綠盟科技網路安全威脅週報及月報系列，旨在簡單而快速有效的傳遞安全威脅態勢，呈現重點安全漏洞、安全事件、安全技術。獲取最新的威脅月報，請訪問綠盟科技部落格 http://blog.nsfocus.net/

一. 2017年8月資料統計

1.1 高危漏洞發展趨勢

2017年8月綠盟科技安全漏洞庫共收錄181個漏洞, 其中高危漏洞69個，微軟高危漏洞47個，8月監測到CVE公佈高危漏洞數量為180個。相比7月份漏洞數量略有下降。

1.2 網際網路安全漏洞

firefox遠端程式碼執行漏洞CVE-2017-7801 即便失敗也可以DoS 55版本之前大多受影響 來源：https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/ 簡述：Firefox釋出公告稱，firefox 55版本之前存在遠端程式碼執行漏洞CVE-2017-7801，當在視窗調整大小時, 在仍在使用中更新的樣式物件的情況下, 對選取框元素進行重新佈局時, 可能會出現一個使用 after-free 的漏洞。這將導致潛在的可利用的崩潰。。   Foxit pdf Reader爆出2個0Day 官方拒絕發補丁 來源：http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html 簡述：由於官方拒絕提供補丁，專家給出兩個建議，1不要開啟任何來源不明的pdf文件；2 安全閱讀模式要保持開啟狀態。綠盟科技釋出《Foxit PDF Reader 0day 漏洞安全威脅通告》. 版本控制軟體爆出遠端命令執行漏洞 涉及Git、SVN、Mercurial、CVS版本控制 來源：http://toutiao.secjia.com/git-svn-mercurial-cvs-rce 簡述：幾個流行的版本控制系統受到可能嚴重的遠端命令執行漏洞的影響。受影響產品的開發人員本週釋出了更新補丁來修補安全漏洞。該缺陷影響版本控制軟體, 如 Git (CVE-2017-1000117)、Apache Subversion (CVE-2017-9800)、Mercurial (CVE-2017-1000116) 和 CVS。由於CVS 系統上次更新已經是9年前的事情了, 因此沒有為它分配 CVE 識別符號。   Talos實驗室深入我國DDoS黑市DuTe 揭露各種DDoS團伙、平臺、工具及攻擊 來源：http://www.sohu.com/a/165157294_804262?qq-pf-to=pcqq.group 簡述：在過去的幾個月裡，Talos實驗室發現提供線上DDoS即服務的中文網站數量有所上漲。很多網站採用幾乎雷同的佈局和設計，提供簡單介面供使用者選擇攻擊目標的主機、埠、攻擊方法和持續時間。此外，大多數這些網站是在最近6個月內註冊的。不過，這些網站由不同組織運營，擁有不同註冊使用者。此外，Talos還發現這些網站的管理員之間還互相攻擊。Talos希望能摸清建立這些平臺的攻擊者，並分析這些平臺最近更為流行的原因。 美奧斯丁市電站資料洩露大量敏感專案資料 事出Rsync資料映象備份工具配置不當 來源：http://toutiao.secjia.com/austin-powerplant-databreach 簡述：美國奧斯丁市電站發生 資料洩露 ，事件洩露了敏感資訊隔離SCIF計劃的大量圖紙及資料，還包括了SBC (AT&T), Oracle, National Semiconductor, Exodus, Applied Materials, Solectron, 和Philips的相關資料。這些內部文件, 包含許多敏感專案, 包括保密協議、供應商資格表單、採購訂單和明文 PQE 密碼 (computer stuff.docx)。其中一個密碼是與 PQE 使用的 GoDaddy 網路主機相關的, 擁有它就能控制公司域名。   NetSarang的Xmanager和Xshell多種產品被植入後門 綠盟科技釋出分析與防護方案 來源：http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor 簡述：NetSarang是一家提供安全連線解決方案的公司，該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日釋出的軟體被發現有惡意後門程式碼，該惡意的後門程式碼存在於有合法簽名的nssock2.dll模組中。從後門程式碼的分析來看，該程式碼是由於攻擊者入侵的開發者的主機或者編譯系統並向原始碼中插入後門導致的。該後門程式碼可導致使用者遠端登入的資訊洩露。 (來源：綠盟科技威脅情報與網路安全實驗室)

1.3 綠盟科技漏洞庫十大漏洞

宣告：本十大安全漏洞由NSFOCUS(綠盟科技)安全小組 <[email protected]>根據安全漏洞的嚴重程度、利用難易程度、影響範圍等因素綜合評出，僅供參考。 http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten  

1. 2017-08-09 Microsoft Internet Explorer/Edge遠端記憶體破壞漏洞(CVE-2017-8635)

NSFOCUS ID: 37368 連結:http://www.nsfocus.net/vulndb/37368 綜述:Internet Explorer是微軟公司推出的一款網頁瀏覽器。Microsoft Edge是內置於Windows10版本中的網頁瀏覽器。Microsoft Windows 瀏覽器處理記憶體物件時，JavaScript引擎呈現方式存在安全漏洞。 危害:遠端攻擊者可以通過誘使受害者開啟惡意網頁來利用此漏洞，從而控制受害者系統  

2. 2017-08-14 Adobe Acrobat/Reader記憶體破壞漏洞（CVE-2017-3016）

NSFOCUS ID: 37404 連結:http://www.nsfocus.net/vulndb/37404 綜述:Adobe Reader是PDF文件閱讀軟體。Acrobat是PDF文件編輯軟體。Adobe Acrobat Reader在實現中存在記憶體破壞漏洞，成功利用後可導致任意程式碼執行。 危害:攻擊者可以通過誘使受害者開啟惡意pdf檔案來利用此漏洞，從而控制受害者系統  

3. 2017-08-21 Mozilla Firefox釋放後重利用拒絕服務漏洞（CVE-2017-7806）

NSFOCUS ID: 37441 連結:http://www.nsfocus.net/vulndb/37441 綜述:Mozilla Firefox是一個開源網頁瀏覽器，使用Gecko引擎。Mozilla Firefox呈現特定SVG內容時過早釋放了層管理器，在實現上存在釋放後重利用漏洞。 危害:遠端攻擊者可以通過誘使受害者開啟惡意網頁來利用此漏洞，從而控制受害者系統  

4. 2017-08-14 Apache Tomcat 目錄遍歷漏洞（CVE-2017-7675）

NSFOCUS ID: 37373 連結:http://www.nsfocus.net/vulndb/37373 綜述:Apache Tomcat是一個流行的開源JSP應用伺服器程式。Apache Tomcat 9.0.0.M1-9.0.0.M21、Apache Tomcat 8.5.0-8.5.15版本，在HTTP/2實 現中存在安全限制繞過漏洞。 危害:攻擊者可以通過構造的URL利用此漏洞，繞過安全限制  

5. 2017-08-04 Apple iOS/WatchOS/tvOS/macOS記憶體破壞漏洞(CVE-2017-7026)

NSFOCUS ID: 37304 連結:http://www.nsfocus.net/vulndb/37304 綜述:iOS是由蘋果公司為iPhone開發的作業系統。watchOS是Apple Watch的作業系統。tvOS是AppleTV設計系統，基於iOS。Mac OS是一套運行於蘋果Macintosh系列電腦上的作業系統。Apple iOS、macOS、tvOS、watchOS在"Kernel"元件實現上存在安全漏洞。 危害:攻擊者可以利用此漏洞來對系統進行非授權的訪問  

6. 2017-08-09 Microsoft Windows 遠端程式碼執行漏洞(CVE-2017-8591)

NSFOCUS ID: 37328 連結:http://www.nsfocus.net/vulndb/37328 綜述:Microsoft Windows是流行的計算機作業系統。Windows Input Method Editor (IME)未正確處理記憶體物件，在實現中存在安全漏洞。 危害:遠端攻擊者可以利用這些漏洞控制受害者系統  

7. 2017-07-26 Oracle MySQL Server遠端安全漏洞（CVE-2017-3643）

NSFOCUS ID: 37267 連結:http://www.nsfocus.net/vulndb/37267 綜述:Oracle MySQL Server是一個輕量的關係型資料庫系統。MySQL Server <= 5.7.18版本，在Server: DML元件實現中存在安全漏洞。 危害:遠端攻擊者可以通過向伺服器傳送惡意請求來利用此漏洞，對伺服器進行非授權的訪問  

8. 2017-08-04 Schneider Electric Pro-face GP-Pro EX任意程式碼執行漏洞(CVE-2017-9961)

NSFOCUS ID: 37291 連結:http://www.nsfocus.net/vulndb/37291 綜述:Pro-face GP-Pro EX是Pro-face GP4000, GP4100, GP4000M, LT4000M, LT3000, EZ Series, SP5000 Smart Portal系列產品的開發軟體。GP Pro EX 4.07.000版本在實現上存在不受控制的搜尋路徑元素。 危害:攻擊者可以迫使程序載入任意DLL，並在當前程序中執行任意程式碼  

9. 2017-08-16 SIMPlight SCADA Software DLL載入原生代碼執行漏洞（CVE-2017-9661）

NSFOCUS ID: 37418 連結:http://www.nsfocus.net/vulndb/37418 綜述:SIMPlight SCADA是建築管理系統及自動化裝置軟體。SIMPlight SCADA Software 4.3.0.27及之前版本存在不受控制的搜尋路徑元素漏洞。 危害:攻擊者可以迫使程序載入任意DLL，並在當前程序中執行任意程式碼  

10. 2017-08-21 Bitdefender Total Security許可權提升漏洞（CVE-2017-10950）

NSFOCUS ID: 37449 連結:http://www.nsfocus.net/vulndb/37449 綜述:Bitdefender Total Security是惡意軟體防護軟體。Bitdefender Total Security在bdfwfpf驅動程式處理0x8000E038 IOCTL實現上存在程式碼執行漏洞。 危害:本地攻擊者可以利用此漏洞來提升許可權，對系統進行非授權的訪問。

