【月报】绿盟科技网络安全威胁3月一览

一、2018年3月数据统计

高危漏洞发展趋势

2018年3月绿盟科技安全漏洞库共收录153个漏洞, 其中高危漏洞27个，微软高危漏洞14个，3月监测到CVE公布漏洞中高危数量仅为8个。

互联网安全漏洞

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

时间：2018-03-02

摘要：报告指出从本周一至周五（2月26日至3月2日 06:00）短短5天内，全球就发生了79起利用Memcached协议的DDoS反射放大攻击。日攻击总流量最高达到419TBytes。

链接：http://toutiao.secjia.com/memcached-drdos-report

只感染了100台电脑的恶意软件“弹弓” 卡巴发了25页的报告

时间：2018-03-13

摘要：卡巴发布了一份报告，称发现了潜伏6年的路由器 恶意软件 Slingshot弹弓，虽然在全球只感染了100多台计算机，但其功能异常复杂， 其背后的开发人员已经花费了大量的时间和金钱。

链接：http://toutiao.secjia.com/router-malware-slingshot

AMD安全处理器爆出4种类型13个0Day漏洞

时间：2018-03-14

摘要：intel cpu漏洞 刚过去，AMD CPU 0Day漏洞 又来了。研究人员周二表示，他们发现了各种AMD芯片中的4种类型13个关键安全漏洞，据称将这些漏洞可以让攻击者窃取安装AMD CPU的设备上的敏感数据，并可以安装恶意软件，包括服务器、工作站和笔记本电脑。这四种漏洞类型包括Chimera漏洞、Ryzenfall漏洞、Fallout漏洞、Masterkey漏洞。

链接：http://toutiao.secjia.com/amd-ryzen-epyc-chips-flaws

4G LTE移动网络协议爆出新漏洞 研究漏洞的LTEInspector工具已公开

时间：2018-03-06

摘要：渡大学和爱荷华大学的学者，已经在全球推动的4G LTE移动网络的核心协议中发现了新漏洞。攻击者利用这些漏洞，可以伪造身份给你发短信，并拦截你的短信内容包括 手机短信验证码 。研究员表示目前这些漏洞没有补丁，没有看到修复计划

链接：http://toutiao.secjia.com/4g-lte-flaw

PostgreSQL数据库管理系统爆出远程代码执行漏洞CVE-2018-1058 可DoS

时间：2018-03-06

摘要：近日，PostgreSQL爆出 远程代码执行漏洞 ，CVE编号CVE-2018-1058，攻击者利用这个漏洞改为其他用户查询行为，可以利用这个漏洞在数据库超级用户的权限下执行代码，postgresql 版本9.3到 postgresql10受影响

链接：http://toutiao.secjia.com/cve-2018-1058

cURL/libcURL DoS漏洞CVE-2018-1000121

时间：2018-03-16

摘要：cURL/libcURL爆出 DoS漏洞 ，CVE编号CVE-2018-1000121，攻击者可能利用此问题导致拒绝服务状态。当获取 LDAP URL 时, cURL可能取消引用一个接近 NULL 的地址。

链接：http://toutiao.secjia.com/cve-2018-1000121

Linux邮件传输代理Exim缓冲区溢出漏洞 (CVE-2018-6789)

时间：2018-03-07

摘要：Linux的邮件传输代理Exim被曝出存在一个漏洞（CVE-2018-6789）。该漏洞源于base64解码函数中的一个缓冲区溢出问题。常规下base64编码后的字符串的长度为4的倍数，但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数，致使长度计算错误。

链接：http://blog.nsfocus.net/cve-2018-6789/

(来源：绿盟科技威胁情报与网络安全实验室)

绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组 根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

1. 2018-03-16 Microsoft Office内存破坏漏洞（CVE-2018-0922）

NSFOCUS ID: 39117

链接:http://www.nsfocus.net/vulndb/39117

综述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Office由于处理内存对象失败，在实现上存在远程代码执行漏洞，成功利用后可导致在当前用户上下文中执行任意代码。

危害:``远程攻击者可以通过诱使受害者打开恶意Office文档来利用此漏洞，从而控制受害者系统

2. 2018-03-02 Exim 'base64d()'函数缓冲区溢出漏洞（CVE-2018-6789）

NSFOCUS ID: 39006

链接:http://www.nsfocus.net/vulndb/39006

综述:Exim是一个邮件传输代理服务器软件，该软件基于GPL协议开发，是一款开源软件。该软件主要运行于类UNIX系统。Exim 4.90.1之前版本，base64解码函数存在缓冲区溢出漏洞。常规下base64编码的字符串的长度为4的倍数，但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数，致使长度计算错误。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

