绿盟科技互联网安全威胁周报NSFOCUS-18-49

阅读： 13

绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-49， 绿盟科技漏洞库 本周新增44条，其中高危12条。本次周报建议大家关注Adobe Flash Player 释放后重利用安全漏洞等，Adobe Flash Player是一款跨平台、基于浏览器的多媒体播放器产品。攻击者可利用该漏洞执行任意代码。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的 页面 下载。

文章目录

焦点漏洞

• Adobe Flash Player 释放后重利用安全漏洞
• CVE ID
  • CVE-2018-15982
• NSFOCUS ID
  • 42101
• 受影响版本
  • Adobe Flash Player <＝ 31.0.0.153
  • Adobe Flash Player Installer <= 31.0.0.108
• 漏洞点评
  • Adobe Flash Player是一款跨平台、基于浏览器的多媒体播放器产品。Adobe Flash Player在实现中存在释放后重利用安全漏洞。攻击者可利用该漏洞执行任意代码。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的 页面 下载。

（数据来源：绿盟科技安全研究部&产品规则组）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

• 标题：“微信支付”勒索病毒
  • 时间：2018-12-06
  • 简介：近日，国内爆发“微信支付”勒索病毒，目前已有超过2万台PC受到感染。感染后，该病毒将对受害者文件进行加密，并弹出微信支付二维码，要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外，该病毒还会窃取受害者的部分应用账号密码，包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。该病毒采用“供应链污染”的方式进行传播，病毒作者以论坛形式发布植入病毒的“易语言”编程软件，并植入到开发者开发的软件中实现病毒传播。
  • 链接：http://blog.nsfocus.net/analysis-and-decryption-tool-of-wechat-paym/
• 标题：谷歌修复安卓系统中11个严重RCE漏洞
  • 时间：2018-12-04
  • 简介：12月，谷歌共修复53个安卓漏洞，其中11个为严重RCE漏洞。在11个严重漏洞中，有6个与安卓操作系统的媒体框架和系统组件有关。有四个RCE漏洞（CVE-2018-9549，CVE-2018-9550，CVE-2018-9551，CVE-2018-9552）影响到Android7.0到9.0版本中的开源项目操作系统版本。谷歌表示，目前这些漏洞还没有在野利用的报道，谷歌的Pixel和Nexus设备以及三星，LG，HTC等旗舰Android手机都可及时下载补丁并更新。
  • 链接：https://threatpost.com/google-patches-11-critical-rce-android-vulnerabilities/139612/
• 标题：朝鲜APT小组STOLEN PENCIL专门威胁生物工程学者
  • 时间：2018-12-05
  • 简介：与朝鲜相关的APT小组STOLEN PENCIL自今年5月以来一直瞄准学术机构。该活动的许多受害者位于多所大学，都是生物医学工程方面的专业人士。该组织主要利用网络钓鱼攻击学术机构，网络钓鱼邮件包括指向网站的链接，其中的诱饵文档试图欺骗用户安装恶意Google Chrome扩展程序。
  • 链接：https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/
• 标题：苹果发布iOS 12.1.1更新，修复了密码绕过漏洞等
  • 时间：2018-12-05
  • 简介：Apple发布了其核心产品的更新，涵盖iCloud、Safari、iTunes、macOS Mojave、High Sierra、Sierra、iOS 2.1.2快捷方式、tvOS 12.1.1以及iOS 12.1.1。本次发布的更新修复了大量安全问题，包括代码执行、权限提升和信息泄露漏洞。
  • 链接：https://www.bleepingcomputer.com/news/apple/apple-fixes-passcode-bypass-rce-vulnerabilities-and-more-in-todays-updates/
• 标题：Adobe Flash 0day攻击
  • 时间：2018-12-05
  • 简介：研究人员发现一个通过微软Office文档中的Adobe Flash零日漏洞的积极利用。该漏洞（CVE-2018-15982）允许恶意制作的Flash对象在受害者的计算机上执行代码 ，从而使攻击者能够获得对系统的命令行访问权限。 该文件是从乌克兰的IP地址提交给VirusTotal的，其中包含俄罗斯国家医疗诊所的所谓就业申请。
  • 链接：https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild/
• 标题：爱立信设备证书过期导致运营商断网，涉及11个国家
  • 时间：2018-12-08
  • 简介：近日，爱立信爆出因设备中的软件存在问题，导致全球手机大瘫痪，影响数百万的移动客户，包括英国的O2用户和日本的软银用户。爱立信表示初步分析查明，该问题归咎于受影响设备上的过期软件证书。
  • 链接：https://www.maketecheasier.com/ericsson-expired-certificate-smartphones-offline/
• 标题：Mozilla Firefox包含一个存在了11年的“验证对话框”
  • 时间：2018-12-08
  • 简介：恶意软件作者滥用一个Firefox当中的错误来捕获恶意网站上的用户信息已有11年。这一问题自2007年4月就被首次报道，而到现在都没有被修复。该漏洞的利用并不困难，只需要在源代码中嵌入一个恶意网站的iframe，就可以实现在另一个域上发出HTTP身份验证请求，这导致iframe在恶意站点上显示身份验证模式。
  • 链接：https://www.zdnet.com/article/malicious-sites-abuse-11-year-old-firefox-bug-that-mozilla-failed-to-fix/
• 标题：全球发现41.5万多台路由器受挖矿病毒感染
  • 时间：2018-12-09
  • 简介：研究者发现全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。针对该品牌的一系列加密攻击始于今年8月，当时安全专家发现已有20多万台设备被感染。
  • 链接：https://www.ethnews.com/researchers-claim-400-000-mikrotik-routers-infected-with-mining-malware
• 标题：SNDBOX上线：基于AI构建的免费恶意软件检测平台
  • 时间：2018-12-05
  • 简介：在Blackhat Europe大会上推出一款名为SNDBOX的新恶意软件分析服务，该服务利用人工智能和强化虚拟环境对恶意软件样本进行静态和动态分析。
  • 链接：https://www.bleepingcomputer.com/news/security/sndbox-an-ai-powered-malware-analysis-site-is-launched/

