第38期(2018.03.19-2018.03.25)
一、本周漏洞基本态势
本周轩辕攻防实验室共收集、整理信息安全漏洞491个,其中高危漏洞245个、中危漏洞170个、低危漏洞76个,较上周相比较减少142个,同比减少28.9%。据统计发现SQL注入漏洞是本周占比最大的漏洞,也是据统计以来,除第7期以外,每周漏洞数量都占比最大的漏洞。
图1 轩辕攻防实验室收录漏洞近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞491个,其中其它行业112个、互联网行业112个、商业平台行业88个、电子政务行业76个、教育行业43个、医疗卫生行业17个、金融行业12个、能源行业8个、公共服务行业8个、电信行业为6个、交通行业5个、水利行业4个,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
经统计,SQL注入漏洞与后台弱口令漏洞在电子政务行业存在均较为明显,命令执行漏洞在商业平台存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对SQL注入漏洞的防范。漏洞类型分布统计图如下:
图3 漏洞类型分布统计
本周通用型漏洞按影响对象类型统计
应用程序漏洞248个,WEB应用漏洞115个,操作系统漏洞71个,网络设备漏洞44个,安全产品漏洞6个,数据库漏洞3个。
图4 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Google产品安全漏洞
Android是一种基于Linux的自由及开放源代码的操作系统,Qualcomm Wma是其中的一个美国高通公司的Wma(数字音频压缩格式)组件。Qualcomm WLAN是无线局域网组件。本周,该产品被披露存在权限提升漏洞,攻击者可利用漏提升权限。
收录的相关漏洞包括:GoogleAndroid Qualcomm Wma权限提升漏洞(CNVD-2018-06011、CNVD-2018-06009、CNVD-2018-06007、CNVD-2018-06006、CNVD-2018-06005)、Google Android Qualcomm WLAN权限提升漏洞(CNVD-2018-05998、CNVD-2018-05996、CNVD-2018-05992)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/pixel/2018-03-01
2、Microsoft产品安全漏洞
Microsoft Windows 10等都是美国微软公司发布的一系列操作系统。Windows Shell是一个Windows系统下与用户交互的界面。StructuredQuery是一个结构化查询组件。Microsoft Office是一款办公软件套件产品。Edge是其中的一个系统附带的浏览器。Microsoft Access是一套关系数据库管理系统。本周,上述产品被披露存在代码执行漏洞,攻击者可利用漏洞执行任意代码。
收录的相关漏洞包括:MicrosoftWindows Shell远程代码执行漏洞(CNVD-2018-05838)、Microsoft StructuredQuery远程代码执行漏洞、MicrosoftOffice任意代码执行漏洞(CNVD-2018-05885)、Microsoft Edge和ChakraCore远程代码执行漏洞、Microsoft ChakraCore远程代码执行漏洞(CNVD-2018-05887CNVD-2018-05734)、Microsoft ChakraCore和Edge远程代码执行漏洞、Microsoft Access任意代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://portal.msrc.microsoft.com/#!/en-US/security-guidance/advisory/CVE-2018-0883
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0825
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0922
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0930
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0925
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0858
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0931
https://portal.msrc.microsoft.com/#!/en-US/security-guidance/advisory/CVE-2018-0903
3、Joomla!产品安全漏洞
Joomla!是一套开源的内容管理系统(CMS)。本周,该产品被披露存在SQL注入和跨站脚本漏洞,攻击者可利用漏获取数据库敏感信息或进行跨站脚本攻击。
收录的相关漏洞包括:Joomla!Saxum Picker组件SQL注入漏洞、Joomla!OS Property Real Estate SQL注入漏洞、Joomla! Kubik-RubikSimple Image Gallery Extended跨站脚本漏洞、Joomla! JTicketing组件SQL注入漏洞、Joomla! Jimtawl任意文件上传漏洞、Joomla! Ek Rishta SQL注入漏洞、Joomla! CheckListSQL注入漏洞、Joomla! Alexandria Book Library组件SQL注入漏洞。除“Joomla! Kubik-Rubik Simple ImageGallery Extended跨站脚本漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.saxum2003.hu/
https://techjoomla.com/
https://joomla-extensions.kubik-rubik.de/downloads/sige-simple-image-gallery-extended/
