【月报】绿盟科技网络安全威胁4月一览

高危漏洞发展趋势

2018年4月绿盟科技安全漏洞库共收录268个漏洞，其中高危漏洞80个，微软高危漏洞43个，4月监测到CVE公布漏洞中高危数量为60个。

注：本期相对上期漏洞数量有所上升，主要原因是NVD(NATIONAL VULNERABILITY DATABASE)网站自身调整导致，并不代表相关态势呈现上升趋势

互联网安全漏洞

Weblogic 反序列化远程代码执行漏洞(CVE-2018-2628)

时间：2018-04-18

摘要：WebLogic爆出 反序列化漏洞 ，CVE编号CVE-2018-2628，攻击者可以在未授权的情况下远程执行代码。根据NTI 绿盟威胁情报中心NTI 统计结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。绿盟科技发布预警通告。

链接：http://toutiao.secjia.com/cve-2018-2628

UPnProxy僵尸网络感染6万多台路由器 实施垃圾邮件、网络钓鱼、DDoS攻击等

时间：2018-04-19

摘要：专家发现一个大规模路由器组成的代理 僵尸网络 UPnProxy，UPnProxy僵尸网络中有65,000个通过通用即插即用UPnP协议公开到互联网上的路由器，其正在实施的攻击活动包括 垃圾邮件 和 网络钓鱼 、点击欺诈、账户接管和信用卡欺诈、 DDoS攻击 、 恶意软件 分发以及逃避查杀。。

链接：http://toutiao.secjia.com/upnproxy-botnet

MySQL远程安全漏洞CVE-2018-2775 5.7.21之前所有版本受影响

时间：2018-04-18

摘要：Oracle MySQL 爆出远程安全漏洞，CVE编号CVE-2018-2775，SecurityFocus称Oracle MySQL服务器在“Server: Optimizer”组件中容易出现远程安全漏洞，该漏洞可以通过“MySQL”协议利用。MySQL 5.7.21之前所有版本受影响。。

链接：http://toutiao.secjia.com/cve-2018-2775

超大规模数据泄露15亿个文件12PB敏感数据 亚马逊云S3 Bucket又成“免费数据桶”

时间：2018-04-11

摘要：S3 bucket 亚马逊云又涉及大规模 数据泄露 事件。据外媒报道，近期三个月的时间内，有15亿多个敏感文件12PB敏感数据被公开在网上，其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等，暴露的原因优势而是由配置错误的云存储、文件交换协议和文件共享服务导致的。

链接：http://toutiao.secjia.com/s3-bucket-databreach

思科IOS/IOS XE远程代码执行漏洞cve-2018-0171 当心TCP端口4786

时间：2018-04-01

摘要：思科IOS 及 IOS XE软件再次爆出 远程代码执行漏洞 ，CVE编号cve-2018-0171，攻击者可以通过向TCP端口4786上的受影响设备发送精心设计的智能安装消息（Smart Install message）来利用此漏洞，使得设备缓冲区溢出，导致远程代码执行等后果。思科、绿盟科技及SecurityFocus发布预警通告

链接：http://toutiao.secjia.com/cve-2018-0171

微软恶意软件防护引擎远程代码执行漏洞CVE-2018-0986 大多数产品新版本受影响 可DoS

时间：2018-04-04

摘要：微软恶意软件防护引擎 爆出 远程代码执行漏洞 ，CVE编号CVE-2018-0986，成功地利用这个问题可能会在受影响系统的上下文中执行任意代码，失败的攻击还可以引发 DoS攻击 。漏洞影响windows 7、Windows 8.1、Windows 10、Windows RT、Windows Server 2016、Exchange Server 2013、Exchange Server 2016的系版本。

链接：http://toutiao.secjia.com/cve-2018-0986

TLS 1.3即将发布 几乎全新的加密给攻防双方都带来了不小的挑战

时间：2018-04-03

摘要：TLS 代表“ 传输层安全性 ”，它非常重要。TLS 1.3几乎采用了全新的加密协议，可以保证您的通信在从A点到B点的途中保持安全，拦截、侦听或破解变得非常困难，这给攻击者、执法人员及合规人员都带来了挑战。