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年12月7日，绿盟科技漏洞库已收录总条目达到42108条。本周新增漏洞记录44条，其中高危漏洞数量12条，中危漏洞数量24条，低危漏洞数量8条。

• Symantec Endpoint Protection DLL加载权限提升漏洞（CVE-2018-12245）
  • 危险等级:中
  • BID:105919
  • cve编号:CVE-2018-12245
• Symantec 多个产品安全限制绕过漏洞（CVE-2018-12239）
  • 危险等级:中
  • BID:105918
  • cve编号:CVE-2018-12239
• Symantec 多个产品安全限制绕过漏洞（CVE-2018-12238）
  • 危险等级:中
  • BID:105917
  • cve编号:CVE-2018-12238
• Panasonic PC 权限提升安全漏洞（CVE-2018-16183）
  • 危险等级:高
  • cve编号:CVE-2018-16183
• INVT Electric VT-Designer 缓冲区溢出漏洞（CVE-2018-18983）
  • 危险等级:中
  • cve编号:CVE-2018-18983
• INVT Electric VT-Designer 数据反序列化漏洞（CVE-2018-18987）
  • 危险等级:中
  • cve编号:CVE-2018-18987
• IBM StoredIQ 跨站请求伪造漏洞（CVE-2018-1927）
  • 危险等级:中
  • cve编号:CVE-2018-1927
• IBM StoredIQ权限提升漏洞（CVE-2018-1928）
  • 危险等级:中
  • cve编号:CVE-2018-1928
• HPE Intelligent Management Center PLAT 缓冲区溢出漏洞（CVE-2018-7114）
  • 危险等级:高
  • cve编号:CVE-2018-7114
• HPE Intelligent Management Center PLAT 缓冲区溢出漏洞（CVE-2018-7115）
  • 危险等级:低
  • cve编号:CVE-2018-7115
• HPE Intelligent Management Center PLAT 拒绝服务漏洞（CVE-2018-7116）
  • 危险等级:低
  • cve编号:CVE-2018-7116
• PHP-Proxy 跨站脚本漏洞（CVE-2018-19785）
  • 危险等级:低
  • cve编号:CVE-2018-19785
• PHP-Proxy 信息泄露漏洞（CVE-2018-19784）
  • 危险等级:低
  • cve编号:CVE-2018-19784
• IBM QRadar SIEM 中间人攻击安全漏洞（CVE-2018-1622）
  • 危险等级:低
  • cve编号:CVE-2018-1622
• IBM QRadar SIEM XML外部实体注入安全漏洞（CVE-2018-1730）
  • 危险等级:中
  • cve编号:CVE-2018-1730
• Zoom Client 消息欺骗安全漏洞（CVE-2018-15715）
  • 危险等级:高
  • cve编号:CVE-2018-15715
• NUUO NVRMini2 命令注入漏洞（CVE-2018-15716）
  • 危险等级:高
  • cve编号:CVE-2018-15716
• IBM Campaign权限提升安全漏洞（CVE-2018-1941）
  • 危险等级:高
  • cve编号:CVE-2018-1941
• IBM QRadar SIEM 跨站脚本漏洞（CVE-2018-1728）
  • 危险等级:中
  • cve编号:CVE-2018-1728
• QEMU 整数溢出安全漏洞（CVE-2018-19665）
  • 危险等级:低
  • BID:106050
  • cve编号:CVE-2018-19665
• NEC Univerge Sv9100 WebPro 信息泄露安全漏洞（CVE-2018-11742）
  • 危险等级:高
  • cve编号:CVE-2018-11742
• NEC Univerge Sv9100 WebPro 信息泄露安全漏洞（CVE-2018-11741）
