第60期(2018.08.27-2018.09.02)
一、本周漏洞基本态势
本周轩辕攻防实验室共收集、整理信息安全漏洞879个,其中高危漏洞472个、中危漏洞402个,低危漏洞6个。较上周相比较减少了3个,数量和上周相比持平。据统计发现SQL注入漏洞是本周占比最大的漏洞,也是据统计以来,除第7期和第40期以外,每周漏洞数量都占比最大的漏洞。
图1 轩辕攻防实验室收录漏洞近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞879个,其中其他行业339个、电信与互联网行业150个、市政行业108个、政府部门行业98个、教育行业77个、商业平台行业58个、医疗卫生行业35个、公共服务行业12个、金融行业7个,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
本周监测共有漏洞879个,其中,漏洞数量位居首位的是SQL注入漏洞,占比高达34%,漏洞数量位居第二的是弱口令漏洞,占比27%,漏洞数量位居第三为命令执行漏洞,占比15%,这三种漏洞数量就占总数76%,与上周相比较, SQL注入漏洞数量占比减少3%,弱口令漏洞数量占比增加11%,命令执行漏洞数量占比减少1%;其他几种漏洞仅占总数的24%,这其中,敏感信息泄露漏洞占比6%,未授权访问/权限绕过漏洞占比4%,XSS跨站脚本攻击漏洞占比2%、任意文件读写漏洞占比2%、设计缺陷/逻辑漏洞漏洞1%,CSRF跨站请求伪造漏洞占比1%,其他漏洞占比为8%。
经统计,SQL注入漏洞在教育、市政行业存在较为明显,命令执行漏洞在教育、电信与互联网行业存在较为明显,弱口令漏洞在商业平台、市政行业存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞,安全人员应加强对SQL注入漏洞的防范。漏洞类型分布统计图如下:
图3 漏洞类型分布统计
本周通用型漏洞按影响对象类型统计
应用程序漏洞195个,网络设备漏洞58个,WEB应用漏洞50个,操作系统漏洞45个,安全产品漏洞7个,数据库漏洞1个。
图4 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Google产品安全漏洞
Google Chrome是一款Web浏览器。Android是一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,权限提升,执行任意代码。
收录的相关漏洞包括:Google Android Kernel组件权限提升漏洞(CNVD-2018-16973、CNVD-2018-16972)、Google Android System权限提升漏洞(CNVD-2018-16976)、Google Android Media framework权限提升漏洞(CNVD-2018-16981)、Google Android Framework信息泄露漏洞(CNVD-2018-16983)、Google Chrome堆缓冲区溢出漏洞(CNVD-2018-17041、CNVD-2018-17043、CNVD-2018-17049)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/2018-07-01
https://source.android.com/security/bulletin/2018-07-01
https://chromereleases.googleblog.com/search/label/Stable%20updates
https://chromereleases.googleblog.com/search/label/Stable%20updates
2、Microsoft产品安全漏洞
Microsoft Windows 10是一套个人电脑使用的操作系统。Windows Server 2008 SP2是一套服务器操作系统。Windows Server Version 1709是一套服务器操作系统。Windows PDF Library是其中的一个PDF库。MicrosoftExcel是一款电子表格处理软件。InternetExplorer是一款网页浏览器。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
收录的相关漏洞包括:Microsoft Windows LNK远程代码执行漏洞(CNVD-2018-16833、CNVD-2018-16832)、Microsoft Windows Graphics Component远程执行代码漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2018-16841)、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2018-16846)、Microsoft Windows Shell远程代码执行漏洞(CNVD-2018-17078)、Microsoft Windows PDF远程代码执行漏洞(CNVD-2018-17083)、Microsoft Excel远程代码执行漏洞(CNVD-2018-17092)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8346
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8345
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8375
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8316
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8414
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8379
3、Samsung产品安全漏洞
Samsung SmartThings Hub是一款智能家居管理设备。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。
