绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-47， 绿盟科技漏洞库 本周新增59条，其中高危39条。本次周报建议大家关注Apache Spark 任意代码执行漏洞等，攻Apache Spark在单机资源管理器实现中存在安全漏洞。攻击者可通过发送特制的请求利用该漏洞在‘master’主机上执行代码。目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。

焦点漏洞

• Apache Spark 任意代码执行漏洞
• CVE ID
  • CVE-2018-17190
• NSFOCUS ID
  • 42000
• 受影响版本
  • Apache Group Spark
• 漏洞点评
  • Apache Spark是一款支持非循环数据流和内存计算的大规模数据处理引擎。Apache Spark在单机资源管理器实现中存在安全漏洞。攻击者可通过发送特制的请求利用该漏洞在‘master’主机上执行代码。目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。

（数据来源：绿盟科技安全研究部&产品规则组）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

• 标题：Sofacy APT group used a new tool in latest attacks, the Cannon
  • 时间：2018-11-21
  • 简介：Sofacy APT group (aka APT28, Pawn Storm, Fancy Bear, Sednit, Tsar Team, and Strontium) has a new weapon in its arsenal dubbed Cannon.
  • 链接：https://securityaffairs.co/wordpress/78268/apt/sofacy-apt-cannon.html
• 标题：Vaporworms: New breed of self-propagating fileless malware to emerge in 2019
  • 时间：2018-11-19
  • 简介：WatchGuard Technologies’ information security predictions for 2019 include the emergence of vaporworms, a new breed of fileless malware with wormlike properties to self-propagate through vulnerable systems, along with a takedown of the internet itself and ransomware targeting utilities and industrial control systems.
  • 链接：https://www.helpnetsecurity.com/2018/11/16/self-propagating-fileless-malware/
• 标题：Hackers target Drupal servers chaining several flaws, including Drupalgeddon2 and DirtyCOW
  • 时间：2018-11-20
  • 简介：Hackers targeted Drupal web servers chaining some known vulnerabilities, including Drupalgeddon2 and DirtyCOW issues.
  • 链接：https://securityaffairs.co/wordpress/78262/hacking/drupal-servers-drupalgeddon2-dirtycow.html
• 标题：Critical Adobe Flash Bug Impacts Windows, macOS, Linux and Chrome OS
  • 时间：2018-11-20
  • 简介：Adobe released a patch for a critical flaw on Tuesday that leaves its Flash Player vulnerable to arbitrary code execution by an adversary. Affected are versions of the Flash Player running on Windows, macOS, Linux and Chrome OS.
  • 链接：https://threatpost.com/critical-adobe-flash-bug-impacts-windows-macos-linux-and-chrome-os/139264/
• 标题：TP-Link Patches Remote Code Execution Flaws in SOHO Router
  • 时间：2018-11-19
  • 简介：Vulnerabilities recently addressed by WiFi device maker TP-Link in its TL-R600VPN small and home office (SOHO) router could allow remote code execution, Cisco Talos security researchers warn.
  • 链接：https://www.securityweek.com/tp-link-patches-remote-code-execution-flaws-soho-router
• 标题：CarsBlues Bluetooth attack Affects tens of millions of vehicles
  • 时间：2018-11-19
  • 简介：The CarsBlues attack leverages security flaws in the infotainment systems installed in several types of vehicles via Bluetooth to access user PII.
  • 链接：https://securityaffairs.co/wordpress/78183/hacking/carsblues-carsblues-bluetooth-attack.html
• 标题：Aurora / Zorro Ransomware Actively Being Distributed
  • 时间：2018-11-22
  • 简介：A ransomware that has been distributed since the summer of 2018 has started to pick up steam in the latest variant. This new variant is currently being called Zorro Ransomware, but has also been called Aurora Ransomware in the past.
  • 链接：https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/
• 标题：Rotexy Mobile Trojan Launches 70k+ Attacks in Three Months
  • 时间：2018-11-22
  • 简介：A mobile spyware that turned into a banking trojan with ransomware capabilities managed to launch over 70,000 attacks in the course of just three months.
  • 链接：https://www.bleepingcomputer.com/news/security/rotexy-mobile-trojan-launches-70k-attacks-in-three-months/
• 标题：Instagram glitch exposed some user passwords
  • 时间：2018-11-19
  • 简介：Instagram has suffered a serious security leak that might have exposed user’s passwords, revealed The Information website.
  • 链接：https://securityaffairs.co/wordpress/78173/data-breach/instagram-glitch-exposed-passwords.html
• 标题：Get paid up to $40,000 for finding ways to hack Facebook or Instagram accounts
  • 时间：2018-11-21
  • 简介：Now you can get paid up to $40,000 for finding and responsibly reporting critical vulnerabilities in the websites and mobile applications owned by Facebook that could allow cyber attackers to take over user accounts.
  • 链接：https://thehackernews.com/2018/11/cybersecurity-bug-bounty.html