  • 危险等级:中
  • cve编号:CVE-2018-11741
• Drobo 5N2 NAS Dashboard API 访问控制漏洞（CVE-2018-14709）
  • 危险等级:中
  • cve编号:CVE-2018-14709
• Drobo 5N2 NAS 命令注入漏洞（CVE-2018-14706）
  • 危险等级:中
  • cve编号:CVE-2018-14706
• Drobo 5N2 NAS 路径遍历漏洞（CVE-2018-14707）
  • 危险等级:中
  • cve编号:CVE-2018-14707
• Brocade Fabric OS 权限提升安全漏洞（CVE-2018-6439）
  • 危险等级:中
  • cve编号:CVE-2018-6439
• Brocade Fabric OS proxy service信息泄露漏洞（CVE-2018-6440）
  • 危险等级:中
  • cve编号:CVE-2018-6440
• ACME mini_httpd 任意文件读取安全漏洞（CVE-2018-18778）
  • 危险等级:中
  • cve编号:CVE-2018-18778
• Apache Pluto 信息泄露安全漏洞（CVE-2018-1306）
  • 危险等级:中
  • cve编号:CVE-2018-1306
• ManageEngine OpManager SQL注入安全漏洞（CVE-2018-9089）
  • 危险等级:高
  • cve编号:CVE-2018-9089
• Linux kernel 信息泄露安全漏洞(CVE-2018-19854)
  • 危险等级:中
  • cve编号:CVE-2018-19854
• Omron CX-One 缓冲区溢出漏洞（CVE-2018-18993）
  • 危险等级:中
  • cve编号:CVE-2018-18993
• FreeBSD 任意代码执行漏洞(CVE-2018-17160)
  • 危险等级:高
  • cve编号:CVE-2018-17160
• Cisco Energy Management Suite默认PostgreSQL密码安全漏洞(CVE-2018-0468)
  • 危险等级:中
  • cve编号:CVE-2018-0468
• Omron CX-One 任意代码执行漏洞（CVE-2018-18989）
  • 危险等级:中
  • cve编号:CVE-2018-18989
• iniNet SpiderControl SCADA WebServer 跨站脚本漏洞（CVE-2018-18991）
  • 危险等级:中
  • cve编号:CVE-2018-18991
• Adobe Flash Player 释放后重利用安全漏洞(CVE-2018-15982)
  • 危险等级:高
  • cve编号:CVE-2018-15982
• Adobe Flash Player 权限提升安全漏洞(CVE-2018-15983)
  • 危险等级:高
  • cve编号:CVE-2018-15983
• OPC UA Java及.NET Stack 拒绝服务安全漏洞(CVE-2018-12585)
  • 危险等级:高
  • BID:105538
  • cve编号:CVE-2018-12585
• IBM Connections 信息泄露漏洞(CVE-2018-1935)
  • 危险等级:低
  • cve编号:CVE-2018-1935
• IBM InfoSphere Information Server 访问控制漏洞(CVE-2018-1899)
  • 危险等级:低
  • cve编号:CVE-2018-1899
• IBM InfoSphere Information Server 跨站脚本漏洞(CVE-2018-1895)
  • 危险等级:中
  • cve编号:CVE-2018-1895
• Siemens 多个产品XML外部实体注入漏洞(CVE-2017-12069)
  • 危险等级:高
  • BID:100559
  • cve编号:CVE-2017-12069
• IBM i2 Enterprise Insight Analysis 信息泄露安全漏洞(CVE-2018-1525)
  • 危险等级:中
  • cve编号:CVE-2018-1525

（数据来源：绿盟科技安全研究部&产品规则组）