截止到2018年4月20日，绿盟科技漏洞库已收录总条目达到39430条。本周新增漏洞记录80条，其中高危漏洞数量42条，中危漏洞数量37条，低危漏洞数量1条。本期周报焦点漏洞：Oracle WebLogic Server反序列化远程代码执行漏洞（CVE-2018-2628），通过该漏洞，攻击者可以在未授权的情况下远程执行代码。请用户及时排查是否受到影响，如受到影响需及时下载更新补丁，升级修复，做好防护。

焦点漏洞

• 焦点漏洞
  • Oracle WebLogic Server反序列化远程代码执行漏洞
  • NSFOCUS ID
    • 39403
  • CVE ID
    • CVE-2018-2628
  • 受影响版本
    • Oracle WebLogic Server 12.2.1.3
    • Oracle WebLogic Server 12.2.1.2
    • Oracle WebLogic Server 12.1.3.0
    • Oracle WebLogic Server 10.3.6.0
  • 漏洞点评
    • WebLogic是一个基于JAVAEE架构的中间件，用于开发、集成、管理大型分布式Web应用的Java应用服务器。根据Oracle官方消息，WebLogic Server在实现上存在一个反序列化漏洞，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。Oracle已经为此发布了一个安全公告（cpuapr2018-3678067）以及相应补丁，请用户及时排查是否受到影响，如受到影响需及时下载更新补丁，升级修复，做好防护。

官方公告地址：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

绿盟科技处置建议：http://blog.nsfocus.net/cve-2018-2628-solution/

绿盟科技技术分析与防护方案：Weblogic 反序列化远程代码执行漏洞CVE-2018-2628

（数据来源：绿盟科技安全研究部&产品规则组）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增多。

1.2 威胁事件信息回顾

• 标题：WebLogic高危反序列化漏洞CVE-2018-2628 可远程执行代码 检测工具及防护手册
  • 时间：2018-04-18
  • 摘要：近日，WebLogic爆出 反序列化漏洞 ，CVE编号CVE-2018-2628，攻击者可以在未授权的情况下远程执行代码。根据NTI 绿盟威胁情报中心NTI 统计结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。绿盟科技发布预警通告，相关信息如下
  • 链接：http://blog.nsfocus.net/cve-2018-2628-solution/
• 标题：Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices
  • 时间：2018-04-16
  • 摘要：Since 2015, the U.S. Government received information from multiple sources—including private and public sector cybersecurity research organizations and allies—that cyber actors are exploiting large numbers of enterprise-class and SOHO/residential routers and switches worldwide. The U.S. Government assesses that cyber actors supported by the Russian government carried out this worldwide campaign. These operations enable espionage and intellectual property theft that supports the Russian Federation’s national security and economic goals.
  • 链接：https://www.us-cert.gov/ncas/alerts/TA18-106A
• 标题：US, UK Detail Networking Protocols Abused by Russian Cyberspies
  • 时间：2018-04-17
  • 摘要：A joint technical alert issued on Monday by the United States and the United Kingdom details how cyberspies believed to be working for the Russian government have abused various networking protocols to breach organizations.
  • 链接：https://www.securityweek.com/us-uk-detail-networking-protocols-abused-russian-cyberspies
• 标题：Drupal 8 Updated to Patch Flaw in WYSIWYG Editor
  • 时间：2018-04-19
  • 摘要：Updates released on Wednesday for Drupal 8 patch a moderately critical cross-site scripting (XSS) vulnerability affecting a third-party JavaScript library.
  • 链接：https://www.securityweek.com/drupal-8-updated-patch-flaw-wysiwyg-editor

