安全通报

37 articles

Apache Tomcat 信息泄露漏洞预警及远程代码执行漏洞复现

一、漏洞描述:

2017年9月19日,Apache Tomcat官方 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)

1.1CVE-2017-12616:信息泄露漏洞 

当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

1.2远程代码执行漏洞(CVE-2017-12615

如果Apache Tomcat服务器上启用了HTTP PUT请求[......]

Read more

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春

一、petya事件描述

1.1 漏洞背景

 

在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。

在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后[......]

Read more

Linux版“永恒之蓝”远程代码执行漏洞技术分析

天融信阿尔法实验室 李喆 李闪 姜利晓

 

一、漏洞描述

Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。

攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:

1)系统开启了文件/打印机共享端口445

2)共享文件夹拥有写入权限

3)恶意攻击者需猜解Samba服务端共享目录的物理路径

满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录[......]

Read more

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春

一、 WannaCryptor 是如何传播?

WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。

 

w1

二 Wanna Decryptor 是如何加密一个电脑?

2.1 开始工作
当一款电脑被Wann[......]

Read more

方程式最新Windows远程攻击0day漏洞威胁预警

阿尔法实验室

一、漏洞情况分析

 

于2017414Shadow Brokers泄露出一份机密文档密码为Reeeeeeeeeeeeeee压缩中包含了多个危害极大 Windows 远程漏洞利用工具,可以覆盖全球绝大多数 Windows 系统,只要 Windows 服务器开了1354453389 其中的端口之一,有很大概率可以直接被攻击,目前Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用。

 

二、漏洞影响范围

Windows NT

Windows 2000

Windows XP

Windo[......]

Read more

习近平在419网络安全和信息化工作座谈会上的讲话要点

中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平19日上午在北京主持召开了网络安全和信息化工作座谈会,他首先表示,我国互联网事业快速发展,网络安全和信息化工作扎实推进,取得显著进步和成绩,同时也存在不少短板和问题。召开这次座谈会,就是要当面听取大家意见和建议,共同探讨一些措施和办法,以利于我们把工作做得更好。

在听取了十位代表的发言之后,习近平做了总结发言,以下是个人梳理的10个要点:

1.     中国互联网大有可为

我国有7亿网民,这是一个了不起的数字,也是一个了不起的成就。我国经济发展进入新常态,新常态要有新动力,互联网在这方面可以大有作为。[......]

Read more

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fa[......]

Read more

天融信获得CNVD漏洞报送突出贡献单位荣誉称号

国家信息安全漏洞共享平台(CNVD)网站消息,北京天融信网络安全技术有限公司等8家技术支撑成员单位获得2015年度漏洞报送突出贡献单位的光荣称号。以下是奖牌图片
topsec_vul_2015

这个评选活动是两年举办一次,在前次活动中,天融信公司也获得了同样的荣誉:
topsec_vul_2013-1

天融信继两年前获得“漏洞报送突出贡献单位”称号后再次蝉联,这是CNVD对天融信在公开漏洞信息的收集能力和积极报送态度
的肯定。

2015年第52周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞62个,其中高危漏洞24个,中危漏洞36个,低危漏洞2个。漏洞数与前一周环比减少了58.7.0%,与去年同比减少了53%;
  • 本周记录了思科公司发布的多个漏洞,涉及的产品有IOS XE、无线路由器、FireSIGHT管理中心、Prime 控制器等,漏洞类型主要是代码执行、信息泄露、安全机制绕过、拒绝服务等,在本周增加的漏洞数量中,按公司累计排名,思科公司最新发布的漏洞数量位居第一;还记录了Adobe公司的产品Acrobat Reader的一个基于堆的缓冲区溢出漏洞;另外还记录了IBM、EMC、Xen、Motorola、SAP等公[......]

Read more

2015年第51周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞150个,其中高危漏洞47个,中危漏洞98个,低危漏洞5个。漏洞数与前一周环比增加了22.0%,与去年同比增加了33.9%;
  • 本周记录了苹果公司发布的多个漏洞,涉及的产品有iOS、OS X、Xcode,漏洞类型主要是代码执行、安全机制绕过、权限提升、拒绝服务等,在本周增加的漏洞数量中,按公司累计排名,苹果公司最新发布的漏洞数量位居第一;还记录了Adobe公司的产品Flash Player的多个漏洞,漏洞类型主要是拒绝服务、缓冲区溢出漏洞、代码执行等;也继续记录了思科公司的多个漏洞,其中的一个“多款Cisco产品ACC库 Jav[......]

Read more