绿盟科技互联网安全威胁周报NSFOCUS-18-34 Secer's Blog - 记录互联网安全历程与个人成长经历

绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-34，绿盟科技漏洞库本周新增31条，其中高危1条。本次周报建议大家关注Apache Struts2 远程代码执行漏洞等，当在struts2开发框架中启用泛namespace功能，并且使用特定的result时，会触发远程代码执行漏洞，成功利用该漏洞的攻击者，可以在目标系统中执行恶意代码。目前厂商已经发布了升级补丁以修复这个安全问题，请用户及时到厂商的主页下载。

文章目录

焦点漏洞

Apache Struts2 远程代码执行漏洞
CVE ID
- CVE-2018-11776
受影响版本
- Struts 2.3 – 2.3.34
- Struts 2.5 – 2.5.16
漏洞点评
- Struts2是美国阿帕奇（Apache）软件基金会下属的一个基于MVC设计的Web应用框架。2018年8月22日，Apache官方发布S2-057安全公告，当在struts2开发框架中启用泛namespace功能，并且使用特定的result时，会触发远程代码执行漏洞，成功利用该漏洞的攻击者，可以在目标系统中执行恶意代码。目前厂商已经发布了升级补丁以修复这个安全问题，请用户及时到厂商的主页下载。

（数据来源：绿盟科技安全研究部&产品规则组）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

标题：Apache Struts2 远程代码执行漏洞（S2-057）
- 时间：2018-08-24
- 简介：Apache官方发布通告公布了Struts2中一个远程代码执行漏洞（CVE-2018-11776，CNVD-2018-15894，CNNVD-201808-740）。此漏洞产生于低版本的Struts组件，当应用系统引入相关组件时，将存在被攻击者远程攻击的风险。
- 链接：http://toutiao.secjia.com/article/page?topid=110732
标题：最新Turla后门变种利用邮件PDF附件发起C&C攻击
- 时间：2018-08-24
- 简介：Turla后门最新变种利用电子邮件PDF附件发起C＆C攻击，可直接在内存中执行恶意PowerShell脚本。黑客侵犯了德国联邦外交部，Turla感染了几台计算机，并获取几乎整个2017年的数据。
- 链接：http://toutiao.secjia.com/article/page?topid=110737
标题：朝鲜Darkhotel APT组织在野外攻击CVE-2018-8373
- 时间：2018-08-20
- 简介：与朝鲜有关的黑暗酒店 APT小组正在利用VBScript引擎中的CVE-2018-8373漏洞进行野外攻击。该漏洞影响Internet Explorer 9,10和11，并影响了Windows最新版本的VBScript引擎。
- 链接：http://toutiao.secjia.com/article/page?topid=110706
标题：Belkin智能插头缓冲区溢出漏洞CVE-2018-6692
- 时间：2018-08-22
- 简介：在Belkin智能插件中ibUPnPHndlr.so库标准的缓冲区溢出漏洞允许远程攻击者完全接管设备并进入家庭网络。智能家居流行的Wi-Fi连接电源插座中的漏洞将允许远程攻击者接管智能电视和其他设备，以及执行代码 – 可能使成千上万的消费者暴露于加密，勒索软件，信息泄露，僵尸网络等等。
- 链接：http://toutiao.secjia.com/article/page?topid=110721
标题：JavaScript Web应用程序和服务器易受ReDoS攻击
- 时间：2018-08-21
- 简介：JavaScript Web应用程序和Web服务器容易受到称为正则表达式（regex）拒绝服务（ReDoS）的特定类型的漏洞/攻击。当攻击者将大量复杂的文本发送到基于JavaScript的Web服务器或应用程序的开放输入时，就会发生这些漏洞。
- 链接：http://toutiao.secjia.com/article/page?topid=110714
标题：PHP反序列化漏洞可用于攻击Wordpress和Typo3等站点
- 时间：2018-08-21
- 简介：PHP反序列化漏洞可以使黑客更容易使用以前风险较低的函数触发PHP编程语言中的关键反序列化漏洞。这项新技术使成千上万的Web应用程序受到远程代码执行攻击，包括由一些流行的内容管理系统（如WordPress和Typo3）提供支持的网站。
- 链接：http://toutiao.secjia.com/article/page?topid=110712
标题：Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge
- 时间：2018-08-21
- 简介：A new ransomware strain named Ryuk is making the rounds, and, according to current reports, the group behind it has already made over $640,000 worth of Bitcoin.
- 链接：https://www.bleepingcomputer.com/news/security/ryuk-ransomware-crew-makes-640-000-in-recent-activity-surge/?tdsourcetag=s_pctim_aiomsg
标题：Adobe Issues Emergency Patches for Critical Flaws in Photoshop CC
- 时间：2018-08-22
- 简介：Adobe released an out-of-band security update earlier today to address two critical remote code execution vulnerabilities impacting Adobe Photoshop CC for Microsoft Windows and Apple macOS machines.
- 链接：https://thehackernews.com/2018/08/adobe-photoshop-update.html
标题：China’s National Cybersecurity Standards Considered a Risk for Foreign Firms
- 时间：2018-08-21
- 简介：The Chinese government may use a collection of 300 so-called “national cybersecurity standards” to deter or sabotage the efforts of foreign tech firms trying to enter the Chinese market.
- 链接：https://www.bleepingcomputer.com/news/government/chinas-national-cybersecurity-standards-considered-a-risk-for-foreign-firms/
标题：Cloud Product Accidentally Exposes Users’ TLS Certificate Private Keys
- 时间：2018-08-21
- 简介：A severe issue was addressed on Monday, an issue that under certain conditions could be used to expose the private keys for TLS certificates used by companies running their infrastructure on cloud servers.
- 链接：https://www.bleepingcomputer.com/news/security/cloud-product-accidentally-exposes-users-tls-certificate-private-keys/?tdsourcetag=s_pctim_aiomsg