Drupal相关漏洞分析：

Drupal远程代码执行漏洞(CVE-2018-7600)分析

CVE-2018-7600 Drupal 7.x 版本代码执行

• 标题：安卓厂商隐藏的事实：安全补丁的更新部署并不真实完整
  • 时间：2018-04-13
  • 摘要：HITB AMS 2018 安全会议 4 月 12 日至 4 月 13 日在荷兰阿姆斯特丹举办。来自德国安全研究实验室的的研究员，在议题分享环节会公开一项让人惊讶的发现——他们逆向分析了数百款安卓手机，发现许多安卓手机厂商并不会向用户提供补丁程序，或者会推迟补丁的发布时间。部分厂商深知会在跳过安全补丁的事实之下，告诉用户“现在的固件已经是最新状态”
  • 链接：http://www.freebuf.com/news/168530.html
• 标题：Website security firm Sucuri hit by large scale volumetric DDoS attacks
  • 时间：2018-04-13
  • 摘要：The California based website security provider Sucuri has suffered a series of massive DDoS attacks (distributed denial-of-service) causing service outage in West Europe, South America and parts of Eastern United States.
  • 链接：https://www.hackread.com/website-security-firm-sucuri-hit-by-ddos-attacks/
• 标题：UPnProxy僵尸网络感染6万多台路由器 实施垃圾邮件、网络钓鱼、DDoS攻击等
  • 时间：2018-04-19
  • 摘要：专家发现一个大规模路由器组成的代理僵尸网络UPnProxy，UPnProxy僵尸网络中有65,000个通过通用即插即用UPnP协议公开到互联网上的路由器，其正在实施的攻击活动包括垃圾邮件和网络钓鱼、点击欺诈、账户接管和信用卡欺诈、DDoS攻击、恶意软件分发以及逃避查杀。
  • 链接：http://toutiao.secjia.com/upnproxy-botnet

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年4月20日，绿盟科技漏洞库已收录总条目达到39430条。本周新增漏洞记录80条，其中高危漏洞数量42条，中危漏洞数量37条，低危漏洞数量1条。