4、Linux产品安全漏洞
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、读取任意文件或发起拒绝服务攻击等。
收录的相关漏洞包括:Linuxkernel bnx2x network card驱动程序拒绝服务漏洞、Linux kernelfs/f2fs/extent_cache.c文件拒绝服务漏洞、Linux kernel'futex_requeue'函数拒绝服务漏洞、Linux kernel NFS server(nfsd)文件读取漏洞、Linux kernel'setup_ntlmv2_rsp()'函数空指针解引用漏洞、Linux kernel本地权限提升漏洞(CNVD-2018-06116)。其中“Linux kernel bnx2xnetwork card驱动程序拒绝服务漏洞、Linux kernel'setup_ntlmv2_rsp()'函数空指针解引用漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dad48e73127ba10279ea33e6dbc8d3905c4d31c0
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=fbe0e839d1e22d88810f3ee3e2f1479be4c0aa4a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1995266727fa8143897e89b55f5d3c79aa828420
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cabfb3680f78981d26c078a26e5c748531257ebb
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b71812168571fa55e44cdd0254471331b9c4c4c6
5、D-Link DCS-933L和DCS-934L权限获取漏洞
D-Link DCS-933L和DCS-934L都是友讯(D-Link)公司的网络摄像机产品。本周,D-Link被披露存在权限获取漏洞,攻击者可利用该漏洞获取凭证并控制摄像机。目前,厂商尚未发布漏洞修补程序。提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-05967
三、本周重要漏洞攻击验证情况
Seagate BlackArmorNAS远程代码执行漏洞
验证描述
Seagate BlackArmor NAS是美国希捷(Seagate)公司的一款网络存储服务器,它可对业务关键数据提供分层保护、数据增量和系统备份、恢复等。
Seagate BlackArmorNAS中存在安全漏洞。远程攻击者可通过向localhost/backupmgt/localJob.php文件发送‘session’参数或向localhost/backupmgmt/pre_connect_check.php文件发送‘auth_name’参数利用该漏洞执行任意代码。
验证信息
POC链接:
https://www.exploit-db.com/exploits/33159/
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
四、本周安全资讯
1. 约 500 万台国产安卓手机被预装恶意软件 RottenSys,构成庞大僵尸网络
CheckPoint 的研究人员近日发现中国某恶意团伙在大量传播 RottenSys 恶意软件,感染 500 多万台流行安卓设备。这个恶意软件使用两种技术逃避检测,一是在设置时间延迟操作;二是利用dropper,最初不会显示任何恶意活动,但一旦设备激活、dropper 连接到 C&C 服务器之后,服务器就会向 dropper 发送一系列恶意活动所需的组件名单。此外,恶意代码需要依赖两个开源项目才能实现:利用 Small 可视化框架创建可视化组件容器,随后, RottenSys 就能运行平行任务,越过安卓系统的限制;此外,还能利用 MarsDaemon 库,让进程被用户关闭的情况下还能保持激活,最后注入广告。RottenSys最早在 2016 年出现,2017 年 7、8 月最为活跃。目前,感染排名靠前的手机品牌有荣耀、华为、小米、OPPO、vivo 等,共计4964460 台,都成为了恶意团伙的僵尸。而恶意团伙则利用这些僵尸谋取暴利,每 10 天的收入达到 115000 美元。
2.3 款流行 VPN 有漏洞,或泄露用户真实 ip 等隐私信息
近日,有研究人员发现HotSpot Shield、PureVPN 和Zenmate 这三款流行 VPN 存在安全问题,会泄露用户真实 ip 等隐私信息,影响数百万用户。用户真实 ip 泄露后,真实身份、实际地址等信息也会被顺藤摸瓜找到。其中,免费的 HotSpot Shield Chrome 插件中存在三个严重漏洞:劫持全部流量(CVE-2018-7879)、DNS泄露(CVE-2018-7878)、真实 ip 地址泄露(CVE-2018-7880)。目前这三个漏洞已经被修复,桌面版和手机端的 HotSpot Shield 不受漏洞影响。PureVPN 和 Zenmate 中的漏洞尚未修复,且 Zenmate 中的问题最为严重。
3.Geutebrück网络摄像头被曝多个高危漏洞
德国 Geutebrück 网络摄像头被曝多个漏洞,但研究人员怀疑其它厂商的网络摄像头也在使用同样的固件,也可能受这些漏洞威胁 。虽然路由器、网络摄像头和其它智能设备的安全漏洞不少,但这次漏洞较为严重,所有漏洞评分均介于8.3-9.8分区间,属于高危漏洞。德国工业控制系统网络应急响应小组(简称ICS-CERT)的专家评估这些漏洞表示,这些漏洞可通过互联网被远程利用,即便是低技能的黑客也能加以利用。研究人员目前只能证实这些漏洞影响了Geutebrück G-Cam/EFD-2250 和 Topline TopFD-2125 网络摄像头。这两款产品均已停产,但Geutebrück 为此已针对较新的 G-Cam 系列产品发布了固件版本 1.12.0.19,以修复漏洞。
附:
部分数据来源CNVD
閱讀更多 軒轅攻防實驗室 的文章
