绿盟科技互联网安全威胁周报NSFOCUS -2019-26

截止到2019年6月28日，绿盟科技漏洞库已收录总条目达到43617条。本周新增漏洞记录48条，其中高危漏洞数量30条，中危漏洞数量18条，低危漏洞数量0条。

在5.1.1之前的Linux内核中，arch / powerpc / mm / mmu_context_book3s64.c对于powerpc有一个错误，在这种情况下，不相关的进程可以通过512 TB以上的mmap在某些条件下读/写彼此的虚拟内存。本地攻击者可以利用此问题获得提升的权限。目前厂商还没有提供补丁程序

文章目录

焦点漏洞

Linux Kernel本地权限提升漏洞
- CVE ID
  - CVE-2019-12817
- NSFOCUS ID
  - 43549
- 受影响版本
  - Linux kernel 4.17.7
  - Linux kernel 4.17.4
  - Linux kernel 4.17.3
  - Linux kernel 4.17.2
  - Linux kernel 4.17.11
  - Linux kernel 4.17.10
  - Linux kernel 4.17.1
  - Linux kernel 4.17-rc2
  - Linux kernel 4.17
  - RedHat Enterprise Linux 8
- 漏洞点评
  - Linux内核（英语：Linux kernel）是一种开源的类Unix操作系统宏内核。整个Linux操作系统家族基于该内核部署在传统计算机平台（如个人计算机和服务器，以Linux发行版的形式）和各种嵌入式平台，如路由器、无线接入点、专用小交换机、机顶盒、FTA接收器、智能电视、数字视频录像机、网络附加存储（NAS）等。在5.1.1之前的Linux内核中，arch / powerpc / mm / mmu_context_book3s64.c对于powerpc有一个错误，在这种情况下，不相关的进程可以通过512 TB以上的mmap在某些条件下读/写彼此的虚拟内存。本地攻击者可以利用此问题获得提升的权限。目前厂商还没有提供补丁程序，请到厂商的相关页面以获取最新版本。