链接：http://toutiao.secjia.com/tls-1-3

施耐德U.motion Builder多个漏洞

时间：2018-04-13

摘要：施耐德官方发布通告公布了数个U.motion Builder软件中的漏洞，包含SQL注入和远程代码执行等共计16个安全漏洞。。

链接：http://blog.nsfocus.net/u-motion-builder/

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

1. 2018-04-08 Microsoft Malware Protection Engine远程代码执行漏洞（CVE-2018-0986）

链接:http://www.nsfocus.net/vulndb/39270

综述:Microsoft Malware Protection Engine是恶意程序保护引擎。Microsoft Forefront及Defender上运行的Malware Protection Engine未正确扫描构造的文件，可导致远程代码执行。

危害:攻击者可以利用此漏洞来提升权限，对系统进行非授权的访问

2. 2018-04-18 Adobe Flash Player释放后重利用漏洞（CVE-2018-4932）

链接:http://www.nsfocus.net/vulndb/39388

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 29.0.0.113及之前版本在实现上存在释放后重利用安全漏洞。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞，从而控制受害者系统

3. 2018-04-13 Microsoft Windows Graphics组件字段解析权限提升漏洞（CVE-2018-1008）

链接:http://www.nsfocus.net/vulndb/39301

综述:Microsoft Windows是流行的计算机操作系统。Microsoft Windows Graphics组件在内存对象处理中存在权限提升漏洞。

危害:攻击者利用此漏洞可在内核模式中运行任意代码

4. 2018-04-18 Oracle WebLogic Server反序列化远程代码执行漏洞（CVE-2018-2628）

链接:http://www.nsfocus.net/vulndb/39403

综述:Oracle WebLogic Server 是主要的Java应用服务器软件之一。Oracle WebLogic Server在实现上存在反序列化漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问

5. 2018-04-11 Microsoft Chakra脚本引擎内存破坏漏洞（CVE-2018-0994）

链接:http://www.nsfocus.net/vulndb/39341

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft Edge在Chakra脚本引擎内存对象处理方式中存在远程代码执行漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

6. 2018-03-28 Apache Struts拒绝服务漏洞（CVE-2018-1327）

链接:http://www.nsfocus.net/vulndb/39201

综述:Struts2 是构建企业级Jave Web应用的可扩展框架。Apache Struts 2.5.16之前版本，REST插件使用了XStream库，导致易于受拒绝服务攻击。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，导致拒绝服务

7. 2018-03-28 Huawei多个智能手机产品安全限制绕过漏洞（CVE-2017-17326）

链接:http://www.nsfocus.net/vulndb/39203

综述:Mate 9是华为智能手机产品。Huawei Mate 9 Pro LON-AL00BC00B139D, LON-AL00BC00B229存在激活锁定绕过漏洞。

危害:攻击者可以绕过激活锁定，用新帐户启用设备

8. 2018-04-02 Cisco IOS XE Software多个命令注入漏洞（CVE-2018-0182）

NSFOCUS ID: 39237

链接:http://www.nsfocus.net/vulndb/39237

综述:Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XE Software的CLI解析器在实现上存在多个漏洞。

危害:经身份验证的本地攻击者可以注入任意命令到受影响软件的CLI，访问下层Linux

shell，以root权限执行命令

9. 2018-04-17 ImageMagick WriteGIFImage函数拒绝服务漏洞（CVE-2017-18254）

链接:http://www.nsfocus.net/vulndb/39382

综述:ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。ImageMagick 7.0.7版本，在coders/gif.c的WriteGIFImage函数中存在内存泄露漏洞。

危害:远程攻击者可以通过诱使受害者打开恶意gif文件来利用此漏洞，从而控制受害者系统

10. 2018-04-19 Wireshark TCP 解析器拒绝服务漏洞（CVE-2018-9258）

链接:http://www.nsfocus.net/vulndb/39413

综述:Wireshark是最流行的网络协议解析器。Wireshark 2.4.0－2.4.5 2.2.0－2.2.13版本，TCP解析器存在导致崩溃的安全漏洞，此漏洞位于epan/dissectors/packet-tcp.c中。

危害:远程攻击者可以通过诱使受害者打开恶意抓包文件来利用此漏洞，从而控制受害者系统。

DDoS攻击类型

小提示

• Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是358.8倍。

• NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是556.9倍。

• SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议， 而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

更多相关信息，请关注绿盟科技DDoS威胁报告。

点击“阅读原文”查看完整报告

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP