360网络安全周报第181期

安全资讯

CVE-2018-8495漏洞是攻击者利用Edge的多个漏洞,通过滥用定制的URI方案实现远程代码执行。
对于美国来说,物联网的发展已经成为其国内科技与经济发展的重要一环。《IoT设备网络安全法》于2018年9月28日由加州州长批准,并将于2020年1月1日起实施生效。
360代码卫士团队推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。
不要让你的电子邮箱被钓鱼邮件攻击;至少3千5百万投票数据在黑客论坛上被出售;FaceBook不会为近期因为数据泄露的受害者提供账户保护。
日前,彭博社报道称美国超微公司生产的服务器主板上被发现了不足米粒大小的芯片,这个芯片的功能被人改变,以此建立一条攻击通道,该问题涉及亚马逊、苹果等30家美国高科技公司。
EOS 的合约可以通过 require_recipient 触发调用其他合约,设计这样的机制给合约的开发者提供了很大的便利性, 但是也带了新的问题。
2018年10月12日,白帽汇安全研究院监测到网络上出现了最新雄迈云XMeye P2P云服务器出现内置硬编码账户漏洞。
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。
GandCrab Devs为叙利亚受害者释放解密钥匙;第三方供应商遭攻击,五角大楼泄露3万雇员和服务人员信息。
2018年10月中旬,白帽汇安全研究院监测到网络上出现了Teltonika路由器远程命令执行漏洞。该漏洞是由于RUT9XX路由器设备中某些文件存在接受外部输入的参数。
2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题
近期360代码卫士团队安全研究员发现Oracle公司旗下产品Oracle WebLogic Server的多个高危安全漏洞(CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252),并第一时间向Oracle公司报告协助其修复漏洞。
Web应用程序上的客户端注入;VestaCP在供应链攻击中受到攻击;Apache Access漏洞可能会影响数以千计的应用程序。
Drupal于17日发布安全更新SA-CORE-2018-006,修复了5个安全漏洞,其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。
由信息泄露事件引发的矛盾一步步将企业推入信任危机的漩涡,而对于被泄露的信息来说,这个故事才刚刚开始。
Github是互联网从业者钟爱的技jiao术you社区,里面也聚集了大量的安全爱好者。而就在前几日,Github发布了2018年度的统计报告,来一起看看今年都有哪些变化吧~