（数据来源：绿盟威胁情报中心）

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比基本持平。

1.2 威胁信息回顾

标题：新Mac恶意软件利用GateKeeper绕过Apple未修补的Bug
- 时间：2019-06-25
- 简介：苹果公司的macOS Gatekeeper安全功能详细信息以及上个月末公开披露的PoC可能会主动利用未修补的安全漏洞。Intego团队上周在VirusTotal 上发现了四个新的macOS恶意软件样本，利用GateKeeper绕过漏洞在macOS上执行不受信任的代码，而不向用户显示任何警告或要求他们明确许可。
- 链接：https://thehackernews.com/2019/06/macos-malware-gatekeeper.html
标题：WebSphere远程代码执行漏洞（CVE-2019-4279）
- 时间：2019-06-26
- 简介：5月16日，IBM官方针对WebSphere Application Server Network Deployment产品发布安全通告，通告指出该产品中存在远程代码执行漏洞，攻击者可发送精心构造的序列化对象到服务器，最终导致在服务器上执行任意代码。WebSphere应用范围较广，利用该漏洞攻击者可远程执行代码，危害等级高。
- 链接：http://blog.nsfocus.net/cve-2019-4279/
标题：Microsoft在OneDrive云存储中添加受2FA保护的“个人保管库”
- 时间：2019-06-26
- 简介：Microsoft在其OneDrive在线文件存储服务中引入了一个新的受密码保护的文件夹，该服务允许您通过额外的身份验证层保护敏感和重要文件并使其受到保护。被称为个人保险箱的新OneDrive文件夹只能通过额外的身份验证步骤访问，例如您的指纹，面部，PIN或通过电子邮件或短信发送给您的双因素身份验证代码。
- 链接：https://thehackernews.com/2019/06/microsoft-onedrive-personal-vault.html
标题：Cloud Hopper的运营覆盖了全球8家最大的IT服务提供商
- 时间：2019-06-28
- 简介：APT10（又名Menupass和Stone Panda）是来自中国的威胁组织，自2009年开始活跃，主要针对医疗保健、国防、航空航天和政府部门。该组织2017年发起的活动被称为“Cloud Hopper”，针对全球多个国家的托管服务提供商（MSP），包括IBM、HPE、Tata CS、富士通和NTT等。
- 链接：https://securityaffairs.co/wordpress/87691/apt/cloud-hopper-service-providers.html
标题：Slack性能下降导致全球范围的宕机
- 时间：2019-06-28
- 简介：Slack团队协作和即时消息平台目前正在经历全球范围的宕机，原因是性能下降问题影响了来自世界各地的用户，多个服务正在宕机。
- 链接：https://www.bleepingcomputer.com/news/security/slack-is-experiencing-worldwide-outage-degraded-performance/
标题：MongoDB泄露了数以百万计的医疗保险记录
- 时间：2019-06-28
- 简介：一个属于保险营销网站MedicareSupplement.com的在线数据库被发现暴露了超过500万条记录的个人信息。这些数据包括姓名、地址、IP地址、电子邮件地址、出生日期和性别。还包括一系列针对客户的营销相关信息，包括潜在客户持续时间和点击次数；大约239,000条记录还表明了客户的保险利益区域，例如，医疗保险（即癌症保险）、寿险、汽车和补充保险。
- 链接：https://threatpost.com/mongodb-leak-exposed-millions-of-medical-insurance-records/146125/
标题：Windows 10 1903更新错误,导致RASMAN服务挂起
- 时间：2019-06-30
- 简介：微软证实，Windows 2019年5月10日的更新(1903版)可能会破坏某些设备上的远程访问连接管理器(RASMAN)服务。这个漏洞正在攻击安装了KB4497935更新的1903年Windows 10版本。根据更新的变更日志，(RASMAN)服务可能停止工作，管理员或用户将收到一个错误“0xc0000005”。当计算机被手动配置为非默认的遥测设置0时，就会出现此错误。
- 链接：https://www.bleepingcomputer.com/news/microsoft/windows-10-1903-update-bug-causes-rasman-service-to-hang/
标题：EA游戏中的登录漏洞暴露了3亿游戏玩家的账户
- 时间：2019-06-27
- 简介：专家发现EA Games登录过程中的安全漏洞可能允许攻击者接管EA游戏玩家的账户并窃取敏感数据。超过3亿玩家处于危险之中，被盗游戏凭证是一种有价值的商品在地下的网络商城进行非法交易。为了劫持游戏玩家的EA帐户，攻击者必须将这些漏洞链接起来并欺骗受害者从EA Games网站打开官方网页。
- 链接：https://securityaffairs.co/wordpress/87636/hacking/ea-games-hacking.html
标题：新的漏洞利用工具包Spelevo针对企业用户
- 时间：2019-06-27
- 简介：最近命名为Spelevo的一个新的漏洞利用工具包针对某类受害者并用两个银行木马感染计算机系统。这些基于浏览器的威胁首选最新的漏洞是Internet Explorer的CVE-2018-8174和Flash的CVE-2018-15982和CVE-2018-4878。
- 链接：https://www.bleepingcomputer.com/news/security/new-exploit-kit-spelevo-carries-bag-of-old-tricks/
标题： ViceLeaker针对中东的移动设备间谍活动
- 时间：2019-06-26
- 简介：在2018年5月卡巴斯基发现了针对以色列公民的数十种移动Android设备的攻击活动。攻击者使用合法的程序加载后门程序，使用了Smali注入技术，捕获的间谍软件功能丰富，包括SMS消息，呼叫日志、窃取数据、上传，下载，删除文件，摄像头接管和录制周边环境音频的功能。间谍软件使用HTTP与C2服务器进行通信，以及进行命令处理和数据传输。
- 链接：https://securelist.com/fanning-the-flames-viceleaker-operation/90877/

（数据来源：绿盟科技威胁情报中心收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2019年6月28日，绿盟科技漏洞库已收录总条目达到43617条。本周新增漏洞记录48条，其中高危漏洞数量30条，中危漏洞数量18条，低危漏洞数量0条。