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年11月23日，绿盟科技漏洞库已收录总条目达到42006条。本周新增漏洞记录59条，其中高危漏洞数量39条，中危漏洞数量15条，低危漏洞数量5条。

• Microsoft Project远程代码执行漏洞（CVE-2018-8575）
  • 危险等级:高
  • BID:105807
  • cve编号:CVE-2018-8575
• Microsoft Outlook远程代码执行漏洞（CVE-2018-8582）
  • 危险等级:高
  • BID:105825
  • cve编号:CVE-2018-8582
• Microsoft Excel 远程代码执行漏洞（CVE-2018-8577）
  • 危险等级:高
  • BID:105834
  • cve编号:CVE-2018-8577
• Microsoft Outlook 信息泄露漏洞（CVE-2018-8579）
  • 危险等级:高
  • BID:105828
  • cve编号:CVE-2018-8579
• Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-8572）
  • 危险等级:高
  • BID:105831
  • cve编号:CVE-2018-8572
• Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-8568）
  • 危险等级:高
  • BID:105829
  • cve编号:CVE-2018-8568
• Microsoft SharePoint Server信息泄露漏洞（CVE-2018-8578）
  • 危险等级:高
  • BID:105832
  • cve编号:CVE-2018-8578
• Microsoft Windows PowerShell远程代码执行漏洞（CVE-2018-8256）
  • 危险等级:高
  • BID:105781
  • cve编号:CVE-2018-8256
• Microsoft Windows PowerShell安全限制绕过漏洞（CVE-2018-8415）
  • 危险等级:高
  • BID:105792
  • cve编号:CVE-2018-8415
• Microsoft Windows MSRPC 本地信息泄露漏洞（CVE-2018-8407）
  • 危险等级:高
  • BID:105794
  • cve编号:CVE-2018-8407
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8588）
  • 危险等级:高
  • BID:105782
  • cve编号:CVE-2018-8588
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8541）
  • 危险等级:高
  • BID:105771
  • cve编号:CVE-2018-8541
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8542）
  • 危险等级:高
  • BID:105772
  • cve编号:CVE-2018-8542
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8543）
  • 危险等级:高
  • BID:105846
  • cve编号:CVE-2018-8543
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8551）
  • 危险等级:高
  • BID:105773
  • cve编号:CVE-2018-8551
• Microsoft Internet Explorer远程内存破坏漏洞（CVE-2018-8552）
  • 危险等级:高
  • BID:105786
  • cve编号:CVE-2018-8552
• Microsoft Windows VBScript Engine远程代码执行漏洞（CVE-2018-8544）
  • 危险等级:高
  • BID:105787
  • cve编号:CVE-2018-8544
• Adobe Photoshop CC远程信息泄露漏洞（CVE-2018-15980）
  • 危险等级:高
  • BID:105905
  • cve编号:CVE-2018-15980
• Adobe Acrobat/Reader远程信息泄露漏洞（CVE-2018-15979）
  • 危险等级:高
  • BID:105907
  • cve编号:CVE-2018-15979
• Adobe Flash Player远程信息泄露漏洞（CVE-2018-15978）
  • 危险等级:高
  • cve编号:CVE-2018-15978
• Adobe Flash Player远程代码执行漏洞（CVE-2018-15981）
  • 危险等级:高
  • cve编号:CVE-2018-15981
• Microsoft Windows Kernel本地信息泄露漏洞（CVE-2018-8408）
  • 危险等级:高
  • BID:105789
  • cve编号:CVE-2018-8408
• Microsoft Windows Win32k权限提升漏洞（CVE-2018-8589）
  • 危险等级:高
  • BID:105796
  • cve编号:CVE-2018-8589
• Microsoft Windows Audio Service 信息泄露漏洞（CVE-2018-8454）
  • 危险等级:高
  • BID:105799
  • cve编号:CVE-2018-8454
• Microsoft Team Foundation Server跨站脚本漏洞（CVE-2018-8602）
  • 危险等级:高
  • BID:105895
  • cve编号:CVE-2018-8602
• Microsoft Skype for Business拒绝服务漏洞（CVE-2018-8546）
  • 危险等级:低
  • BID:105802
  • cve编号:CVE-2018-8546
• Microsoft Windows Search远程代码执行漏洞（CVE-2018-8450）
  • 危险等级:高
  • BID:105797
  • cve编号:CVE-2018-8450
• Microsoft Windows COM权限提升漏洞（CVE-2018-8550）
