第38期(2018.03.19-2018.03.25)
一、本週漏洞基本態勢
本週軒轅攻防實驗室共收集、整理信息安全漏洞491個,其中高危漏洞245個、中危漏洞170個、低危漏洞76個,較上週相比較減少142個,同比減少28.9%。據統計發現SQL注入漏洞是本週佔比最大的漏洞,也是據統計以來,除第7期以外,每週漏洞數量都佔比最大的漏洞。
圖1 軒轅攻防實驗室收錄漏洞近7周漏洞數量分佈圖
根據監測結果,本週軒轅攻防實驗室共整理漏洞491個,其中其它行業112個、互聯網行業112個、商業平臺行業88個、電子政務行業76個、教育行業43個、醫療衛生行業17個、金融行業12個、能源行業8個、公共服務行業8個、電信行業為6個、交通行業5個、水利行業4個,分佈統計圖如下所示:
圖2 行業類型數量統計
本週漏洞類型分佈統計
經統計,SQL注入漏洞與後臺弱口令漏洞在電子政務行業存在均較為明顯,命令執行漏洞在商業平臺存在較為明顯。同時SQL注入漏洞也是本週漏洞類型統計中佔比最多的漏洞,廣大用戶應加強對SQL注入漏洞的防範。漏洞類型分佈統計圖如下:
圖3 漏洞類型分佈統計
本週通用型漏洞按影響對象類型統計
應用程序漏洞248個,WEB應用漏洞115個,操作系統漏洞71個,網絡設備漏洞44個,安全產品漏洞6個,數據庫漏洞3個。
圖4 漏洞影響對象類型統計圖
二、本週通用型產品公告
1、Google產品安全漏洞
Android是一種基於Linux的自由及開放源代碼的操作系統,Qualcomm Wma是其中的一個美國高通公司的Wma(數字音頻壓縮格式)組件。Qualcomm WLAN是無線局域網組件。本週,該產品被披露存在權限提升漏洞,攻擊者可利用漏提升權限。
收錄的相關漏洞包括:GoogleAndroid Qualcomm Wma權限提升漏洞(CNVD-2018-06011、CNVD-2018-06009、CNVD-2018-06007、CNVD-2018-06006、CNVD-2018-06005)、Google Android Qualcomm WLAN權限提升漏洞(CNVD-2018-05998、CNVD-2018-05996、CNVD-2018-05992)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://source.android.com/security/bulletin/pixel/2018-03-01
2、Microsoft產品安全漏洞
Microsoft Windows 10等都是美國微軟公司發佈的一系列操作系統。Windows Shell是一個Windows系統下與用戶交互的界面。StructuredQuery是一個結構化查詢組件。Microsoft Office是一款辦公軟件套件產品。Edge是其中的一個系統附帶的瀏覽器。Microsoft Access是一套關係數據庫管理系統。本週,上述產品被披露存在代碼執行漏洞,攻擊者可利用漏洞執行任意代碼。
收錄的相關漏洞包括:MicrosoftWindows Shell遠程代碼執行漏洞(CNVD-2018-05838)、Microsoft StructuredQuery遠程代碼執行漏洞、MicrosoftOffice任意代碼執行漏洞(CNVD-2018-05885)、Microsoft Edge和ChakraCore遠程代碼執行漏洞、Microsoft ChakraCore遠程代碼執行漏洞(CNVD-2018-05887CNVD-2018-05734)、Microsoft ChakraCore和Edge遠程代碼執行漏洞、Microsoft Access任意代碼執行漏洞。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://portal.msrc.microsoft.com/#!/en-US/security-guidance/advisory/CVE-2018-0883
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0825
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0922
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0930
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0925
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0858
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0931
https://portal.msrc.microsoft.com/#!/en-US/security-guidance/advisory/CVE-2018-0903
3、Joomla!產品安全漏洞
Joomla!是一套開源的內容管理系統(CMS)。本週,該產品被披露存在SQL注入和跨站腳本漏洞,攻擊者可利用漏獲取數據庫敏感信息或進行跨站腳本攻擊。
收錄的相關漏洞包括:Joomla!Saxum Picker組件SQL注入漏洞、Joomla!OS Property Real Estate SQL注入漏洞、Joomla! Kubik-RubikSimple Image Gallery Extended跨站腳本漏洞、Joomla! JTicketing組件SQL注入漏洞、Joomla! Jimtawl任意文件上傳漏洞、Joomla! Ek Rishta SQL注入漏洞、Joomla! CheckListSQL注入漏洞、Joomla! Alexandria Book Library組件SQL注入漏洞。除“Joomla! Kubik-Rubik Simple ImageGallery Extended跨站腳本漏洞”外,其餘漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
http://www.saxum2003.hu/
https://techjoomla.com/
https://joomla-extensions.kubik-rubik.de/downloads/sige-simple-image-gallery-extended/
4、Linux產品安全漏洞
Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。本週,該產品被披露存在多個漏洞,攻擊者可利用漏洞提升權限、讀取任意文件或發起拒絕服務攻擊等。
收錄的相關漏洞包括:Linuxkernel bnx2x network card驅動程序拒絕服務漏洞、Linux kernelfs/f2fs/extent_cache.c文件拒絕服務漏洞、Linux kernel'futex_requeue'函數拒絕服務漏洞、Linux kernel NFS server(nfsd)文件讀取漏洞、Linux kernel'setup_ntlmv2_rsp()'函數空指針解引用漏洞、Linux kernel本地權限提升漏洞(CNVD-2018-06116)。其中“Linux kernel bnx2xnetwork card驅動程序拒絕服務漏洞、Linux kernel'setup_ntlmv2_rsp()'函數空指針解引用漏洞”的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dad48e73127ba10279ea33e6dbc8d3905c4d31c0
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=fbe0e839d1e22d88810f3ee3e2f1479be4c0aa4a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1995266727fa8143897e89b55f5d3c79aa828420
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cabfb3680f78981d26c078a26e5c748531257ebb
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b71812168571fa55e44cdd0254471331b9c4c4c6
5、D-Link DCS-933L和DCS-934L權限獲取漏洞
D-Link DCS-933L和DCS-934L都是友訊(D-Link)公司的網絡攝像機產品。本週,D-Link被披露存在權限獲取漏洞,攻擊者可利用該漏洞獲取憑證並控制攝像機。目前,廠商尚未發佈漏洞修補程序。提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-05967
三、本週重要漏洞攻擊驗證情況
Seagate BlackArmorNAS遠程代碼執行漏洞
驗證描述
Seagate BlackArmor NAS是美國希捷(Seagate)公司的一款網絡存儲服務器,它可對業務關鍵數據提供分層保護、數據增量和系統備份、恢復等。
Seagate BlackArmorNAS中存在安全漏洞。遠程攻擊者可通過向localhost/backupmgt/localJob.php文件發送‘session’參數或向localhost/backupmgmt/pre_connect_check.php文件發送‘auth_name’參數利用該漏洞執行任意代碼。
驗證信息
POC鏈接:
https://www.exploit-db.com/exploits/33159/
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防範工作,儘快下載相關補丁。
四、本週安全資訊
1. 約 500 萬臺國產安卓手機被預裝惡意軟件 RottenSys,構成龐大殭屍網絡
CheckPoint 的研究人員近日發現中國某惡意團伙在大量傳播 RottenSys 惡意軟件,感染 500 多萬臺流行安卓設備。這個惡意軟件使用兩種技術逃避檢測,一是在設置時間延遲操作;二是利用dropper,最初不會顯示任何惡意活動,但一旦設備激活、dropper 連接到 C&C 服務器之後,服務器就會向 dropper 發送一系列惡意活動所需的組件名單。此外,惡意代碼需要依賴兩個開源項目才能實現:利用 Small 可視化框架創建可視化組件容器,隨後, RottenSys 就能運行平行任務,越過安卓系統的限制;此外,還能利用 MarsDaemon 庫,讓進程被用戶關閉的情況下還能保持激活,最後注入廣告。RottenSys最早在 2016 年出現,2017 年 7、8 月最為活躍。目前,感染排名靠前的手機品牌有榮耀、華為、小米、OPPO、vivo 等,共計4964460 臺,都成為了惡意團伙的殭屍。而惡意團伙則利用這些殭屍謀取暴利,每 10 天的收入達到 115000 美元。
2.3 款流行 VPN 有漏洞,或洩露用戶真實 ip 等隱私信息
近日,有研究人員發現HotSpot Shield、PureVPN 和Zenmate 這三款流行 VPN 存在安全問題,會洩露用戶真實 ip 等隱私信息,影響數百萬用戶。用戶真實 ip 洩露後,真實身份、實際地址等信息也會被順藤摸瓜找到。其中,免費的 HotSpot Shield Chrome 插件中存在三個嚴重漏洞:劫持全部流量(CVE-2018-7879)、DNS洩露(CVE-2018-7878)、真實 ip 地址洩露(CVE-2018-7880)。目前這三個漏洞已經被修復,桌面版和手機端的 HotSpot Shield 不受漏洞影響。PureVPN 和 Zenmate 中的漏洞尚未修復,且 Zenmate 中的問題最為嚴重。
3.Geutebrück網絡攝像頭被曝多個高危漏洞
德國 Geutebrück 網絡攝像頭被曝多個漏洞,但研究人員懷疑其它廠商的網絡攝像頭也在使用同樣的固件,也可能受這些漏洞威脅 。雖然路由器、網絡攝像頭和其它智能設備的安全漏洞不少,但這次漏洞較為嚴重,所有漏洞評分均介於8.3-9.8分區間,屬於高危漏洞。德國工業控制系統網絡應急響應小組(簡稱ICS-CERT)的專家評估這些漏洞表示,這些漏洞可通過互聯網被遠程利用,即便是低技能的黑客也能加以利用。研究人員目前只能證實這些漏洞影響了Geutebrück G-Cam/EFD-2250 和 Topline TopFD-2125 網絡攝像頭。這兩款產品均已停產,但Geutebrück 為此已針對較新的 G-Cam 系列產品發佈了固件版本 1.12.0.19,以修復漏洞。
附:
部分數據來源CNVD
閱讀更多 軒轅攻防實驗室 的文章