• OMRON CX-One PSW文件解析栈缓冲区溢出漏洞（CVE-2018-7530）
  • 危险等级:中
  • cve编号:CVE-2018-7530
• OMRON CX-One SBA文件解析栈缓冲区溢出漏洞（CVE-2018-7514）
  • 危险等级:中
  • cve编号:CVE-2018-7514
• OMRON CX-One CX-FLnet节点名堆缓冲区溢出漏洞（CVE-2018-8834）
  • 危险等级:中
  • cve编号:CVE-2018-8834
• CMS Made Simple metadata参数跨站脚本漏洞（CVE-2018-10033）
  • 危险等级:中
  • cve编号:CVE-2018-10033
• CMS Made Simple m1_version参数跨站脚本漏洞（CVE-2018-10032）
  • 危险等级:中
  • cve编号:CVE-2018-10032
• CMS Made Simple 跨站请求伪造漏洞（CVE-2018-10031）
  • 危险等级:高
  • cve编号:CVE-2018-10031
• CMS Made Simple 跨站请求伪造漏洞（CVE-2018-10030）
  • 危险等级:高
  • cve编号:CVE-2018-10030
• CMS Made Simple m1_name参数跨站脚本漏洞（CVE-2018-10029）
  • 危险等级:中
  • cve编号:CVE-2018-10029
• Cacti sanitize_uri函数跨站脚本漏洞（CVE-2018-10060）
  • 危险等级:中
  • cve编号:CVE-2018-10060
• CMS Made Simple路径遍历漏洞（CVE-2018-10083）
  • 危险等级:高
  • cve编号:CVE-2018-10083
• CMS Made Simple任意代码执行漏洞（CVE-2018-10086）
  • 危险等级:高
  • cve编号:CVE-2018-10086
• CMS Made Simple PHP对象注入漏洞（CVE-2018-10085）
  • 危险等级:高
  • cve编号:CVE-2018-10085
• CMS Made Simple 权限提升漏洞（CVE-2018-10084）
  • 危险等级:高
  • cve编号:CVE-2018-10084
• CMS Made Simple信息泄露漏洞（CVE-2018-10082）
  • 危险等级:中
  • cve编号:CVE-2018-10082
• Cacti 跨站脚本漏洞（CVE-2018-10061）
  • 危险等级:中
  • cve编号:CVE-2018-10061
• Windows Optimization Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9054）
  • 危险等级:高
  • cve编号:CVE-2018-9054
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9053）
  • 危险等级:高
  • cve编号:CVE-2018-9053
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9045）
  • 危险等级:高
  • cve编号:CVE-2018-9045
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9052）
  • 危险等级:高
  • cve编号:CVE-2018-9052
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9051）
  • 危险等级:高
  • cve编号:CVE-2018-9051
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9050）
  • 危险等级:高
  • cve编号:CVE-2018-9050
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9049）
  • 危险等级:高
  • cve编号:CVE-2018-9049
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9048）
  • 危险等级:高
  • cve编号:CVE-2018-9048
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9047）
  • 危险等级:高
  • cve编号:CVE-2018-9047
• Windows Master WoptiHWDetect.SYS拒绝服务漏洞（CVE-2018-9046）
  • 危险等级:高
  • cve编号:CVE-2018-9046
• ImageMagick LogOpenCLBuildFailure函数拒绝服务漏洞（CVE-2017-18250）
  • 危险等级:中
  • cve编号:CVE-2017-18250
• Advanced SystemCare Ultimate Monitor_win10_x64.sys拒绝服务漏洞（CVE-2018-9044）
  • 危险等级:高
  • cve编号:CVE-2018-9044
• Advanced SystemCare Ultimate Monitor_win10_x64.sys拒绝服务漏洞（CVE-2018-9043）
  • 危险等级:高
  • cve编号:CVE-2018-9043
• Advanced SystemCare Ultimate Monitor_win10_x64.sys拒绝服务漏洞（CVE-2018-9042）
  • 危险等级:高
  • cve编号:CVE-2018-9042
• Advanced SystemCare Ultimate Monitor_win10_x64.sys拒绝服务漏洞（CVE-2018-9041）
  • 危险等级:高
  • cve编号:CVE-2018-9041
• Advanced SystemCare Ultimate Monitor_win10_x64.sys拒绝服务漏洞（CVE-2018-9040）
  • 危险等级:高
  • cve编号:CVE-2018-9040
• ImageMagick WriteGIFImage函数拒绝服务漏洞（CVE-2017-18254）
  • 危险等级:中
  • cve编号:CVE-2017-18254
• ImageMagick LoadOpenCLDevices函数拒绝服务漏洞（CVE-2017-18253）
  • 危险等级:中
  • cve编号:CVE-2017-18253
• ImageMagick MogrifyImageList函数拒绝服务漏洞（CVE-2017-18252）
  • 危险等级:中
  • cve编号:CVE-2017-18252
• ImageMagick ReadPCDImage函数拒绝服务漏洞（CVE-2017-18251）
  • 危险等级:中
  • cve编号:CVE-2017-18251
• Adobe Flash Player越界读漏洞（CVE-2018-4933）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4933
• Adobe Flash Player越界读漏洞（CVE-2018-4934）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4934
• Adobe Flash Player释放后重利用漏洞（CVE-2018-4932）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4932
• Adobe Flash Player越界写漏洞（CVE-2018-4935）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4935
• Adobe Flash Player堆溢出漏洞（CVE-2018-4936）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4936