1.4 DDoS攻擊型別

8月份綠盟科技科技威脅情報及網路安全實驗室收集及梳理了近35541次攻擊，與7月份相比，攻擊次數增大，這個月的攻擊型別分佈來看，NTP重新成為了最主要的攻擊型別. 小提示

• Chargen Flood：Chargen 字元發生器協議（Character Generator Protocol）是一種簡單網路協議，設計的目的是用來除錯TCP 或UDP 協議程式、測量連線的頻寬或進行QoS 的微調等。但這個協議並沒有嚴格的訪問控制和流量控制機制。流量放大程度在不同的作業系統上有所不同。有記錄稱，這種攻擊型別最大放大倍數是358.8倍。
• NTP Flood：又稱NTP Reply Flood Attack，是一種利用網路中時間伺服器的脆弱性（無認證，不等價資料交換，UDP協議），來進行DDoS行為的攻擊型別。有記錄稱，這種攻擊型別最大放大倍數是556.9倍。
• SSDP Flood：智慧裝置普遍採用UPnP（即插即用）協議作為網路通訊協議， 而UPnP裝置的相互發現及感知是通過SSDP協議（簡單服務發現協議）進行的。更多相關資訊，請關注綠盟科技DDoS威脅報告。
• 攻擊者偽造了發現請求，偽裝被害者IP地址向網際網路上大量的智慧裝置發起SSDP請求，結果被害者就收到了大量智慧裝置返回的資料，被攻擊了。有記錄稱，這種攻擊型別最大放大倍數是30.8倍。

二. 博文精選

綠盟科技釋出金融行業安全月刊-201708 隨著國家安全戰略的建立、《中華人民共和國網路安全法》等法律法規的頒佈和實施、監管機構的推動、企業機構自身業務的發展，相信幾乎所有的C Level級別的高管都認同網路安全的重要性和關鍵性。在這些新的形勢下，很多機構的高管們都在思索和探討如何持續改進和完善機構的網路安全治理，本文將根從企業網路安全的視角嘗試提出以下六個建議供機構的高管們做參考。 http://blog.nsfocus.net/nsfocus-finance-monthly-release/   卡巴斯基釋出2017Q2APT趨勢報告 預測Q3APT趨勢 力推私有威脅情報門戶 卡巴斯基近日釋出2017 Q2 APT趨勢報告，報告羅列了Q2重大安全事件，其中提到了針對兩個重大事件WannaCry或Petya，進行了系列深度分析。報告還對Q3 APT趨勢作出預測，包括6個方面。 http://toutiao.secjia.com/kaspersky-2017q2-apt-trends-report   TechWorld2017熱點回顧 | 威脅情報如何驅動新一代智慧安全防護體系 最近“威脅情報”在網路安全界備受關注。什麼是威脅情報呢？簡單來說，威脅情報就是能夠幫助識別安全威脅並作出明智決定的知識。那威脅情報要如何具體實踐呢？ http://blog.nsfocus.net/nsfocus-threat-intelligence-techworld2017/   綠盟科技釋出《2017上半年DDoS與Web應用攻擊態勢報告》 DDoS攻擊和Web應用攻擊是當今網際網路面臨的較為突出的兩大安全威脅。 http://blog.nsfocus.net/2017-mid-year-ddos-web-cybersecurity-threat-report/   （來源：綠盟科技部落格）

三. 安全會議

安全會議是從近期召開的若干資訊保安會議中選出，僅供參考。 DerbyCon 時間：September 20-24, 2017 簡介: DerbyCon is an infosec conference that prides itself on its family feel. That means industry professionals, hobbyists, and people with an interest in security are welcome to attend. 網址：https://www.derbycon.com/   nullcon 時間：September 19th – 22nd 2017. 簡介: This event was launched in 2010 with the intention of providing an “integrated platform for exchanging information on the latest attack vectors, zero day vulnerabilities and unknown threats” (organizers own words). 網址：http://nullcon.net/website/  

聲 明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權宣告等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用於商業目的。

關於綠盟科技

北京神州綠盟資訊保安科技股份有限公司（簡稱綠盟科技）成立於2000年4月，總部位於北京。在國內外設有30多個分支機構，為政府、運營商、金融、能源、網際網路以及教育、醫療等行業使用者，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的安全順暢執行。 基於多年的安全攻防研究，綠盟科技在網路及終端安全、網際網路基礎安全、合規及安全管理等領域，為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。 北京神州綠盟資訊保安科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易，股票簡稱：綠盟科技，股票程式碼：300369。 如果您需要了解更多內容，可以 加入QQ群：570982169 直接詢問：010-68438880

檢視原文：http://blog.nsfocus.net/monthly-report-201708/