  • 危险等级:高
  • BID:105805
  • cve编号:CVE-2018-8550
• Microsoft Windows ALPC权限提升漏洞（CVE-2018-8584）
  • 危险等级:高
  • BID:105808
  • cve编号:CVE-2018-8584
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8555）
  • 危险等级:高
  • BID:105775
  • cve编号:CVE-2018-8555
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8556）
  • 危险等级:高
  • BID:105779
  • cve编号:CVE-2018-8556
• Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CVE-2018-8557）
  • 危险等级:高
  • BID:105780
  • cve编号:CVE-2018-8557
• Microsoft Windows Deployment Services TFTP Server远程代码执行漏洞（CVE-2018-8476）
  • 危险等级:高
  • BID:105774
  • cve编号:CVE-2018-8476
• Microsoft Windows权限提升漏洞（CVE-2018-8592）
  • 危险等级:高
  • BID:105809
  • cve编号:CVE-2018-8592
• Microsoft Windows 安全限制绕过漏洞（CVE-2018-8549）
  • 危险等级:高
  • BID:105803
  • cve编号:CVE-2018-8549
• TP-Link TL-R600VPN HTTP Server 缓冲区溢出漏洞（CVE-2018-3949）
  • 危险等级:高
  • cve编号:CVE-2018-3949
• TP-Link TL-R600VPN HTTP Server 缓冲区溢出漏洞（CVE-2018-3951）
  • 危险等级:高
  • cve编号:CVE-2018-3951
• TP-Link TL-R600VPN HTTP Server 缓冲区溢出漏洞（CVE-2018-3950）
  • 危险等级:高
  • cve编号:CVE-2018-3950
• PHP 拒绝服务安全漏洞（CVE-2018-19395）
  • 危险等级:低
  • cve编号:CVE-2018-19395
• Linux kernel拒绝服务漏洞（CVE-2018-19406）
  • 危险等级:中
  • cve编号:CVE-2018-19406
• PHP 拒绝服务安全漏洞（CVE-2018-19396）
  • 危险等级:低
  • cve编号:CVE-2018-19396
• Linux kernel拒绝服务漏洞（CVE-2018-19407）
  • 危险等级:中
  • cve编号:CVE-2018-19407
• Atlantis Word Processor 拒绝服务漏洞（CVE-2018-4040）
  • 危险等级:中
  • cve编号:CVE-2018-4040
• Atlantis Word Processor 拒绝服务漏洞（CVE-2018-4039）
  • 危险等级:中
  • cve编号:CVE-2018-4039
• Foxit Reader 拒绝服务安全漏洞（CVE-2018-19389）
  • 危险等级:中
  • cve编号:CVE-2018-19389
• Foxit Reader 拒绝服务安全漏洞（CVE-2018-19388）
  • 危险等级:中
  • cve编号:CVE-2018-19388
• Atlantis Word Processor open document format解析器拒绝服务漏洞（CVE-2018-4038）
  • 危险等级:中
  • cve编号:CVE-2018-4038
• Foxit Reader 拒绝服务安全漏洞（CVE-2018-19390）
  • 危险等级:中
  • cve编号:CVE-2018-19390
• Dell EMC Avamar Server/EMC IDPA开放重定向漏洞（CVE-2018-11067）
  • 危险等级:中
  • cve编号:CVE-2018-11067
• Dell EMC Avamar Server/EMC IDPA远程代码执行漏洞（CVE-2018-11066）
  • 危险等级:中
  • cve编号:CVE-2018-11066
• Dell EMC Avamar Server/IDPA信息泄露漏洞（CVE-2018-11076）
  • 危险等级:中
  • cve编号:CVE-2018-11076
• Dell EMC Avamar Server/EMC Integrated Data Protection Appliance 命令注入漏洞（CVE-2018-11077）
  • 危险等级:中
  • cve编号:CVE-2018-11077
• Apache Spark 任意代码执行漏洞（CVE-2018-17190）
  • 危险等级:中
  • cve编号:CVE-2018-17190
• IBM Cloud Private信息泄露安全漏洞（CVE-2018-1843）
  • 危险等级:中
  • cve编号:CVE-2018-1843
• TP-Link TL-R600VPN HTTP Server 拒绝服务漏洞（CVE-2018-3948）
  • 危险等级:高
  • cve编号:CVE-2018-3948
• IBM Integration Bus 访问权限安全漏洞（CVE-2017-1418）
  • 危险等级:低
  • cve编号:CVE-2017-1418
• IBM WebSphere Application Server XML外部实体注入安全漏洞（CVE-2018-1905）
  • 危险等级:高
  • cve编号:CVE-2018-1905
• Huawei Honor 7A/Honor 9 Lite 信息泄露漏洞（CVE-2018-7946）
  • 危险等级:低
  • cve编号:CVE-2018-7946
• Novell NetWare 缓冲区溢出漏洞（CVE-2009-5153）
  • 危险等级:中
  • cve编号:CVE-2009-5153

（数据来源：绿盟科技安全研究部&产品规则组）