Linux Kernel本地权限提升漏洞（CVE-2019-12817）
- 危险等级:高
- BID:43549
- cve编号:CVE-2019-12817
多个思科产品拒绝服务漏洞（CVE-2019-1845）
- 危险等级:高
- BID:43548
- cve编号:CVE-2019-1845
Jenkins不完整修复未授权访问漏洞（CVE-2019-1003049）
- 危险等级:高
- BID:43547
- cve编号:CVE-2019-1003049
Apple Texture信息泄露服务漏洞（CVE-2019-8632）
- 危险等级:中
- BID:43546
- cve编号:CVE-2019-3883
IBM API Connect未明任意文件下载漏洞（CVE-2019-4203 ）
- 危险等级:高
- BID:43545
- cve编号:CVE-2019-4203
389目录服务器远程拒绝服务漏洞（CVE-2019-3883）
- 危险等级:高
- BID:43544
- cve编号:CVE-2019-3883
Linux Kernel 本地信息泄露漏洞（CVE-2018-20509）
- 危险等级:中
- BID:43543
- cve编号:CVE-2018-20509
cURL本地代码注入漏洞（CVE-2019-5443）
- 危险等级:中
- BID:43542
- cve编号:CVE-2019-5443
HP Support Assistant多个未明本地权限提升漏洞（CVE-2019-6328/CVE-2019-6329）
- 危险等级:高
- BID:43541
- cve编号:CVE-2019-6328/CVE-2019-6329
Samba 远程拒绝服务漏洞（CVE-2019-12435）
- 危险等级:中
- BID:43540
- cve编号:CVE-2019-12435
Samba 远程拒绝服务漏洞（CVE-2019-12436）
- 危险等级:中
- BID:43539
- cve编号:CVE-2019-12436
IBM API Connect命令注入漏洞（CVE-2019-4202）
- 危险等级:高
- BID:43538
- cve编号:CVE-2019-4202
IBM WebSphere MQ信息泄露漏洞（CVE-2018-1925）
- 危险等级:中
- BID:43537
- cve编号:CVE-2018-1925
Microsoft Team Foundation Server 跨站脚本执行漏洞（CVE-2019-0870）
- 危险等级:中
- BID:43536
- cve编号:CVE-2019-0870
McAfee多个产品信息泄露漏洞（CVE-2019-3612）
- 危险等级:中
- BID:43535
- cve编号:CVE-2019-3612
IBM Cognos Analytics目录遍历漏洞（CVE-2019-4178）
- 危险等级:高
- BID:43534
- cve编号:CVE-2019-4178
SAP Netweaver ABAP XML外部实体注入漏洞（CVE-2019-0265）
- 危险等级:中
- BID:43533
- cve编号:CVE-2019-0265
Citrix SD-WAN Center命令注入漏洞（CVE-2019-10883）
- 危险等级:高
- BID:43532
- cve编号:CVE-2019-10883
IBM Cognos Analytics目录遍历漏洞（CVE-2019-4178）
- 危险等级:高
- BID:43531
- cve编号:CVE-2019-4178
Intel NUC本地安全漏洞（CVE-2019-0163）
- 危险等级:高
- BID:43530
- cve编号:CVE-2019-0163
McAfee多个产品信息泄露漏洞（CVE-2019-3612）
- 危险等级:中
- BID:43529
- cve编号:CVE-2019-3612
IBM多个产品跨站请求伪造漏洞（CVE-2018-2000）
- 危险等级:高
- BID:43575
- cve编号:CVE-2018-2000
Microsoft Edge信息泄露漏洞（CVE-2019-0833）
- 危险等级:高
- BID:43574
- cve编号:CVE-2019-0833
Microsoft Windows JET数据库引擎远程代码执行漏洞（CVE-2019-0851）
- 危险等级:高
- BID:43573
- cve编号:CVE-2019-0851
Google 安卓高通组件多个安全漏洞（CVE-2017-15818/CVE-2018-11995/CVE-2018-11905）
