第39期(2018.03.26-2018.04.01)
一、本週漏洞基本態勢
本週軒轅攻防實驗室共收集、整理信息安全漏洞439個,其中高危漏洞187個、中危漏洞198個、低危漏洞54個,較上週相比較減少52個,同比減少11.8%。據統計發現SQL注入漏洞是本週佔比最大的漏洞,也是據統計以來,除第7期以外,每週漏洞數量都佔比最大的漏洞。
圖1 軒轅攻防實驗室收錄漏洞近7周漏洞數量分佈圖
根據監測結果,本週軒轅攻防實驗室共整理漏洞439個,其中互聯網行業135個、教育行業91個、其它行業67個、商業平臺行業64個、電子政務行業33個、醫療衛生行業12個、電信行業為11個、金融行業9個、能源行業5個、交通行業5個、公共服務行業4個、水利行業3個,分佈統計圖如下所示:
圖2 行業類型數量統計
本週漏洞類型分佈統計
經統計,SQL注入漏洞與後臺弱口令漏洞在教育行業存在均較為明顯,命令執行漏洞在互聯網行業存在較為明顯。同時SQL注入漏洞也是本週漏洞類型統計中佔比最多的漏洞,廣大用戶應加強對SQL注入漏洞的防範。漏洞類型分佈統計圖如下:
圖3 漏洞類型分佈統計
本週通用型漏洞按影響對象類型統計
應用程序漏洞267個,操作系統漏洞75個,WEB應用漏洞73個,網絡設備漏洞30個,安全產品漏洞6個,數據庫漏洞1個。
圖4 漏洞影響對象類型統計圖
二、本週通用型產品公告
1、Drupal產品安全漏洞
Drupal是Drupal社區所維護的一套用PHP語言開發的免費、開源的內容管理系統。本週,該產品被披露存在遠程代碼執行漏洞,攻擊者可利用漏洞執行任意代碼。
收錄的相關漏洞包括:Drupal core遠程代碼執行漏洞(CNVD-2018-06660)。該漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.drupal.org/sa-core-2018-002
2、Google產品安全漏洞
Android是一種基於Linux的自由及開放源代碼的操作系統。本週,該產品被披露存在遠程代碼執行漏洞,攻擊者可利用漏執行任意代碼。
收錄的相關漏洞包括:GoogleAndroid Media framework遠程代碼執行漏洞(CNVD-2018-06661、CNVD-2018-06662、CNVD-2018-06663、CNVD-2018-06664、CNVD-2018-06665、CNVD-2018-06666)、Google Android System組件遠程代碼執行漏洞(CNVD-2018-06643、CNVD-2018-06644)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://source.android.com/security/bulletin/2018-03-01
3、Microsoft產品安全漏洞
Microsoft Windows 10是美國微軟(Microsoft)公司發佈的一套新一代跨平臺操作系統。Edge是其中的一個系統附帶的默認瀏覽器。Microsoft Internet Explorer(IE)是一款Web瀏覽器。本週,上述產品被披露存在內存破壞漏洞,攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。
收錄的相關漏洞包括:MicrosoftEdge和ChakraCore遠程內存破壞漏洞(CNVD-2018-06694、CNVD-2018-06695、CNVD-2018-06696、CNVD-2018-06697、CNVD-2018-06698、CNVD-2018-06699、CNVD-2018-06700)、Microsoft Internet Explorer內存破壞漏洞(CNVD-2018-06313)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0874
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0933
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0934
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0936
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0937
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0872
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0873
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-051
4、Linux產品安全漏洞
Linux kernel是美國Linux基金會發布的操作系統Linux所使用的內核。本週,該產品被披露存在拒絕服務漏洞,攻擊者可利用漏洞發起拒絕服務攻擊。
收錄的相關漏洞包括:Linuxkernel拒絕服務漏洞(CNVD-2018-06306、CNVD-2018-06440、CNVD-2018-06300、CNVD-2018-06401、CNVD-2018-06431、CNVD-2018-06432、CNVD-2018-06459、CNVD-2018-06460)。其中“Linux kernel拒絕服務漏洞(CNVD-2018-06306、CNVD-2018-06440)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9b54d816e00425c3a517514e0d677bb3cec49258
https://github.com/torvalds/linux/commit/687cb0884a714ff484d038e9190edc874edcf146
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=638164a2718f337ea224b747cf5977ef143166a4
https://github.com/torvalds/linux/commit/0558f33c06bb910e2879e355192227a8e8f0219d
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9a41d21dceadf8104812626ef85dc56ee8a60ed
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=28f5a8a7c033cbf3e32277f4cc9c6afd74f05300
https://github.com/torvalds/linux/commit/70feee0e1ef331b22cc51f383d532a0d043fbdcc
5、Tenda AC15路由器代碼執行漏洞
Tenda AC15 router是中國騰達(Tenda)公司的一款無線路由器產品。本週,Tenda被披露存在權限獲取漏洞,遠程攻擊者可藉助特製的‘COOKIE’參數利用該漏洞執行代碼。目前,廠商尚未發佈漏洞修補程序。提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06266
三、本週重要漏洞攻擊驗證情況
Zoho ManageEngine Applications Manager遠程代碼執行漏洞(CNVD-2018-06478)
驗證描述
ZOHO ManageEngineApplications Manager是美國卓豪(ZOHO)公司的一套應用性能監控軟件。該軟件可對不同的業務系統、應用和網絡服務(如服務器、操作系統等)進行遠程監控和管理。
Zoho ManageEngineApplications Manager 13.5版本中存在命令注入漏洞。遠程攻擊者可利用該漏洞執行操作系統命令。
驗證信息
POC鏈接:
https://www.exploit-db.com/exploits/44274/
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防範工作,儘快下載相關補丁。
四、本週安全資訊
1. 互聯網科技公司內鬼盜取100個比特幣 或面臨嚴懲
海淀區某互聯網科技公司員工仲某利用職務便利,通過使用管理員權限插入代碼以修改公司服務器內應用程序的方式,盜取該公司100個比特幣,價值數百萬元,後被北京市公安局海淀分局抓獲。近日,海淀檢察院以涉嫌非法獲取計算機信息系統數據罪對犯罪嫌疑人仲某批准逮捕。本案系北京市首例比特幣被盜案件,雖然難以從法律角度對比特幣價值進行定性,但如果超越權限,非法對計算機信息系統功能進行修改,造成維修等經濟損失,也同樣會觸犯法律。
2.羅克韋爾MicroLogix-1400-PLC曝多個高危漏洞
3.思科爆重大遠端程式碼執行漏洞
思科於上週六發布的IOS及IOS XE軟件安全公告中,被認為潛在威脅最大的漏洞被標識為CVE-2018-0171,可能會威脅到到超過數百萬臺網絡設備(主要是路由器和交換機)的安全。來自俄羅斯安全公司Embedi的安全研究員George Nosenko在IOS和IOS-XE系統SmartInstall Client代碼中發現了這個緩衝區堆棧溢出漏洞。成功利用這個漏洞可允許攻擊者對設備發起拒絕服務(DoS)攻擊,或在未經身份驗證的情況下遠程執行任意代碼,這意味著攻擊者可以通過利用這個漏洞來獲得對受影響設備的完全控制權限。
附:
閱讀更多 軒轅攻防實驗室 的文章