收录的相关漏洞包括:Samsung SmartThings Hub缓冲区溢出漏洞、Samsung SmartThings Hub video-core HTTP服务器缓冲区溢出漏洞(CNVD-2018-17077、CNVD-2018-17076、CNVD-2018-17075)、Samsung SmartThings Hub栈缓冲区溢出漏洞、Samsung SmartThings Hub video-core HTTP服务器注入漏洞、Samsung SmartThings Hub HTTP响应拆分漏洞、Samsung SmartThings Hub video-core HTTP服务器覆盖漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.smartthings.com/products/smartthings-hub
4、IBM产品安全漏洞
IBM API Connect(又名APIConnect)是一套用于管理API生命周期的集成解决方案。IBM WebSphere Application Server(WAS)是一款应用服务器产品,它是Java EE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。IBM InfoSphere Information Server是信息集成平台。IBM Security Identity Manager(ISIM)是一套身份管理和治理解决方案。IBM SpectrumScale是一套基于IBM GPFS(专为PB级存储管理而优化的企业文件管理系统)的可扩展的数据及文件管理解决方案。GSKit是其中的一套IBM产品的安全管理工具。IBM NetezzaPlatform Software是一套基于InfoSphereSmart Analytics技术并可应对实时决策、欺诈检测等需求的集成数据系统。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞诱使服务器执行恶意的调用,获取敏感信息,提升权限,执行任务代码。
收录的相关漏洞包括:IBM API Connect服务器端请求伪造漏洞、IBM WebSphere Application Server信息泄露漏洞(CNVD-2018-16971)、IBM WebSphere Application Server Liberty信息泄露漏洞(CNVD-2018-17070)、IBM Maximo Asset Management SQL注入漏洞(CNVD-2018-17089)、IBM InfoSphere Information Server信息泄露漏洞(CNVD-2018-17156)、IBM Security Identity Manager Virtual Appliance代码执行漏洞、IBM Spectrum Scale GSKit提权漏洞、IBM Netezza Platform Software本地权限提升漏洞。其中,“IBM API Connect服务器端请求伪造漏洞、IBM Netezza Platform Software本地权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www-01.ibm.com/support/docview.wss?uid=ibm10716169
http://www-01.ibm.com/support/docview.wss?uid=swg22016887
https://www-01.ibm.com/support/docview.wss?uid=ibm10728689
https://www-01.ibm.com/support/docview.wss?uid=ibm10725805
http://www.ibm.com/support/docview.wss?uid=swg22015222
http://www-01.ibm.com/support/docview.wss?uid=swg22013617
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1012049
http://www-01.ibm.com/support/docview.wss?uid=swg22015701
5、ASUS DSL-N12E_C1远程命令执行漏洞
ASUS DSL-N12E_C1是华硕(ASUS)公司的一款无线路由器产品。本周,ASUS DSL-N12E_C1被披露存在远程命令执行漏洞。远程攻击者可借助服务参数利用该漏洞执行任意操作系统命令。目前,厂商尚未发布漏洞修补程序。提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.asus.com/Networking/DSLN12E_C1/HelpDesk_BIOS/
三、本周重要漏洞攻击验证情况
QNAP Q'center VirtualAppliance命令注入漏洞
验证描述
QNAP Q'center Virtual Appliance是中国威联通(QNAP Systems)公司的一款用于在Microsoft Hyper-V、VMware ESXi和Workstation等虚拟环境中部署Q'center(QNAP NAS管理平台)的虚拟设备。
QNAP Q'center Virtual Appliance 1.7.1063及之前版本中的SSH存在命令注入漏洞。攻击者可利用该漏洞执行任意命令。
验证信息
POC链接:
https://www.exploit-db.com/exploits/45015/
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
四、本周安全资讯
1. ECShop全系列版本远程代码执行高危漏洞
ECShop全系列版本存在远程代码执行漏洞。该漏洞产生的根本原因在于ECShop系统的user.php文件中,display函数的模板变量可控,导致注入,配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作,直接可以获得服务器的权限。
2. 医疗网关和设备受老旧的“厄运Cookie”漏洞威胁
近日,热门医疗网关设备 Qualcomm Life Capsule Datacaptor Terminal Server(DTS)常被医院用来将医疗设备连接到更大的数字网络基础设施,该网关常用于连接显示器、呼吸机、麻醉输送系统和输液泵等。据披露,DTS 与其他许多物联网设备一样,具有用于配置的Web管理接口,该接口使用了名为“RomPager”的软件组件,而 DTS 使用的 RomPager 版本易受到“厄运 Cookie”(CVE-2014-9222)影响,可被攻击者利用执行未经授权的代码,获得设备的管理员权限。
附:第59期漏洞态势
部分数据来源CNVD
閱讀更多 軒轅攻防實驗室 的文章
