第60期(2018.08.27-2018.09.02)
一、本週漏洞基本態勢
本週軒轅攻防實驗室共收集、整理信息安全漏洞879個,其中高危漏洞472個、中危漏洞402個,低危漏洞6個。較上週相比較減少了3個,數量和上週相比持平。據統計發現SQL注入漏洞是本週佔比最大的漏洞,也是據統計以來,除第7期和第40期以外,每週漏洞數量都佔比最大的漏洞。
圖1 軒轅攻防實驗室收錄漏洞近7周漏洞數量分佈圖
根據監測結果,本週軒轅攻防實驗室共整理漏洞879個,其中其他行業339個、電信與互聯網行業150個、市政行業108個、政府部門行業98個、教育行業77個、商業平臺行業58個、醫療衛生行業35個、公共服務行業12個、金融行業7個,分佈統計圖如下所示:
圖2 行業類型數量統計
本週漏洞類型分佈統計
本週監測共有漏洞879個,其中,漏洞數量位居首位的是SQL注入漏洞,佔比高達34%,漏洞數量位居第二的是弱口令漏洞,佔比27%,漏洞數量位居第三為命令執行漏洞,佔比15%,這三種漏洞數量就佔總數76%,與上週相比較, SQL注入漏洞數量佔比減少3%,弱口令漏洞數量佔比增加11%,命令執行漏洞數量佔比減少1%;其他幾種漏洞僅佔總數的24%,這其中,敏感信息洩露漏洞佔比6%,未授權訪問/權限繞過漏洞佔比4%,XSS跨站腳本攻擊漏洞佔比2%、任意文件讀寫漏洞佔比2%、設計缺陷/邏輯漏洞漏洞1%,CSRF跨站請求偽造漏洞佔比1%,其他漏洞佔比為8%。
經統計,SQL注入漏洞在教育、市政行業存在較為明顯,命令執行漏洞在教育、電信與互聯網行業存在較為明顯,弱口令漏洞在商業平臺、市政行業存在較為明顯。同時SQL注入漏洞也是本週漏洞類型統計中佔比最多的漏洞,安全人員應加強對SQL注入漏洞的防範。漏洞類型分佈統計圖如下:
圖3 漏洞類型分佈統計
本週通用型漏洞按影響對象類型統計
應用程序漏洞195個,網絡設備漏洞58個,WEB應用漏洞50個,操作系統漏洞45個,安全產品漏洞7個,數據庫漏洞1個。
圖4 漏洞影響對象類型統計圖
二、本週通用型產品公告
1、Google產品安全漏洞
Google Chrome是一款Web瀏覽器。Android是一套以Linux為基礎的開源操作系統。本週,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,權限提升,執行任意代碼。
收錄的相關漏洞包括:Google Android Kernel組件權限提升漏洞(CNVD-2018-16973、CNVD-2018-16972)、Google Android System權限提升漏洞(CNVD-2018-16976)、Google Android Media framework權限提升漏洞(CNVD-2018-16981)、Google Android Framework信息洩露漏洞(CNVD-2018-16983)、Google Chrome堆緩衝區溢出漏洞(CNVD-2018-17041、CNVD-2018-17043、CNVD-2018-17049)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://source.android.com/security/bulletin/2018-07-01
https://source.android.com/security/bulletin/2018-07-01
https://chromereleases.googleblog.com/search/label/Stable%20updates
https://chromereleases.googleblog.com/search/label/Stable%20updates
2、Microsoft產品安全漏洞
Microsoft Windows 10是一套個人電腦使用的操作系統。Windows Server 2008 SP2是一套服務器操作系統。Windows Server Version 1709是一套服務器操作系統。Windows PDF Library是其中的一個PDF庫。MicrosoftExcel是一款電子表格處理軟件。InternetExplorer是一款網頁瀏覽器。本週,上述產品被披露存在遠程代碼執行漏洞,攻擊者可利用漏洞執行任意代碼。
收錄的相關漏洞包括:Microsoft Windows LNK遠程代碼執行漏洞(CNVD-2018-16833、CNVD-2018-16832)、Microsoft Windows Graphics Component遠程執行代碼漏洞、Microsoft Excel遠程代碼執行漏洞(CNVD-2018-16841)、Microsoft Internet Explorer遠程代碼執行漏洞(CNVD-2018-16846)、Microsoft Windows Shell遠程代碼執行漏洞(CNVD-2018-17078)、Microsoft Windows PDF遠程代碼執行漏洞(CNVD-2018-17083)、Microsoft Excel遠程代碼執行漏洞(CNVD-2018-17092)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8346
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8345
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8375
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8316
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8414
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8379
3、Samsung產品安全漏洞
Samsung SmartThings Hub是一款智能家居管理設備。本週,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。
收錄的相關漏洞包括:Samsung SmartThings Hub緩衝區溢出漏洞、Samsung SmartThings Hub video-core HTTP服務器緩衝區溢出漏洞(CNVD-2018-17077、CNVD-2018-17076、CNVD-2018-17075)、Samsung SmartThings Hub棧緩衝區溢出漏洞、Samsung SmartThings Hub video-core HTTP服務器注入漏洞、Samsung SmartThings Hub HTTP響應拆分漏洞、Samsung SmartThings Hub video-core HTTP服務器覆蓋漏洞。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.smartthings.com/products/smartthings-hub
4、IBM產品安全漏洞
IBM API Connect(又名APIConnect)是一套用於管理API生命週期的集成解決方案。IBM WebSphere Application Server(WAS)是一款應用服務器產品,它是Java EE和Web服務應用程序的平臺,也是IBM WebSphere軟件平臺的基礎。IBM Maximo Asset Management是一套綜合性資產生命週期和維護管理解決方案。IBM InfoSphere Information Server是信息集成平臺。IBM Security Identity Manager(ISIM)是一套身份管理和治理解決方案。IBM SpectrumScale是一套基於IBM GPFS(專為PB級存儲管理而優化的企業文件管理系統)的可擴展的數據及文件管理解決方案。GSKit是其中的一套IBM產品的安全管理工具。IBM NetezzaPlatform Software是一套基於InfoSphereSmart Analytics技術並可應對實時決策、欺詐檢測等需求的集成數據系統。本週,該產品被披露存在多個漏洞,攻擊者可利用漏洞誘使服務器執行惡意的調用,獲取敏感信息,提升權限,執行任務代碼。
收錄的相關漏洞包括:IBM API Connect服務器端請求偽造漏洞、IBM WebSphere Application Server信息洩露漏洞(CNVD-2018-16971)、IBM WebSphere Application Server Liberty信息洩露漏洞(CNVD-2018-17070)、IBM Maximo Asset Management SQL注入漏洞(CNVD-2018-17089)、IBM InfoSphere Information Server信息洩露漏洞(CNVD-2018-17156)、IBM Security Identity Manager Virtual Appliance代碼執行漏洞、IBM Spectrum Scale GSKit提權漏洞、IBM Netezza Platform Software本地權限提升漏洞。其中,“IBM API Connect服務器端請求偽造漏洞、IBM Netezza Platform Software本地權限提升漏洞”的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www-01.ibm.com/support/docview.wss?uid=ibm10716169
http://www-01.ibm.com/support/docview.wss?uid=swg22016887
https://www-01.ibm.com/support/docview.wss?uid=ibm10728689
https://www-01.ibm.com/support/docview.wss?uid=ibm10725805
http://www.ibm.com/support/docview.wss?uid=swg22015222
http://www-01.ibm.com/support/docview.wss?uid=swg22013617
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1012049
http://www-01.ibm.com/support/docview.wss?uid=swg22015701
5、ASUS DSL-N12E_C1遠程命令執行漏洞
ASUS DSL-N12E_C1是華碩(ASUS)公司的一款無線路由器產品。本週,ASUS DSL-N12E_C1被披露存在遠程命令執行漏洞。遠程攻擊者可藉助服務參數利用該漏洞執行任意操作系統命令。目前,廠商尚未發佈漏洞修補程序。提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.asus.com/Networking/DSLN12E_C1/HelpDesk_BIOS/
三、本週重要漏洞攻擊驗證情況
QNAP Q'center VirtualAppliance命令注入漏洞
驗證描述
QNAP Q'center Virtual Appliance是中國威聯通(QNAP Systems)公司的一款用於在Microsoft Hyper-V、VMware ESXi和Workstation等虛擬環境中部署Q'center(QNAP NAS管理平臺)的虛擬設備。
QNAP Q'center Virtual Appliance 1.7.1063及之前版本中的SSH存在命令注入漏洞。攻擊者可利用該漏洞執行任意命令。
驗證信息
POC鏈接:
https://www.exploit-db.com/exploits/45015/
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防範工作,儘快下載相關補丁。
四、本週安全資訊
1. ECShop全系列版本遠程代碼執行高危漏洞
ECShop全系列版本存在遠程代碼執行漏洞。該漏洞產生的根本原因在於ECShop系統的user.php文件中,display函數的模板變量可控,導致注入,配合注入可達到遠程代碼執行的效果。使得攻擊者無需登錄等操作,直接可以獲得服務器的權限。
2. 醫療網關和設備受老舊的“厄運Cookie”漏洞威脅
近日,熱門醫療網關設備 Qualcomm Life Capsule Datacaptor Terminal Server(DTS)常被醫院用來將醫療設備連接到更大的數字網絡基礎設施,該網關常用於連接顯示器、呼吸機、麻醉輸送系統和輸液泵等。據披露,DTS 與其他許多物聯網設備一樣,具有用於配置的Web管理接口,該接口使用了名為“RomPager”的軟件組件,而 DTS 使用的 RomPager 版本易受到“厄運 Cookie”(CVE-2014-9222)影響,可被攻擊者利用執行未經授權的代碼,獲得設備的管理員權限。
附:第59期漏洞態勢
部分數據來源CNVD
閱讀更多 軒轅攻防實驗室 的文章
