報告全文如下:
綠盟科技網絡安全威脅周報及月報系列,旨在簡單而快速有效的傳遞安全威脅态勢,呈現重點安全漏洞、安全事件、安全技術。擷取最新的威脅月報,請通路綠盟科技部落格 http://blog.nsfocus.net/
2016年10月綠盟科技安全漏洞庫共收錄283個漏洞, 其中高危漏洞216個。相比9月份的高危漏洞數量大幅上升。
openssl 告警處理不當遠端拒絕服務漏洞
來源:http://blog.nsfocus.net/openssl-alert-handling-improper-remote-denial-of-service-vulnerability/
簡述:openssl又出漏洞了 cve-2016-8610 openssl官方已經修複了更新檔,還請廣大使用者盡快更新,不要犯了之前的錯誤。 apt組織fruityarmor利用微軟剛修補的漏洞發起攻擊 黃金72小時的威力再次證明 攻防是在比誰更快 。
linux 核心本地提權漏洞技術分析與防護方案
來源:http://blog.nsfocus.net/analysis-protection-linux-vulnerability/
簡述:linux核心的記憶體子系統在處理寫時拷貝(copy-on-write,縮寫為cow)時存在條件競争漏洞,導緻可以破壞私有隻讀記憶體映射。一個低權限的本地使用者能夠利用此漏洞擷取其他隻讀記憶體映射的寫權限,進而可以擷取整個系統的最高權限。漏洞詳情如下
mirai 源碼分析報告
來源:http://blog.nsfocus.net/mirai-source-code-analysis-report/
簡述:物聯網僵屍網絡病毒“mirai”在上月參與發起了針對krebonsecurity安全站點的大規模分布式ddos攻擊,新一類僵屍網絡從各種容易被感染的物聯網裝置中發起,流量巨大防不勝防。“mirai”可以高效掃描物聯網系統裝置,感染采用出廠密碼設定或弱密碼加密的脆弱物聯網裝置,被病毒感染後,裝置成為僵屍網絡機器人後在黑客指令下發動高強度僵屍網絡攻擊。本文針對mirai源碼進行詳細分析。
tomcat 本地提權漏洞安全威脅
來源:http://blog.nsfocus.net/tomcat-local-rights-vulnerability-security-threats/
簡述:2016年9月30日,legalhackers.com網站釋出了一個關于tomcat漏洞的公告,所涉及漏洞的編号為cve-2016-1240。debian系統的linux上管理者通常利用apt-get進行包管理,debian包的一個初始化腳本中存在漏洞,會讓deb包安裝程式自動執行啟動腳本,腳本位置/etc/init.d/tomcatn
(來源:綠盟科技威脅情報與網絡安全實驗室)
nsfocus 2016年10月之十大安全漏洞
聲明:本十大安全漏洞由nsfocus(綠盟科技)安全小組 <[email protected]>根據安全漏洞的嚴重程度、利用難易程度、影響範圍等因素綜合評出,僅供參考。
http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten
nsfocus id: 35067
http://www.nsfocus.net/vulndb/35067
綜述:microsoft edge是内置于windows 10版本中的網頁浏覽器。edge處理記憶體對象時存在遠端代碼執行漏洞,成功利用後可使攻擊者擷取敏感資訊。
危害:遠端攻擊者可以通過誘使受害者打開惡意網頁來利用此漏洞,進而控制受害者系統。
nsfocus id: 35060
http://www.nsfocus.net/vulndb/35060
綜述:microsoft office是微軟公司開發的一套基于windows作業系統的辦公軟體套裝。office若未正确處理rtf檔案,在實作上存在office rtf遠端代碼執行漏洞。可使攻擊者在目前使用者上下文中執行任意代碼。
危害:攻擊者可以通過誘使受害者打開惡意rtf檔案來利用此漏洞,進而控制受害者系統。
nsfocus id: 35161
http://www.nsfocus.net/vulndb/35161
綜述:adobe reader是pdf文檔閱讀軟體。acrobat是pdf文檔編輯軟體。adobe reader/acrobat < 11.0.18存在釋放後重利用漏洞,遠端攻擊者利用此漏洞可執行任意代碼。
危害:攻擊者可以通過誘使受害者打開惡意pdf檔案來利用此漏洞,進而控制受害者系統。
nsfocus id: 35092
http://www.nsfocus.net/vulndb/35092
綜述:flash player是多媒體程式播放器。adobe flash player 23.0.0.162及更早版本在實作上存在記憶體破壞漏洞,遠端攻擊者利用此漏洞可導緻任意代碼執行。
危害:攻擊者可以通過誘使受害者打開惡意swf檔案來利用此漏洞,進而控制受害者系統。
nsfocus id: 35066
http://www.nsfocus.net/vulndb/35066
綜述:microsoft windows是流行的計算機作業系統。windows gdi元件處理記憶體對象中存在遠端代碼執行漏洞。成功利用後可導緻控制受影響系統。
危害:攻擊者可以通過誘使受害者打開惡意圖檔檔案來利用此漏洞,進而控制受害者系統。
nsfocus id: 34977
http://www.nsfocus.net/vulndb/34977
綜述:scalance m是工業路由器産品。siemens scalance m-800/s615子產品(4.02之前版本固件),內建web伺服器未設定https會話cookie的安全标志。
危害:遠端攻擊者通過截獲http會話,即可擷取此cookie。
nsfocus id: 34990
http://www.nsfocus.net/vulndb/34990
綜述:websphere是ibm的內建軟體平台。ibm websphere application server (was)多個版本存在安全漏洞。
危害:經驗證的遠端使用者通過構造的序列化對象,可執行任意java代碼。
nsfocus id: 35151
http://www.nsfocus.net/vulndb/35151
