无图美人的财富牧场: 网络安全威胁月报 201707

本邮件内容由第三方提供，如果您不想继续收到该邮件，可点此退订。

网络安全威胁月报 201707 阅读原文»

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 http://blog.nsfocus.net/。

文章目录

一. 2017年7月数据统计

1.1 高危漏洞发展趋势

2017年7月绿盟科技安全漏洞库共收录199个漏洞, 其中高危漏洞111个，微软高危漏洞27个，上月监测到CVE公布高危漏洞数量为221个。相比6月份漏洞数量基本持平。

1.2 互联网安全漏洞

Apache Struts2 远程代码执行漏洞（S2-048）

来源：http://blog.nsfocus.net/apache-struts2-remote-code-execution-vulnerability-s2-048-technical-analysis-protection-scheme/

简述：2017年7月7日，Apache Struts发布最新的安全公告，Apache Struts 2.3.x的strus1插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9791（S2-048）。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件，远程执行代码。

微软发布7月补丁修复55个安全问题

来源：http://blog.nsfocus.net/microsoft-released-july-patch-fix-55-security-issues/

简述：微软于周二发布了7月安全更新补丁，修复了55个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office和Microsoft Office Services and Web Apps、.NET Framework、Adobe Flash Player以及Microsoft Exchange Server。

思科修复9个严重远程代码执行漏洞

来源：http://secjia.com/cisco-security-patches-snmp

简述：思科修复了SNMP子系统中的9个严重远程代码执行缺陷，所有版本的IOS和IOS XE软件都受到影响。思科于6月29日公开披露了该漏洞, 并提供了应急措施, 但是并没有给出安全补丁。。

思科在Chrome和火狐浏览器上的WebEx扩展有远程代码执行漏洞CVE-2017-6753

来源：http://secjia.com/cisco-webex-rce-cve-2017-6753

简述：思科WebEx扩展再曝严重的远程代码执行漏洞，今年再曝严重的远程代码执行漏洞（CVE-2017-6753），这是本年度第二次发现该扩展存在漏洞。攻击者可利用该漏洞在目标机器上以受影响浏览器权限远程执行恶意代码。。

SambaCry漏洞CVE-2017-7494再被利用

来源：http://secjia.com/sambacry-backdoors-on-nas

简述：黑客正在利用SambaCry 漏洞，攻击较早版本的samba 文件共享服务器，并安装木马程序。根据来自趋势科技的专家, 大多数攻击都针对网络连接存储(nas) 设备，这样的设备不少是用Samba服务进行文件共享的。

百度网盘用户数据泄露

来源：http://secjia.com/baidu-pan-databreach

简述：7月18日，有微信公众号发文称，在百度网盘看到大量私人信息，甚至包括企事业单位内部通讯录。

Apache Tomcat安全绕过漏洞CVE-2017-5664

来源：http://secjia.com/baidu-pan-databreach

简述：Apache Tomcat由于设置错误，出现了tomcat安全绕过漏洞CVE-2017-5664，攻击者利用这个漏洞可以绕过某些安全性限制，执行未授权动作。这可能引发更多攻击。

全球大型比特币交易中心Bithumb被黑

来源：hhttp://secjia.com/bithumb-data-breach

简述：世界上最大的比特币和以太加密货币交易市场之一的Bithumb最近被黑客攻击，黑客成功窃取了31800 个Bithumb 网站用户的个人信息，造成超过100万美元的损失。

锤子员工在GitHub提交文件造成数据泄露

来源：http://secjia.com/smartisan-date-leak

简述：近日，锤子员工李貌在GitHub上提交的文件被发现竟然包含坚果Pro的激活数量，截止6月15日共计207707行数据。

Verizon数据泄露

来源：http://secjia.com/verizon-databreach

简述：Verizon数据泄露，数TB文件暴露在公网1400万客户敏感信息公开下载。

2020年底以后Adobe不再支持Flash Adobe

来源：http://tech.163.com/17/0726/07/CQ8M4HT200097U7T.html

简述：2017年7月25日，Adobe在其博客上发布声明，将于2020年底停止更新和分发FlashPlayer，并鼓励内容创作者将现有的Flash内容迁移到新的开放格式。

Petya勒索软件作者公布了主密钥

来源：http://secjia.com/petya-ransomware-released-master-key

简述：Petya作者公布了原始版本Petya勒索软件的主密钥（不是NotPetya），受该软件感染的受害者可使用这个密钥免费恢复加密文件。

(来源：绿盟科技威胁情报与网络安全实验室)

1.3 绿盟科技漏洞库十大漏洞

声明：本十大安全漏洞由NSFOCUS(绿盟科技)安全小组<security@nsfocus.com>根据安全漏洞的严重程度、利用难易程度、影响范围等因素综合评出，仅供参考。

http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten

2017-07-13 Adobe Flash Player远程内存破坏漏洞（CVE-2017-3099）

NSFOCUS ID: 37138

链接:http://www.nsfocus.net/vulndb/37138

综述:Flash Player是多媒体程序播放器。Adobe Flash Player 26.0.0.137在实现上存在内存破坏漏洞，可使攻击者远程执行任意代码。

危害:攻击者可以通过诱使受害者打开恶意swf文件来利用此漏洞，从而控制受害者系统

2017-07-12 Microsoft Edge 远程内存破坏漏洞（CVE-2017-8596）

NSFOCUS ID: 37112

链接:http://www.nsfocus.net/vulndb/37112

综述:Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft Edge未正确处理内存对象，在实现上存在远程代码执行漏洞，可导致攻击者在当前用户上下文中执行任意代码。

危害:远程攻击者可以通过诱使受害者打开恶意网页来利用此漏洞，从而控制受害者系统

2017-07-10 Apache Struts远程代码执行漏洞（CVE-2017-9791）

NSFOCUS ID: 37074

链接:http://www.nsfocus.net/vulndb/37074

综述:Struts2 是构建企业级Jave Web应用的可扩展框架。在Struts 2.3.x 系列的Showcase 应用中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，从而控制服务器

2017-07-24 VMware多个产品内存破坏漏洞（CVE-2017-4901）

NSFOCUS ID: 37211

链接:http://www.nsfocus.net/vulndb/37211

综述:VMware Workstation 是一款功能强大的桌面虚拟计算机。VMware Workstation的拖放(DnD)函数存在越界内存访问漏洞。

危害:本地攻击者可以利用此漏洞来提升权限，对宿主机进行非授权的访问

2017-06-26 Microsoft Malware Protection Engine远程代码执行漏洞（CVE-2017-8558）

NSFOCUS ID: 36968

链接:http://www.nsfocus.net/vulndb/36968

综述:Microsoft Malware Protection Engine是恶意程序保护引擎。Microsoft Malware Protection Engine在实现上存在远程代码执行漏洞。

危害:攻击者可以利用此漏洞获取敏感信息，绕过某些安全限制

2017-07-19 Oracle WebLogic Server 远程安全漏洞（CVE-2017-10137）

NSFOCUS ID: 37184

链接:http://www.nsfocus.net/vulndb/37184

综述:Oracle Fusion Middleware是一个全面的中间件产品系列，由SOA和中间件产品组成。Oracle WebLogic Server在JNDI组件实现上存在安全漏洞。

危害:远程攻击者可以通过向服务器发送恶意请求来利用此漏洞，对服务器进行非授权的访问

2017-06-27 Microsoft Skype栈缓冲区溢出漏洞（CVE-2017-9948）

NSFOCUS ID: 36980

链接:http://www.nsfocus.net/vulndb/36980

综述:Microsoft Lync是一个即时通信客户端。Skype for Business是商务通信软件。Microsoft Skype在实现上存在栈缓冲区溢出漏洞，此漏洞源于MSFTEDIT.DLL未正确处理带消息框的远程RDP剪切版内容。

危害:远程攻击者可以利用这些漏洞控制受害者系统

绿盟在现场|不能错过的安全界奥斯卡――Blackhat2017 阅读原文»

一年一度的安全界顶级盛会――Blackhat2017――在拉斯维加斯如火如荼得进行着，各路安全界大咖都卯足精神，给世界展示着异彩纷呈的神兵利器。绿盟科技作为受邀嘉宾，也见证了这场盛事。下面我们就来看看绿盟科技首席技术官――赵粮博士在现场发回的第一手新鲜资讯吧！

文章目录

扣篮诚可贵，盖帽价更高：行业应更加重视安全"基本功"

在过去的几年时间里，APT高级持续威胁和零日攻击、高精尖的各种PWN破解大赛占据了很多媒体的头版，眼球和掌声被新漏洞挖掘、未知威胁发现等不客气的统统收编。但是另一方面，各种数据表明，企业和组织中的绝大部分安全事件来自于账号口令补丁等传统项目，数以亿计的恶意软件背后的利用却集中在每年十几个顶多几十个已知漏洞上面。刚刚出炉的绿盟科技安全观察报告也以真实的监测数据印证了这个事实。这不能不给业者带来深深的思考。

Facebook的首席安全官Alex在他的演讲中展示了下面这个金字塔图，并强烈呼吁行业更加重视"基本功"，把焦点从0-day和定向攻击扩展到金字塔的中部和底部。呼吁安全团队，包括安全提供商的团队，承担起更为广泛的安全责任，关注并解决各种最为基本的滥用、误用，以更为有效、高效的技术手段为用户创造真正安全易用的应用和互联网环境，而不是指责或抱怨用户缺少安全意识，不遵守安全规则，不会保护自己等等。

在攻守之间，Alex认为攻方更为技术导向，只要技术上"一击而中"就高奏凯歌，而守方则需要考虑宽广的防护正面、平衡技术、资金、人力资源以及各种政治和冲突等。演讲中，Alex提醒安全研究者不要因为发现了开发者的漏洞而轻视、蔑视开发者，洋洋自得，真正的安全研究者应该是发现问题并且帮助开发者解决问题，使应用更安全。Alex提到多样性的团队、多样性的思考、多样性的背景等会帮助守方更为全面的思考、规划、设计、建设防护体系，有助于提高用户体验和真实的安全水平。

Alex呼吁业界更加重视守方的研究和提高，号召社区和商业组织加强协作。为此，Facebook参与设立了互联网防御奖金（Internet Defense Prize），奖励为互联网和共享软件等的安全防护提升作出贡献的研究者。

让互联网更安全是我们每个安全业者的使命，如何以更为有效、高效的方式来解决这些看似传统、基本、重复甚至乏味的"功课"、让安全变得更易用、消除天天发生在用户身边的威胁，和高精尖的破解同样"激动人心"，充满挑战，充满机遇。

兵者，诡道也――安全实践中的攻防博弈

兵者，诡道也！但，如何"诡"呢？道又在哪里？攻防双方是理性的，还是非理性的？是零和的，副和的、还是可以共赢的？今天美女演讲者Kelly分享了她对博弈论在安全实践中应用的研究。

尝试引入博弈论到网络安全理论和实践中已有多年的努力，但应该说并不成功。Kelly认为博弈论著名的纳什均衡基于先验推理，假定了博弈多方是理性独立决策人，相互了解，但这些假设在网络安全实践中并不成立。 Kelly总结网络安全具有以下特点：永无停歇、非零和、博弈方之间信息不完备、不完美、非对称，并且博弈方之间行动有顺序和动态的特点。考虑到上述特点，尝试用对方的视角审视自身的态势、预测对方的行动计划从而决策自己的行动计划是正确而理性的做法。

对于守方来说，思考攻击者会优先从那里绕过防守、对此针对性动作是什么、实施攻击的成本有多高、实施攻击的概率有多高…. 一般来说，可以假设攻方总是会选取成本最低的攻击路径。重复递归上述动作，可以做出攻击路径图示例如下。