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年8月24日，绿盟科技漏洞库已收录总条目达到40894条。本周新增漏洞记录31条，其中高危漏洞数量1条，中危漏洞数量26条，低危漏洞数量4条。

Cisco Email Security Appliances EXE文件扫描绕过漏洞（CVE-2018-0419）
- 危险等级:中
- cve编号:CVE-2018-0419
Cisco Small Business 100/300 Series Wireless Access Points拒绝服务漏洞（CVE-2018-0415）
- 危险等级:中
- cve编号:CVE-2018-0415
Cisco ASR 9000 Series Aggregation Services Routers PTP拒绝服务漏洞（CVE-2018-0418）
- 危险等级:中
- cve编号:CVE-2018-0418
Cisco Digital Network Architecture Center 命令注入漏洞（CVE-2018-0427）
- 危险等级:中
- cve编号:CVE-2018-0427
Cisco Web Security Appliance权限提升漏洞（CVE-2018-0428）
- 危险等级:中
- cve编号:CVE-2018-0428
Cisco Web Security Appliances AsyncOS Software拒绝服务漏洞（CVE-2018-0410）
- 危险等级:高
- cve编号:CVE-2018-0410
Cisco Small Business 100/300 Series Wireless Access Points加密算法漏洞（CVE-2018-0412）
- 危险等级:中
- cve编号:CVE-2018-0412
Cisco Unified Communications Manager IM & Presence Service拒绝服务漏洞（CVE-2018-0409）
- 危险等级:中
- cve编号:CVE-2018-0409
Cisco Unified Communications Domain Manager Software 跨站脚本漏洞（CVE-2018-0386）
- 危险等级:中
- cve编号:CVE-2018-0386
Cisco Registered Envelope Service 跨站脚本漏洞（CVE-2018-0367）
- 危险等级:中
- cve编号:CVE-2018-0367
Trend Micro Control Manager 服务端请求伪造漏洞（CVE-2018-10511）
- 危险等级:低
- cve编号:CVE-2018-10511
Trend Micro Control Manager 拒绝服务漏洞（CVE-2018-10512）
- 危险等级:低
- cve编号:CVE-2018-10512
ZyXEL ZyWALL/USG 信息泄露漏洞（CVE-2018-9129）
- 危险等级:低
- cve编号:CVE-2018-9129
Trend Micro Control Manager 路径遍历漏洞（CVE-2018-10510）
- 危险等级:中
- cve编号:CVE-2018-10510
Yubico-Piv 任意代码执行漏洞(CVE-2018-14779)
- 危险等级:中
- cve编号:CVE-2018-14779
Yubico-Piv 缓冲区溢出漏洞(CVE-2018-14780)
- 危险等级:低
- cve编号:CVE-2018-14780
Nasdaq BWise 任意代码执行漏洞(CVE-2018-11247)
- 危险等级:中
- cve编号:CVE-2018-11247
TP-Link WR840N 缓冲区错误漏洞(CVE-2018-15172)
- 危险等级:中
- cve编号:CVE-2018-15172
Citrix XenServer 路径遍历漏洞(CVE-2018-14007)
- 危险等级:中
- cve编号:CVE-2018-14007
OpenEMR 任意命令执行漏洞（CVE-2018-15156）
- 危险等级:中
- cve编号:CVE-2018-15156
OpenEMR 任意命令执行漏洞（CVE-2018-15155）
- 危险等级:中
- cve编号:CVE-2018-15155
OpenEMR 任意命令执行漏洞（CVE-2018-15154）
- 危险等级:中
- cve编号:CVE-2018-15154
OpenEMR OS命令注入漏洞（CVE-2018-15153）
- 危险等级:中
- cve编号:CVE-2018-15153
OpenEMR 身份验证绕过漏洞（CVE-2018-15152）
- 危险等级:中
- cve编号:CVE-2018-15152
OpenEMR SQL注入漏洞（CVE-2018-15151）
- 危险等级:中
- cve编号:CVE-2018-15151
OpenEMR SQL注入漏洞（CVE-2018-15150）
- 危险等级:中
- cve编号:CVE-2018-15150
OpenEMR SQL注入漏洞（CVE-2018-15148）
- 危险等级:中
- cve编号:CVE-2018-15148
OpenEMR SQL注入漏洞（CVE-2018-15149）
- 危险等级:中
- cve编号:CVE-2018-15149
OpenEMR SQL注入漏洞（CVE-2018-15147）
- 危险等级:中
- cve编号:CVE-2018-15147
Cisco IOS/IOS XE Software信息泄露漏洞（CVE-2018-0131）
- 危险等级:中
- BID:105074
- cve编号:CVE-2018-0131
Apache HTTP Server HTTP响应分离漏洞（CVE-2016-4975）
- 危险等级:中
- BID:105093
- cve编号:CVE-2016-4975