綜述:powerlogic pm8ecc是series 800 powermeter的通訊附件模式。powerlogic pm8ecc 2.651及更高版本存在寫死憑證漏洞。
危害:攻擊者利用此漏洞可通路裝置的配置資料。
nsfocus id: 34921
http://www.nsfocus.net/vulndb/34921
綜述:itunes是一款數字媒體播放應用程式。safari是蘋果計算機的最新作業系統mac os x
中的浏覽器,使用了kde的khtml作為浏覽器的運算核心。windows系統上,apple ios、tvos、 itunes、safari存在安全漏洞。
危害:遠端攻擊者通過構造的網站,利用此漏洞可執行任意代碼或造成拒絕服務(記憶體破壞)。
nsfocus id: 34922
http://www.nsfocus.net/vulndb/34922
綜述:openssl是一種開放源碼的ssl實作,用來實作網絡通信的高強度加密,現在被廣泛地用于各種網絡應用程式中。openssl 1.0.2i版本,crypto/x509/x509_vfy.c存在安全漏洞。
危害:遠端攻擊者觸發crl操作,可造成拒絕服務。
10月份綠盟科技科技威脅情報及網絡安全實驗室收集及梳理了超過18萬次攻擊,其中chargen flood、ntp flood、ssdp flood占據了絕大部分,這三類攻擊的一個共性就是攻擊的放大倍數比較高。
小提示
chargen flood:chargen 字元發生器協定(character generator protocol)是一種簡單網絡協定,設計的目的是用來調試tcp 或udp 協定程式、測量連接配接的帶寬或進行qos 的微調等。但這個協定并沒有嚴格的通路控制和流量控制機制。流量放大程度在不同的作業系統上有所不同。有記錄稱,這種攻擊類型最大放大倍數是358.8倍。
ntp flood:又稱ntp reply flood attack,是一種利用網絡中時間伺服器的脆弱性(無認證,不等價資料交換,udp協定),來進行ddos行為的攻擊類型。有記錄稱,這種攻擊類型最大放大倍數是556.9倍。
ssdp flood:智能裝置普遍采用upnp(即插即用)協定作為網絡通訊協定, 而upnp裝置的互相發現及感覺是通過ssdp協定(簡單服務發現協定)進行的。更多相關資訊,請關注綠盟科技ddos威脅報告。
攻擊者僞造了發現請求,僞裝被害者ip位址向網際網路上大量的智能裝置發起ssdp請求,結果被害者就收到了大量智能裝置傳回的資料,被攻擊了。有記錄稱,這種攻擊類型最大放大倍數是30.8倍。
由于需要營運複雜的實體資訊系統,能源部門對于資料采集與監控系統(scada)之類的數字工控系統(ics)越來越依賴。美國斯坦福國際研究中心(sri)釋出報告,介紹了dates(能源部門威脅檢測與分析)項目的部分研究成果,針對工業控制系統,我們修改、開發了幾種入侵檢測技術,并将整套檢測技術內建并連接配接至arcsight 的商業安全事件關聯架構。
http://blog.nsfocus.net/detection-association-presentation-critical-infrastructure-system-attacks/
近期國外多起ddos攻擊事件 涉及國内視訊監控系統生成廠商 ,這些事件讓 mirai物聯網惡意軟體浮出水面 。同時,歐洲委員會正在規劃新的物聯網法規, 國際雲安全聯盟csa釋出物聯網安全指南 。一時間物聯網安全已經不再是理論,而是需要切實解決的問題。為此,綠盟科技旗下三個部門聯合釋出2016網絡視訊監控系統安全報告。
http://blog.nsfocus.net/nsfocus-2016-network-video-surveillance-system-security-report/
(來源:綠盟科技部落格)
安全會議是從近期召開的若幹資訊安全會議中選出,僅供參考。
deepsec
時間:nov 8–9
簡介: bringing together the world’s most renowned security professionals from academics, government, industry, and the underground hacking community.
網址:https://deepsec.net/
issa international conference
時間:november 2-3, 2016
簡介: survival strategies in a cyber world
網址:https://www.issa.org/?issaconf_home
scsc cyber security conclave
時間:november 22-23, 2016
簡介: understanding the intensity and effects of growing cyber frauds, scsc – society for cyberabad security council has come up with the very first edition of the annual cyber security conclave in 2015. this event is exclusively designed to create a mutual platform for experts and the public to come together and share knowledge on one pestering issue – cyber-crime and how to keep yourself within the boundaries of cyber security.
網址:http://kenes-exhibitions.com/cybersecurity/
原文釋出時間:2017年3月24日
本文由:綠盟科技部落格釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/nsfocus-internet-security-threats-monthly-2016-11
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站