- 危险等级:高
- BID:43572
- cve编号:CVE-2017-15818/CVE-2018-11995/CVE-2018-11905
Microsoft Windows图形组件远程代码执行漏洞（CVE-2019-0822 ）
- 危险等级:高
- BID:43571
- cve编号:CVE-2019-0822
Microsoft ASP.NET Core拒绝服务漏洞（CVE-2019-0815）
- 危险等级:高
- BID:43570
- cve编号:CVE-2019-0815
Microsoft Windows MS XML远程代码执行漏洞（CVE-2019-0790）
- 危险等级:高
- BID:43569
- cve编号:CVE-2019-0790
IBM多个业务产品安全绕过漏洞（CVE-2019-4045）
- 危险等级:中
- BID:43568
- cve编号:CVE-2019-4045
IBM多个业务产品拒绝信息泄露漏洞（CVE-2018-1999）
- 危险等级:中
- BID:43567
- cve编号:CVE-2018-1999
IBM多个业务产品拒绝服务漏洞（CVE-2018-1997）
- 危险等级:中
- BID:43566
- cve编号:CVE-2018-1997
Linux内核本地拒绝服务漏洞（CVE-2019-3887）
- 危险等级:中
- BID:43565
- cve编号:CVE-2019-3887
GraphicsMagick ‘coders/mat.c’堆缓冲区溢出漏洞（CVE-2019-11506）
- 危险等级:高
- BID:43564
- cve编号:CVE-2019-11506
Microsoft Internet Explorer脚本引擎信息泄露漏洞（CVE-2019-0835）
- 危险等级:中
- BID:43563
- cve编号:CVE-2019-0835
Microsoft Windows VBScript 引擎远程代码执行漏洞（CVE-2019-0842）
- 危险等级:高
- BID:43562
- cve编号:CVE-2019-0842
Cisco IOS XE软件拒绝服务漏洞（CVE-2018-0470）
- 危险等级:高
- BID:43560
- cve编号:CVE-2018-0470
Samba本地不安全文件权限漏洞（CVE-2019-3870）
- 危险等级:中
- BID:43559
- cve编号:CVE-2019-3870
Symantec端点加密本地权限提升漏洞（CVE-2019-9694）
- 危险等级:高
- BID:43558
- cve编号:CVE-2019-9694
Cisco IOS和IOS XE软件拒绝服务漏洞（CVE-2018-0466）
- 危险等级:中
- BID:43557
- cve编号:CVE-2018-0466
思科多个产品拒绝服务漏洞（CVE-2018-0472）
- 危险等级:高
- BID:43556
- cve编号:CVE-2018-0472
Microsoft Windows GDI组件信息泄露漏洞（CVE-2019-0849）
- 危险等级:高
- BID:43555
- cve编号:CVE-2019-0849
Microsoft Office访问连接引擎远程代码执行漏洞（CVE-2019-0823）
- 危险等级:高
- BID:43554
- cve编号:CVE-2019-0823
Microsoft Windows JET数据库引擎远程代码执行漏洞（CVE-2019-0877）
- 危险等级:高
- BID:43553
- cve编号:CVE-2019-0877
Microsoft Windows管理中心权限提升漏洞（CVE-2019-0813）
- 危险等级:高
- BID:43552
- cve编号:CVE-2019-0813
Pivotal Spring Data JPA信息泄露漏洞（CVE-2019-3797）
- 危险等级:中
- BID:43551
- cve编号:CVE-2019-3797
AutoMobility Distribution MyCar Controls安全绕过漏洞（CVE-2019-9493）
- 危险等级:高
- BID:43550
- cve编号:CVE-2019-9493
Microsoft Edge Chakra脚本引擎远程内存破坏漏洞（CVE-2019-0810）
- 危险等级:高
- BID:43528
- cve编号:CVE-2019-0810
Microsoft Windows LUAFV驱动本地权限提升漏洞（CVE-2019-0731）
- 危险等级:高
- BID:43527
- cve编号:CVE-2019-0731