安全知识

从零开始分析struts2代码执行exp,其中不但包括了struts2自己设置的防护机制绕过,还有ognl防护绕过。
针对近期出现的关于WiFi的安全资讯,对与其相关的技术进行科普讲解。
在过去的4年中,对微软活动目录(Microsoft Active Directory)的攻击一直都是Black Hat和Defcon会议关注的一大重点。演讲者们不断讲解新的攻击角度,分享他们的发现,同时也提出检测方法和防御方案。
国庆节的时候,Git爆了一个RCE的漏洞,放假回来进行应急,因为公开的相关资料比较少,挺头大的,搞了两天,RCE成功了。
MuddyWater是一个相对新型的APT,在2017年进入我们的视线。根据过去的持续监测,该APT起初主要针对于伊拉克和沙特阿拉伯的政府部门。
Dice2win是以太坊上异常火爆的区块链博彩游戏。号称“可证明公平的”Dice2win每日有近千以太下注额,总交易量仅次于etheroll。然而我们分析发现dice2win中所有游戏都存在漏洞,庄家可以操纵结果。
白帽汇监测到网络上出现了最新MetInfo的sql注入漏洞。该漏洞是由于攻击者可以绕过MetInfo的过滤sql注入恶意代码的函数,使得攻击者在前台就可以通过index.php页面的参数id进行SQL注入,并且直接获得管理员数据,接管整个CMS。
MikroTik是一家拉脱维亚公司生产的路由器和ISP无线系统,在过去几个月中,该产品一直在应对其操作系统存在的数个安全漏洞。通过最新的攻击方法,被感染的路由器可以向用户展示一个虚假的浏览器更新页面。
上周二,发出了文章后,收到了不少小伙伴的反馈,很多问题点上进行了进一步的探讨,还有拿具体漏洞来一起进一步解读DREAD模型的应用的。根据一周的收集,挑选了一些意见建议,并且反馈如下。
每逢节假日,各种木马病毒都习惯性蹭热点刷存在感。在临近国庆假期之际,360核心安全监测到木马病毒的传播又活跃起来了,有款远控木马试图借用 “网易”官方签名躲避查杀大肆传播。
国庆期间得知了美国CMU主办的picoCTF比赛,出于最近做题的手感有所下降,借此比赛来复习下PWN相关的题型(题目的质量不错,而且题型很广,自我感觉相当棒的比赛)
本文为对CVE-2018-17182漏洞的详细分析。
在过去的两年中,我们持续在监测一个针对中亚用户和外交实体的网络间谍活动,该活动使用的语言为俄文。我们将这一恶意活动背后的组织命名为DustSquad。
思科Talos团队最近发现了一款新的恶意软件,该软件会释放名为“Agent Tesla”的信息窃取木马以及另一款恶意软件Loki(这也是款信息窃取木马)。
随着移动通信网络的发展和智能手机的普及,手机逐渐取代PC成为人们日常计算和通信的主要工具,从早期的GSM网络开始,就出现了一些针对手机或者是通信网络的安全研究及实际攻击案例。
在本文中,我们将深入研究该缺陷在Windows上的利用过程,介绍Java Usage Tracker的工作原理,给出了利用该漏洞所需满足的条件。
几年前,我参与了一系列企业欺骗方案的开发和测试(从红队视角出发),大概持续几个月时间。2018年年初,在一次活动目录课程中,有个学生向我咨询,希望我能测试他们正在评估的3种欺骗产品。
北京时间10月17日,Oracle官方发布的10月关键补丁更新CPU(Critical Patch Update)中修复了一个高危的WebLogic远程代码执行漏洞(CVE-2018-3191)。
VestaCP是一个托管服务控制面板解决方案,最近几个月内,VestaCP的许多用户收到了服务商的警告,表明他们服务器的带宽使用量出现异常。现在我们知道这些服务器实际上被攻击者用来发起DDoS攻击。
近日,在BlackHat 2018大会上公布了一种针对PHP应用程序的全新攻击技术。利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了php反序列化漏洞的攻击面。
本文受 CVE-2018-8495 漏洞的启发,以学习的目的,针对 PC 端 url scheme 的安全问题进行了分析研究。

安全活动

360网络安全学院将于10月20日在360总部大厦举办“十月|技术最前沿 360攻防之道”10月训练营活动,针对网络安全爱好者以及相关从业者,为其提供一个能力提升、知识进阶的平台。
本LIVE通过总结两个真实的线上项目的几个不同方案(专家策略、机器学习、深度学习),并在误漏报、性能、开发成本等方面进行横向对比,来说明AI相比传统方案而言,它的优势在哪里,适用场景有哪些,劣势又在何处。
 全球安全研究人员每年必参加,全球影响力排名前三、长期活跃于欧洲和亚太地区的安全技术峰会——HITB,将首次进入中国,落地北京!
MiSRC双倍积分活动来了!10月15日~10月31日成功提交在指定范围的漏洞将会获得双倍积分奖励!完成特制大奖任务还会获得50000元大奖!
作为全球首个关注智能生活的安全极客大赛,GeekPwn始终深耕人工智能安全领域,致力于寻找AI潜藏的风险并不断帮助其完善,并协助AI进行安全性的预演分析,助力AI安全健康成长。
免费聆听大咖解析信息安全主流技能的机会来了。零距离接触信息安全行业高级金牌讲师、甲方持证从业者代表、乙方持证从业者代表、高校应届生持证代表,一起探讨分享当下信息安全从业者必备技能、职业发展路径。
作为全球首个关注智能生活的安全极客大赛,GeekPwn始终深耕人工智能安全领域,致力于寻找AI潜藏的风险并不断帮助其完善,并协助AI进行安全性的预演分析,助力AI安全健康成长。