3. 2018-03-09 Cisco Prime Collaboration Provisioning硬编码凭证本地安全限制绕过漏洞

NSFOCUS ID: 39039

链接:http://www.nsfocus.net/vulndb/39039

综述:Cisco Prime Collaboration是综合性视频及声音服务保障及管理系统。Cisco Prime Collaboration Provisioning (PCP)Software由于存在硬编码帐户密码。

危害:未经身份验证的本地攻击者可以登录到下层Linux操作系统

4. 2018-03-01 施耐德派尔高Sarix Pro网络摄像头export.cgi命令执行漏洞（CVE-2018-7233）

NSFOCUS ID: 38989

链接:http://www.nsfocus.net/vulndb/38989

综述:Pelco Sarix Professional系列是施耐德电气旗下派尔高Sarix Pro网络摄像头产品。Pelco Sarix Pro网络摄像头的/cgi-bin/export.cgi程序在执行系统命令时没有对数据进行安全检查。

危害:攻击者可以利用shell元字符以root身份来执行任意系统命令，从而完全控制摄像头

5. 2018-03-21 Joomla! Core SQL注入漏洞(CVE-2018-8045)

NSFOCUS ID: 39158

链接:http://www.nsfocus.net/vulndb/39158

综述:Joomla是内容管理系统。Joomla! 3.5.0－3.8.5版本对SQL语句内的变量缺少类型转换，导致User Notes列表视图内SQL注入漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问

6. 2018-03-19 Adobe Connect OS命令注入漏洞（CVE-2018-4923）

NSFOCUS ID: 39136

链接:http://www.nsfocus.net/vulndb/39136

综述:Adobe Connect是网络会议软件。Connect 9.7及之前版本在实现上存在OS命令注入漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问

7. 2018-03-02 Apache Thrift远程命令注入漏洞（CVE-2016-5397）

NSFOCUS ID: 39004

链接:http://www.nsfocus.net/vulndb/39004

综述:Apache Thrift 是Facebook 实现的一种高效的、支持多种编程语言的远程服务调用的框架。Apache Thrift 0.9.3及之前版本在实现上存在远程命令注入漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

8. 2018-03-22 Trend Micro Email Encryption Gateway 命令注入漏洞（CVE-2018-6222）

NSFOCUS ID: 39172

链接:http://www.nsfocus.net/vulndb/39172

综述:Trend Micro Encryption for Email是电子邮件加密解决方案。Trend Micro Email Encryption Gateway 5.5在日志位置管理上存在安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

9. 2018-03-08 ISC DHCP远程缓冲区溢出漏洞（CVE-2018-5732）

NSFOCUS ID: 39036

链接:http://www.nsfocus.net/vulndb/39036

综述:ISC DHCP是开源的DHCP软件系统。ISC DHCP在实现上存在远程缓冲区溢出漏洞，攻击者利用此漏洞可造成拒绝服务。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，导致拒绝服务

10. 2018-03-08 Qemu 任意代码执行漏洞（CVE-2018-7550）

NSFOCUS ID: 39031

链接:http://www.nsfocus.net/vulndb/39031

综述:QEMU是一款开源模拟器软件。Quick Emulator在hw/i386/multiboot.c的load_multiboot函数中存在安全漏洞。

危害:本地用户可以通过大于mh_bss_end_addr的mh_load_end_addr值，利用此漏洞执行任意代码。

DDoS攻击类型

小提示

•  Chargen Flood：Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。但这个协议并没有严格的访问控制和流量控制机制。流量放大程度在不同的操作系统上有所不同。有记录称，这种攻击类型最大放大倍数是358.8倍。

•  NTP Flood：又称NTP Reply Flood Attack，是一种利用网络中时间服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDoS行为的攻击类型。有记录称，这种攻击类型最大放大倍数是556.9倍。

•  SSDP Flood：智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议， 而UPnP设备的相互发现及感知是通过SSDP协议（简单服务发现协议）进行的。

攻击者伪造了发现请求，伪装被害者IP地址向互联网上大量的智能设备发起SSDP请求，结果被害者就收到了大量智能设备返回的数据，被攻击了。有记录称，这种攻击类型最大放大倍数是30.8倍。

更多相关信息，请关注绿盟科技DDoS威胁报告。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP