全违规问题报告给了数据保护监管部门信息专员办公室 14

18 北京安域领创科技有限公司 4 紧急预警通知 4.1 关于 Petya 勒索病毒有关情况的通报北京时间 2017 年 6 月 27 日晚据外媒消息乌克兰等多国正在遭遇 Petya 勒索病毒袭击政府银行等重要系统受攻击影响此次黑客使用的是 Petya 勒索病毒的变种 Petwarp 使用的攻击方式和 WannaCry 相同 4.1.1漏洞简介北京时间 2017 年 6 月 27 日晚据外媒消息乌克兰俄罗斯印度西班牙法国英国以及欧洲多国正在遭遇 Petya 勒索病毒袭击政府银行电力系统通讯系统企业以及机场都不同程度的受到了影响通过对本次事件跟踪分析发现攻击事件中的病毒属于 Petya 勒索者的变种 Petwrap 病毒使用 MicrosoftOffice/WordPad 远程执行代码漏洞 CVE 通过电子邮件进行传播感染成功后利用永恒之蓝漏洞在内网中寻找打开 445 端口的主 15

19 机进行传播根据安全厂商卡巴斯基研究人员的统计分析, 目前全球被感染的主要国家包括乌克兰俄罗斯波兰意大利德国和白俄罗斯漏洞危害病毒使用 MicrosoftOffice/WordPad 远程执行代码漏洞 (CVE ) 通过电子邮件进行传播, 感染成功后利用永恒之蓝漏洞, 在内网中寻找打开 445 端口的主机进行传播漏洞影响范围目前全球被感染的主要国家包括乌克兰俄罗斯波兰意大利德国和白俄罗斯修复建议建议防护策略如下 : 1. 不要轻易点击不明附件, 尤其是 rtf doc 等格式文件 2. 内网中存在使用相同账号密码情况的机器请尽快修改密码, 未开机的电脑请确认口令修改完毕补丁安装完成后再进行开机操作 3. 更新操作系统补丁 (MS) 4. 更新 MicrosoftOffice/WordPad 远程执行代码漏洞 (CVE ) 补丁 5. 禁用 WMI 服务 CNCERT 后续将密切监测和关注该勒索软件的攻击情况, 同时联合安全业界对有可 16

20 能出现的新的攻击传播手段恶意样本变种进行跟踪防范 17

目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne

目录 1 本周漏洞通告漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞漏洞三 :Oracle JD Edwards EnterpriseOne 北京安域领创科技有限公司安全服务通告报告周期 :2018 年 7 月第三周 (2018 年 07 月 16 日 -2018 年 07 月 22 日 ) 目录 1 本周漏洞通告...1 1.1 漏洞一 :NSFOCUS RSAS V6.0 存在命令注入漏洞... 1 1.2 漏洞二 :SEMCMS 外贸网站 PHP 多语言版 V2.7 存在 SQL 注入漏洞... 2 1.3 漏洞三 :Oracle

目录 1 本周漏洞通告 漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞 漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞 漏洞三 :Microsoft Internet

目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet