教育类网站开发需求说明书,大余网站建设,网站网络设计是怎么做的,内江如何做百度的网站声明
本文是学习2017中国网站安全形势分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
2017年重大网站安全漏洞
CVE-2017-3248 #xff1a;WebLogic 远程代码执行
2017年1月27日#xff0c;WebLogic官方发布了一个编号为CVE-2017-3248 的…声明
本文是学习2017中国网站安全形势分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
2017年重大网站安全漏洞
CVE-2017-3248 WebLogic 远程代码执行
2017年1月27日WebLogic官方发布了一个编号为CVE-2017-3248 的漏洞。分析之前WebLogic漏洞CVE-2015-4852的补丁发现WebLogic采用黑名单的方式过滤危险的反序列化类但是这种修复方式很被动存在被绕过的风险只要发现可用并且未在黑名单之外的反序列化类那么之前的防护就会被打破系统就会遭受攻击。这次发布的CVE-2017-3248 就是利用了黑名单之外的反序列化类通过JRMP协议达到执行任意反序列化payload。该漏洞影响WebLogic 10.3.6.012.1.3.012.2.1.012.2.1.1多个版本并且官方仍未发布针对该漏洞的补丁所以危害巨大。
CVE-2017-5638 Struts2 远程代码执行S2-045
2017年3月7日该漏洞是Apache strut2 最新的一个漏洞CVE编号CVE-2017-5638.基于 Jakarta plugin插件的Struts远程代码执行漏洞该漏洞会造成RCE远程代码执行恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞进而执行系统命令可直接造成系统被控制。黑客通过Jakarta 文件上传插件实现远程利用该漏洞执行代码。
远程命令执行漏洞用户通过浏览器提交执行命令由于服务器端没有针对执行函数做过滤导致在没有指定绝对路径的情况下就执行命令可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。
CVE-2017-5638 Struts2 远程代码执行S2-046
2017年3月21日安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞S2-046与S2-045影响范围及组件完全相同在上次的漏洞中升级过的Struts2组件不受影响。Struts2是一个基于MVC设计模式的Web应用框架它本质上相当于一个servlet在MVC设计模式中Struts2作为控制器(Controller)来建立模型与视图的数据交互。当上传文件的大小由Content-Length头指定大于Struts2允许的最大大小2GB或是在文件名内容构造恶意的OGNL内容时Content-Disposition请求中含有空字节就可能会造成远程命令执行导致系统被入侵。Struts2 的使用范围及其广泛国内外均有大量厂商使用该框架因此该漏洞被安全服务团队风险评级为严重。
CVE-2017-3531 WebLogic远程代码执行
2017年4月18日Oracle融合中间件子组件Servlet运行时的Oracle WebLogic Server组件中的漏洞。受影响的受支持版本是12.1.3.012.2.1.012.2.1.1和12.2.1.2。轻松“可利用”漏洞允许未经身份验证的攻击者通过HTTP访问网络从而危害Oracle WebLogic Server。虽然此漏洞位于Oracle WebLogic Server中但攻击可能会对其他产品产生重大影响。此漏洞的成功攻击可能会导致未经授权的更新插入或删除对部分Oracle WebLogic Server可访问数据的访问以及未经授权的导致部分拒绝服务部分DOS的Oracle WebLogic Server。CVSS 3.0基本评分7.2完整性和可用性影响。CVSS向量CVSS3.0 / AVN / ACL / PRN / UIN / SC / CN / IL / AL。
CVE-2017-1000353 Jenkins远程代码执行
2017年5月1日Jenkins的反序列化漏洞攻击者使用该漏洞可以在被攻击服务器执行任意代码漏洞利用不需要任何的权限。Jenkins是一款持续集成continuous integration与持续交付continuous delivery系统可以提高软件研发流程中非人工参与部分的自动化处理效率。作为一个基于服务器的系统Jenkins运行在servlet容器如Apache Tomcat中支持版本控制工具包括AccuRev、CVS、Subversion、Git、Mercurial、Perforce、Clearcase以及RTC能够执行基于Apache Ant、Apache Maven以及sbt的工程也支持shell脚本和Windows批处理命令。
该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中Jenkins利用此通道来接收命令恶意攻击者可以构造恶意攻击参数远程执行命令从而获取系统权限造成数据泄露。
CVE-2017-9791 Struts2远程代码执行S2-048
北京时间2017年7月7日apache官方发布通告在Struts2框架中存在漏洞代号为S2-048CVE-2017-9791的远程命令攻击漏洞。Apache Struts2是一种国内使用非常广泛的Web应用开发框架被大量的Web网站所使用。当Struts 2中的 Struts 1插件默认不启用启用的情况下攻击者通过使用恶意字段值可能造成远程命令执行。这些不可信的输入数据被带入到ActionMessage类中的错误信息中通过构建不可信的输入实现远程命令执行被评价为高危漏洞。
CVE-2017-9822 DotNetNuke远程代码执行
2017年8月2日DNN 安全板块发布了一个编号 CVE-2017-9822 的严重漏洞DNNPersonalization 是一个在 DNN 中是用于存放未登录用户的个人数据的 Cookie该 Cookie 可以被攻击者修改从而实现对服务器任意文件上传远程代码执行等攻击。漏洞报告者 Alvaro Muñoz和 OleksandrMirosh 在 BlackHat USA 2017 上披露了其中的一些细节。据称全球有超过75万的用户在使用DNN来搭建他们的网站影响范围很大。奇安信 CERT跟进分析了该漏洞及其使用 XmlSerializer 进行序列化/反序列化的攻击利用场景确认为严重漏洞。
CVE-2017-9805 Struts2远程代码执行S2-052
2017年9月5日千疮百孔的 Struts2 应用又曝出存在新的高危远程代码执行漏洞。该漏洞由lgtm.com的安全研究员汇报编号为 CVE-2017-9805 漏洞危害程度为高危Critical。当用户使用带有 XStream 程序的 Struts REST 插件来处理 XML payloads 时可能会遭到远程代码执行攻击。漏洞存在于非默认的插件中首先确认应用是否使用了REST插件如果没有使用则不受此次漏洞影响。如果 WEB 应用的 WEB-INF/lib 目录下存在以“struts2-rest-plugin”开头的jar文件且文件名不是“struts2-rest-plugin-2.5.13.jar”或者 “struts2-rest-plugin-2.3.34.jar”则有可能存在漏洞。目前漏洞相关的技术细节和利用代码已经公开漏洞极有可能被积极利用获取对用户系统的控制需要引起高度注意。
CVE-2017-10366 PeopleSoft远程代码执行
据2017年10月19日报道该漏洞CVE-2017-10366允许攻击者在运行PeopleSoft软件的服务器上获得远程代码执行。ERPScan的研究人员说这个缺陷是核心引擎意味着PeopleSoft产品的多种风格可能会受到影响。
此漏洞可以通过向PeopleSoft服务器发送不合法的HTTP请求和构造一个反序列化的Java对象来执行远程代码攻击任何把PeopleSoft系统暴露在外网上的公司都有可能受到影响。值得注意的是相较于PeopleSoft的4月的16个补丁和7月的7个补丁在本月Oracle发布的252个补丁中有30个属于PeopleSoft。截止到10月今年发布的PeopleSoft补丁已经有76个相比2016年的44个和2015年的29个补丁的数量有所上涨。
CVE-2017-11283 Adobe ColdFusion远程代码执行
据2017年10月19日报道Adobe ColdFusion 在 2017 年 9 月 12 日发布的安全更新中提及到之前版本中存在严重的反序列化漏洞CVE-2017-11283, CVE-2017-11284可导致远程代码执行。当使用 Flex 集成服务开启 Remote Adobe LiveCycle Data Management access 的情况下可能受到该漏洞的影响使用该功能会开启 RMI 服务监听的端口为 1099。ColdFusion 自带的 Java 版本过低不会在反序列化之前对 RMI 请求中的对象类型进行检验。
奇安信CERT 经过分析验证确认该漏洞确实存在请相关用户尽快进行更新处理。
2017年威胁网站安全的典型病毒
暗云Ⅲ
2017年6月12日臭名昭著的暗云Ⅲ病毒再次卷土重来在全国范围内发起网络攻击。暗云Ⅲ木马的恶意程序伪装成“赤月传说”、“传奇霸业”等游戏微端进行补丁修复通过各大下载站的下载器等各种传播渠道进行海量推广。暗云系列木马异常狡猾此次突然爆发有很大可能会引发牵连范围极广的DDoS攻击。专家建议除了安装安全软件还要保持良好的上网习惯不要运行来源不明或被安全软件报警的程序不要下载运行游戏外挂、私服登录器等软件定期在不同的存储介质上备份信息系统业务和个人数据。
Xshell后门
2017年8月4日Xshell开发公司NetSarang与卡巴斯基工程师发现Xshell软件中存在后门。恶意攻击者利用该后门可窃取用户服务器账号密码等信息进一步可致整个服务器被攻击。在软件的开发阶段程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是如果这些后门被其他人知道或者在发布软件之前没有删除后门程序容易被不法分子当成漏洞进行攻击用户们的服务器会面临严重的威胁。此次黑客似乎入侵了Xshell相关开发人员的电脑在源码植入后门导致官方版本也受到影响。并且由于dll文件已有官方签名众多杀毒软件依据白名单机制没有报毒。
IoT_reaper 僵尸网络
2017年9月奇安信集团研究人员首次发现IoT僵尸网络命名为“IoT_reaper”。这款恶意软件不在依赖于破解弱口令而是利用各种IoT设备中的漏洞进行攻击并将其纳入僵尸网络。同时CheckPoint的研究人员也警告了这个IoT僵尸网络他们取名为“IoTroop”它已经感染了数十万个公司组织。根据CheckPoint的观点IoTroop恶意软件还利用了GoAheadD-LinkTP-LinkAVTECHLinksysSynology等无线网络摄像机设备中的漏洞。
BrickerBot恶意软件
8月3日印度多地发生网络攻击事件影响了Bharat Sanchar Nigam LimitedBSNL和Mahanagar Telephone Nigam LimitedMTNL这两家印度国有电信服务提供商的机房内的调制调解器以及用户的路由器事件导致印度东北部、北部和南部地区调制调解器丢失网络连接预计6万台调制调解器掉线影响了45%的宽带连接。
BrickerBot是一款影响Linux物联网和联网设备的恶意软件。与其它囤积设备组成僵尸网络实施DDoS攻击等恶意软件不同的是BrickerBot重写Flash存储使物联网设备变“砖”。大多数情况下“砖化”效应可以逆转但在某些情况下却会造成永久性的破坏。BSNL几万台调制调解器使用了不受保护的TR069TR064接口允许任何人重新配置设备实施中间人攻击或DNS劫持。BSNL和MTNL遭遇这起网络攻击的原因还在于这两大ISP允许他人通过7547端口连接到它们的网络。
Satori僵尸网络
2017月12月5日奇安信集团研究人员首先发现Satori僵尸网络Satori是mirai的变种同样针对物联网设备尤其以某品牌家用路由器为主。
Satori的bot僵尸程序不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入而是自身有了扫描能力类似蠕虫的传播行为另外bot中增加了两个新的漏洞利用分别工作在端口37215和52869上在过去的12个小时里26.3万个不同的IP在扫描端口37215以及1.9万个IP在扫描端口52869成为史上传播速度最快的僵尸网络。
挖矿木马
挖矿木马是2017年非常流行的一种针对网络服务器进行攻击的木马程序此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器并控制服务器的系统资源用于计算和挖掘特定的虚拟货币。由于挖矿木马对的CPU率一般为100%因此服务器感染挖矿木马后最明显的现象就是服务器响应非常缓慢出现各种运行异常。如果挖矿木马攻击的整个云服务平台则平台上所有网站和服务系统都会受到严重影响。 延伸阅读
更多内容 可以 2017中国网站安全形势分析报告. 进一步学习
联系我们
DB62-T 2990-2019 核技术利用单位辐射安全与防护管理标准化建设基本规范 甘肃省.pdf
