电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170612)

 

1. 病毒预警

1.1. Trojan.Win32.VBCode.fio

病毒类型:木马程序

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

1.2. EternalRocks

病毒类型:蠕虫病毒

国外研究人员发现一种名为“EternalRocks”的新型网络蠕虫病毒,经分析,其采用了7个“Shadow Broker”(影子经纪人)组织在互联网上发布的“方程式”(Equation Group)组织工具,分别是“ETERNALBLUE”、“ETERNALCHAMPION”,“ETERNALROMANCE”,“ETERNALSYNERGY”、“SMBTOUCH”、“ARCHITOUCH”,“DOUBLEPULSAR”。 针对微软Windows系列操作系统的SMB服务进行攻击,并且与“WannaCry”勒索病毒相似,同样利用Windows操作系统SMB协议漏洞(MS17-010)进行传播,受害主机会被安装后门程序。经监测,目前尚未发现国内用户感染案例,国家计算机病毒应急处理中心将对该病毒进行持续跟踪监测。建议国内用户做好防护工作,尽快安装MS17-010漏洞补丁。

2. 弱点通告

2.1. Fastspot BigTree CMS SQL注入漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CNVD-2017-08707

漏洞描述:Fastspot BigTree CMS是美国Fastspot公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。 

Fastspot BigTree CMS 4.2.18及之前的版本中存在SQL注入漏洞。远程攻击者可借助core/admin/modules/developer/modules/views/create.php文件利用该漏洞执行任意SQL命令。

漏洞解决方案:

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法: 
http://www.bigtreecms.org

2.2. Huawei Manager NetEco命令注入漏洞

漏洞类型通用软硬件漏洞

漏洞编号:CVE-2017-8133 

受影响系统:Huawei iManager NetEco V600R008C00
Huawei iManager NetEco V600R008C10

漏洞描述:Huawei iManager NetEco是华为(Huawei)公司自主研发的一款机房动环监控系统。 
Huawei iManager NetEco V600R008C00版本和V600R008C10版本中存在命令注入漏洞,该漏洞源于程序未能充分的执行输入校验。远程攻击者可通过向设备发送恶意的报文利用该漏洞执行高权限命令,篡改或删除文件。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
http://www.huawei.com/cn/psirt/security-advisories/2017/huawei-sa-20170531-01-neteco-cn 

2.3. HPE Aruba ClearPass Policy Manager远程代码执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-5824 

受影响系统:HP Aruba ClearPass Policy Manager <6.6.5

漏洞描述:HPE Aruba ClearPass Policy Manager是美国惠普企业(Hewlett Packard Enterprise,HPE)公司的一个网络访问控制解决方案。 
HPE Aruba ClearPass Policy Manager 6.6.5之前的版本中存在远程代码执行漏洞。远程攻击者可利用该漏洞执行代码。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: 
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbhf03730en_us

2.4.  pcbind、LIBTIRPC和NTIRPC拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-8779

受影响系统:RPCBind rpcbind <=0.2.4
libtirpc libtirpc <=1.0.1
libtirpc libtirpc >=1.0.2-rc,<=1.0.2-rc3
NTIRPC NTIRPC <=1.4.3

漏洞描述:rpcbind、LIBTIRPC和NTIRPC都是应用在Linux中的应用程序。rpcbind是一个将RPC程序编号转换为通用地址的服务器;LIBTIRPC是一个包含支持使用远程过程调用(RPC)API的程序的库的软件包;NTIRPC是一个用于nfs-ganesha的运输的独立RPC库。 
rpcbind、LIBTIRPC和NTIRPC中存在安全漏洞,由于程序在为XDR字符串分配内存时,未能确定最大RPC数据的大小。攻击者可通过向111端口发送特制的UDP数据包利用该漏洞造成拒绝服务(内存消耗)。

用户可参考如下厂商提供的安全补丁以修复该漏洞
https://github.com/guidovranken/rpcbomb/

 

1.1. 

1.2. 

3. 安全焦点

3.1. 无需身份凭证,攻击者利用漏洞可任意登录FreeRADIUS

近期,来自卢森堡RESTENA的安全研究专家Stefan Winter在当前全球最流行的radius服务器中发现了一个TLS认证绕过漏洞。

FreeRADIUS是目前世界上最受欢迎的RADIUS服务器,实际上绝大多数的radius服务器都是基于FreeRADIUS开发而来的,其中包括很多开源应用以及商业应用在内。除此之外,它不仅一直在给财富500强公司和一级ISP供应商提供三A级技术支持,而且很多企业级Wi-Fi和IEEE 802.1X网络(尤其是教育社区)都在使用FreeRADIUS。

这个漏洞(CVE-2017-9148)存在于TTLS和PEAP实现之中,当系统在处理重连的TLS链接时便会触发这个漏洞,此时攻击者将能够绕过系统的内部验证机制。研究人员在其发布的漏洞报告中写道:“当FreeRADIUS在处理一条重连的TLS连接时,FreeRADIUS中的TTLS和PEAP实现将会绕过系统的内部验证机制。现在的关键问题就在于,除非TLS会话的初始链接已经成功通过了内部验证,否则服务器永远不应该允许TLS会话进行重连。但不幸的是,受此漏洞影响的FreeRADIUS版本根本无法有效地阻止未经认证的TLS会话进行重连,除非系统完全禁用了TLS会话缓存。而这也就意味着,攻击者将能够在不发送任何有效凭证的情况下绕过系统内部的验证机制。”通信连接发生中断其实是一件很正常的事情,比如说,当TLS通信链路上的一名用户从一个信号站转移到另一个信号站时就会发生通信中断和重连的情况。而由于这个漏洞的影响,系统并不会要求用户重新进行登录验证。受漏洞CVE-2017-9148影响的FreeRADIUS版本如下:

2.2.x : 全版本;

3.0.x (稳定版): 3.0.14版本之前的所有版本;

3.1.x和4.0.x (开发版): 2017-02-04版本之前的所有版本;

正在使用FreeRADIUS的系统管理员们需要将版本更新至3.0.14方可解决这个问题,目前临时的缓解方案为禁用TLS会话缓存。

漏洞报告中给出的漏洞缓解措施如下:

(a)禁用TLS会话缓存,即在EAP模块设置的缓存设置区域将enabled参数设为no(enabled = no)

(b)将版本更新至3.0.14

3.2. 两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络

根据Dr. Web公司介绍,Kinux.Muldrop.14的能够感染树莓派(Raspberry Pi)设备以借此实现加密货币挖掘。该恶意软件于今年5月份被首次发现,研究人员们找到了一套包含压缩与加密应用程序的脚本。

Kinux.MulDrop.14主要针对具备SSH外部开放端口的非安全树莓派设备。

Linux恶意软件为一款包含采矿程序的bash脚本,其利用gzip压缩并配合base64加密机制。一旦被启用,该脚本将关闭多个进程并安装其操作所需要的库。

一旦此Linux恶意软件成功感染设备,其即会首先修改“pi”帐户的密码内容

另外,该恶意软件会关闭多项进程并安装ZMap以及sshpass等库。

在此之后,该恶意软件会启动一个加密货币挖掘进程,并利用ZMap扫描互联网以寻找其它可资感染的设备。

当此Linux恶意软件在互联网上找到某一台树莓派设备时,其会利用sshpass以尝试使用默认用户名“pi”及默认密码“raspberry”进行登录。

该恶意软件只会尝试使用数个值,这表明其专门针对Raspberry Pi设备。专家们认为,此恶意软件可实现进一步改进,从而在未来几周内用于攻击其它平台。

Dr. Web公司的研究人员们还分析了另一款新型Linux恶意软件名为Linux.ProxyM,其主要用于创建代理网络。攻击者自2017年2月开始即利用此木马实施攻击,但直到5月底此类活动才达到顶峰。受到Linux.ProxyM感染的设备数量如今已经超过1万台。

该恶意代码会在受感染设备上创建一套SOCKS代理服务器,并将其用于中继恶意流量以掩饰真实来源。

3.3. 不用点击,悬停PPT文件超链接上就能感染

上周安全专家发现了包含恶意代码的字幕文件,一旦在PC、智能电视和手机端运行之后就能被黑客控制,随后该漏洞被Kodi和其他主流多媒体媒体修复。而自本周开始,名为“Zusy”(也称之为Gootkit或者OTLARD)的新型变种病毒已经开始在欧洲、中东和非洲地区肆虐蔓延。

更为重要的的是,该恶意软件并非通过宏或者其他脚本等传统方式来感染系统,相反而是通过隐藏在PowerPoint文件中。当用户打开该文档,会在幻灯片中看到“Loading…Please Wait”的字样,当用户光标移动到超链接上面,即使用户没有点击,也会触发文件中包含的PowerShell代码。

如果受害者中招,PowerShell代码将被执行并连接到网站“cccn.nl”。接下来该恶意软件就会从该域名下载文件并执行,最终部署恶意程序downloader。

3.4. 《网络安全法》下,企业如何hold住数据安全

2017年6月1日,我们首部网络安全法规——《中华人民共和国网络安全法》正式施行。作为我国网络领域的基础性法律,《网络安全法》的公布和施行,将从法律上保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。

《网络安全法》具体都说了啥?

对当前我国网络安全方面存在的热点难点问题,《网络安全法》都有明确规定。网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。特别是企业要采取一些必须技术手段来保障安全,避免用户损失。

《网络安全法》指出要实行网络安全等级保护制度,并履行相关安全保护义务,需要进行数据监测、记录,重要数据备份、加密。

《网络安全法》中对于网络安全事件预防提了诸多措施,需要提前部署防漏洞、防病毒、防攻击、防入侵等安全设备,加强对网络安全风险的监测、记录、分析、评估、预警。

《网络安全法》指出需要采取技术措施来确保信息安全,防止信息泄露、毁损、丢失,这就需要采用专业的安全设备做好数据的备份、敏感数据的保护。

在此,闪捷信息提供了满足法规的系列网络安全产品和解决方案,为企业数据安全保驾护航。

闪捷信息是一家专注于大数据及云计算环境下数据安全的高科技企业。目前,已创新性的推出了具有自主知识产权的基于高性能多核硬件平台、深度报文解析以及高效的日志存储分析等技术,并开发出了业内性能最高、适应性最强的数据库监控扫描系统、数据库防火墙系统、数据库透明加密系统、数据库动态脱敏系统、数据库审计系统及数据库安全服务,可针对核心数据进行事前预警、事中防御和事后审计的全程监控和保护,为客户提供领先的一体化数据库安全解决方案;同时针对不同的行业和应用场景推出了云数据安全、政府、金融、医疗、教育等行业解决方案并实现了大规模部署,为各行业数据安全、线上业务健康发展提供了强有力的保障。

未来,闪捷信息将继续依托自身的资源优势,遵照《网络安全法》精神,在数据安全领域深耕细作,为实现“让数据使用更放心”这一使命而不断努力创新。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6点欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号