• Adobe Flash Player越界写漏洞（CVE-2018-4937）
  • 危险等级:高
  • BID:103708
  • cve编号:CVE-2018-4937
• Advanced SystemCare Ultimate Monitor_x86.sys拒绝服务漏洞（CVE-2018-9007）
  • 危险等级:高
  • cve编号:CVE-2018-9007
• Advanced SystemCare Ultimate Monitor_win7_x64.sys拒绝服务漏洞（CVE-2018-9006）
  • 危险等级:高
  • cve编号:CVE-2018-9006
• Advanced SystemCare Ultimate Monitor_win7_x64.sys拒绝服务漏洞（CVE-2018-9005）
  • 危险等级:高
  • cve编号:CVE-2018-9005
• Advanced SystemCare Ultimate Monitor_x86.sys拒绝服务漏洞（CVE-2018-9003）
  • 危险等级:高
  • cve编号:CVE-2018-9003
• Advanced SystemCare Ultimate Monitor_win7_x64.sys拒绝服务漏洞（CVE-2018-9002）
  • 危险等级:高
  • cve编号:CVE-2018-9002
• Advanced SystemCare Ultimate Monitor_x86.sys拒绝服务漏洞（CVE-2018-9004）
  • 危险等级:高
  • cve编号:CVE-2018-9004
• OpenSSL旁道攻击信息泄露漏洞（CVE-2018-0737）
  • 危险等级:低
  • BID:103766
  • cve编号:CVE-2018-0737
• Trend Micro Maximum Security tmnciesc缓冲区溢出权限提升漏洞（CVE-2018-6232）
  • 危险等级:高
  • cve编号:CVE-2018-6232
• Trend Micro Maximum Security tmnciesc缓冲区溢出权限提升漏洞（CVE-2018-6233）
  • 危险等级:高
  • cve编号:CVE-2018-6233
• Trend Micro Maximum Security tmnciesc越界读信息泄露漏洞（CVE-2018-6234）
  • 危险等级:中
  • cve编号:CVE-2018-6234
• Trend Micro Maximum Security tmnciesc越界写权限提升漏洞（CVE-2018-6235）
  • 危险等级:高
  • cve编号:CVE-2018-6235
• Oracle WebLogic Server反序列化远程代码执行漏洞（CVE-2018-2628）
  • 危险等级:高
  • cve编号:CVE-2018-2628
• VMware vRealize Automation跨站脚本漏洞（CVE-2018-6958）
  • 危险等级:高
  • BID:103752
  • cve编号:CVE-2018-6958
• VMware vRealize Automation会话劫持漏洞（CVE-2018-6959）
  • 危险等级:高
  • BID:103752
  • cve编号:CVE-2018-6959
• Exiv2 BigTiffImage::readData断言失败漏洞（CVE-2018-9303）
  • 危险等级:中
  • cve编号:CVE-2018-9303
• Exiv2 BigTiffImage::printIFD单字节溢出漏洞（CVE-2018-9304）
  • 危险等级:中
  • cve编号:CVE-2018-9304
• Exiv2 IptcData::printStructure信息泄露漏洞（CVE-2018-9305）
  • 危险等级:高
  • cve编号:CVE-2018-9305
• Exiv2 IptcData::printStructure越界读漏洞（CVE-2018-9306）
  • 危险等级:高
  • cve编号:CVE-2018-9306
• Spring Data Commons远程代码执行漏洞（CVE-2018-1273）
  • 危险等级:中
  • cve编号:CVE-2018-1273
• Oracle Access Manager远程安全漏洞（CVE-2018-2879）
  • 危险等级:高
  • cve编号:CVE-2018-2879
• Wireshark LWAPP解析器拒绝服务漏洞（CVE-2018-9256）
  • 危险等级:中
  • cve编号:CVE-2018-9256
• Wireshark TCP 解析器拒绝服务漏洞（CVE-2018-9258）
  • 危险等级:中
  • cve编号:CVE-2018-9258
• Wireshark CQL 解析器拒绝服务漏洞（CVE-2018-9257）
  • 危险等级:中
  • cve编号:CVE-2018-9257
• Wireshark MP4 解析器拒绝服务漏洞（CVE-2018-9259）
  • 危险等级:中
  • cve编号:CVE-2018-9259
• Wireshark IEEE 解析器拒绝服务漏洞（CVE-2018-9260）
  • 危险等级:中
  • cve编号:CVE-2018-9260
• Wireshark VLAN 解析器拒绝服务漏洞（CVE-2018-9262）
  • 危险等级:中
  • cve编号:CVE-2018-9262
• Wireshark NBAP解析器拒绝服务漏洞（CVE-2018-9261）
  • 危险等级:中
  • cve编号:CVE-2018-9261
• Wireshark Kerberos解析器拒绝服务漏洞（CVE-2018-9263）
  • 危险等级:中
  • cve编号:CVE-2018-9263
• Wireshark epan/dissectors/packet-tn3270.c内存泄露漏洞（CVE-2018-9265）
  • 危险等级:中
  • cve编号:CVE-2018-9265
• Wireshark ADB解析器堆缓冲区溢出漏洞（CVE-2018-9264）
  • 危险等级:中
  • cve编号:CVE-2018-9264
• Wireshark epan/dissectors/packet-isup.c内存泄露漏洞（CVE-2018-9266）
  • 危险等级:中
  • cve编号:CVE-2018-9266
• Wireshark ui/failure_message.c内存泄露漏洞（CVE-2018-9274）
  • 危险等级:中
  • cve编号:CVE-2018-9274
• Wireshark epan/dissectors/packet-pcp.c内存泄露漏洞（CVE-2018-9273）
  • 危险等级:中
  • cve编号:CVE-2018-9273
• Wireshark epan/dissectors/packet-h223.c 内存泄露漏洞（CVE-2018-9272）
  • 危险等级:中
  • cve编号:CVE-2018-9272
• Wireshark epan/dissectors/packet-multipart.c内存泄露漏洞（CVE-2018-9271）
  • 危险等级:中
  • cve编号:CVE-2018-9271
• Wireshark epan/oids.c内存泄露漏洞（CVE-2018-9270）
  • 危险等级:中
  • cve编号:CVE-2018-9270
• Wireshark epan/dissectors/packet-giop.c内存泄露漏洞（CVE-2018-9269）
  • 危险等级:中
  • cve编号:CVE-2018-9269
• Wireshark epan/dissectors/packet-smb2.c内存泄露漏洞（CVE-2018-9268）
  • 危险等级:中
  • cve编号:CVE-2018-9268
• Wireshark epan/dissectors/packet-lapd.c内存泄露漏洞（CVE-2018-9267）
  • 危险等级:中
  • cve编号:CVE-2018-9267

（数据来源：绿盟科技安全研究部&产品规则组）