第39期(2018.03.26-2018.04.01)
一、本周漏洞基本态势
本周轩辕攻防实验室共收集、整理信息安全漏洞439个,其中高危漏洞187个、中危漏洞198个、低危漏洞54个,较上周相比较减少52个,同比减少11.8%。据统计发现SQL注入漏洞是本周占比最大的漏洞,也是据统计以来,除第7期以外,每周漏洞数量都占比最大的漏洞。
图1 轩辕攻防实验室收录漏洞近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞439个,其中互联网行业135个、教育行业91个、其它行业67个、商业平台行业64个、电子政务行业33个、医疗卫生行业12个、电信行业为11个、金融行业9个、能源行业5个、交通行业5个、公共服务行业4个、水利行业3个,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
经统计,SQL注入漏洞与后台弱口令漏洞在教育行业存在均较为明显,命令执行漏洞在互联网行业存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对SQL注入漏洞的防范。漏洞类型分布统计图如下:
图3 漏洞类型分布统计
本周通用型漏洞按影响对象类型统计
应用程序漏洞267个,操作系统漏洞75个,WEB应用漏洞73个,网络设备漏洞30个,安全产品漏洞6个,数据库漏洞1个。
图4 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Drupal产品安全漏洞
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。本周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
收录的相关漏洞包括:Drupal core远程代码执行漏洞(CNVD-2018-06660)。该漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.drupal.org/sa-core-2018-002
2、Google产品安全漏洞
Android是一种基于Linux的自由及开放源代码的操作系统。本周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏执行任意代码。
收录的相关漏洞包括:GoogleAndroid Media framework远程代码执行漏洞(CNVD-2018-06661、CNVD-2018-06662、CNVD-2018-06663、CNVD-2018-06664、CNVD-2018-06665、CNVD-2018-06666)、Google Android System组件远程代码执行漏洞(CNVD-2018-06643、CNVD-2018-06644)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/2018-03-01
3、Microsoft产品安全漏洞
Microsoft Windows 10是美国微软(Microsoft)公司发布的一套新一代跨平台操作系统。Edge是其中的一个系统附带的默认浏览器。Microsoft Internet Explorer(IE)是一款Web浏览器。本周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。
收录的相关漏洞包括:MicrosoftEdge和ChakraCore远程内存破坏漏洞(CNVD-2018-06694、CNVD-2018-06695、CNVD-2018-06696、CNVD-2018-06697、CNVD-2018-06698、CNVD-2018-06699、CNVD-2018-06700)、Microsoft Internet Explorer内存破坏漏洞(CNVD-2018-06313)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0874
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0933
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0934
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0936
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0937
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0872
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0873
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-051
4、Linux产品安全漏洞
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。
收录的相关漏洞包括:Linuxkernel拒绝服务漏洞(CNVD-2018-06306、CNVD-2018-06440、CNVD-2018-06300、CNVD-2018-06401、CNVD-2018-06431、CNVD-2018-06432、CNVD-2018-06459、CNVD-2018-06460)。其中“Linux kernel拒绝服务漏洞(CNVD-2018-06306、CNVD-2018-06440)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9b54d816e00425c3a517514e0d677bb3cec49258
https://github.com/torvalds/linux/commit/687cb0884a714ff484d038e9190edc874edcf146
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=638164a2718f337ea224b747cf5977ef143166a4
https://github.com/torvalds/linux/commit/0558f33c06bb910e2879e355192227a8e8f0219d
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9a41d21dceadf8104812626ef85dc56ee8a60ed
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=28f5a8a7c033cbf3e32277f4cc9c6afd74f05300
https://github.com/torvalds/linux/commit/70feee0e1ef331b22cc51f383d532a0d043fbdcc
5、Tenda AC15路由器代码执行漏洞
Tenda AC15 router是中国腾达(Tenda)公司的一款无线路由器产品。本周,Tenda被披露存在权限获取漏洞,远程攻击者可借助特制的‘COOKIE’参数利用该漏洞执行代码。目前,厂商尚未发布漏洞修补程序。提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06266
三、本周重要漏洞攻击验证情况
Zoho ManageEngine Applications Manager远程代码执行漏洞(CNVD-2018-06478)
验证描述
ZOHO ManageEngineApplications Manager是美国卓豪(ZOHO)公司的一套应用性能监控软件。该软件可对不同的业务系统、应用和网络服务(如服务器、操作系统等)进行远程监控和管理。
Zoho ManageEngineApplications Manager 13.5版本中存在命令注入漏洞。远程攻击者可利用该漏洞执行操作系统命令。
验证信息
POC链接:
https://www.exploit-db.com/exploits/44274/
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
四、本周安全资讯
1. 互联网科技公司内鬼盗取100个比特币 或面临严惩
海淀区某互联网科技公司员工仲某利用职务便利,通过使用管理员权限插入代码以修改公司服务器内应用程序的方式,盗取该公司100个比特币,价值数百万元,后被北京市公安局海淀分局抓获。近日,海淀检察院以涉嫌非法获取计算机信息系统数据罪对犯罪嫌疑人仲某批准逮捕。本案系北京市首例比特币被盗案件,虽然难以从法律角度对比特币价值进行定性,但如果超越权限,非法对计算机信息系统功能进行修改,造成维修等经济损失,也同样会触犯法律。
2.罗克韦尔MicroLogix-1400-PLC曝多个高危漏洞
3.思科爆重大远端程式码执行漏洞
思科于上周六发布的IOS及IOS XE软件安全公告中,被认为潜在威胁最大的漏洞被标识为CVE-2018-0171,可能会威胁到到超过数百万台网络设备(主要是路由器和交换机)的安全。来自俄罗斯安全公司Embedi的安全研究员George Nosenko在IOS和IOS-XE系统SmartInstall Client代码中发现了这个缓冲区堆栈溢出漏洞。成功利用这个漏洞可允许攻击者对设备发起拒绝服务(DoS)攻击,或在未经身份验证的情况下远程执行任意代码,这意味着攻击者可以通过利用这个漏洞来获得对受影响设备的完全控制权限。
附:
閱讀更多 軒轅攻防實驗室 的文章
