2017年重大网站安全漏洞

声明

本文是学习2017中国网站安全形势分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

2017年重大网站安全漏洞

CVE-2017-3248 ：WebLogic 远程代码执行

2017年1月27日，WebLogic官方发布了一个编号为CVE-2017-3248 的漏洞。分析之前WebLogic漏洞CVE-2015-4852的补丁，发现WebLogic采用黑名单的方式过滤危险的反序列化类，但是这种修复方式很被动，存在被绕过的风险，只要发现可用并且未在黑名单之外的反序列化类，那么之前的防护就会被打破，系统就会遭受攻击。这次发布的CVE-2017-3248 就是利用了黑名单之外的反序列化类，通过JRMP协议达到执行任意反序列化payload。该漏洞影响WebLogic 10.3.6.0，12.1.3.0，12.2.1.0，12.2.1.1多个版本，并且官方仍未发布针对该漏洞的补丁，所以危害巨大。

CVE-2017-5638 ：Struts2 远程代码执行（S2-045）

2017年3月7日，该漏洞是Apache strut2 最新的一个漏洞，CVE编号CVE-2017-5638.（基于 Jakarta plugin插件的Struts远程代码执行漏洞），该漏洞会造成RCE远程代码执行，恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令，可直接造成系统被控制。黑客通过Jakarta 文件上传插件实现远程利用该漏洞执行代码。

（远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。）

CVE-2017-5638 ：Struts2 远程代码执行（S2-046）

2017年3月21日，安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞（S2-046），与S2-045影响范围及组件完全相同，在上次的漏洞中升级过的Struts2组件不受影响。Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。当上传文件的大小（由Content-Length头指定）大于Struts2允许的最大大小（2GB）或是在文件名内容构造恶意的OGNL内容时，Content-Disposition请求中含有空字节，就可能会造成远程命令执行，导致系统被入侵。Struts2 的使用范围及其广泛，国内外均有大量厂商使用该框架，因此，该漏洞被安全服务团队风险评级为：严重。

CVE-2017-3531 ：WebLogic远程代码执行

2017年4月18日，Oracle融合中间件（子组件：Servlet运行时）的Oracle WebLogic Server组件中的漏洞。受影响的受支持版本是12.1.3.0，12.2.1.0，12.2.1.1和12.2.1.2。轻松“可利用”漏洞允许未经身份验证的攻击者通过HTTP访问网络，从而危害Oracle WebLogic Server。虽然此漏洞位于Oracle WebLogic Server中，但攻击可能会对其他产品产生重大影响。此漏洞的成功攻击可能会导致未经授权的更新，插入或删除对部分Oracle WebLogic Server可访问数据的访问，以及未经授权的导致部分拒绝服务（部分DOS）的Oracle WebLogic Server。CVSS 3.0基本评分7.2（完整性和可用性影响）。CVSS向量：（CVSS：3.0 / AV：N / AC：L / PR：N / UI：N / S：C / C：N / I：L / A：L）。

CVE-2017-1000353 ：Jenkins远程代码执行

2017年5月1日，Jenkins的反序列化漏洞，攻击者使用该漏洞可以在被攻击服务器执行任意代码，漏洞利用不需要任何的权限。Jenkins是一款持续集成（continuous integration）与持续交付（continuous delivery）系统，可以提高软件研发流程中非人工参与部分的自动化处理效率。作为一个基于服务器的系统，Jenkins运行在servlet容器（如Apache Tomcat）中，支持版本控制工具（包括AccuRev、CVS、Subversion、Git、Mercurial、Perforce、Clearcase以及RTC），能够执行基于Apache Ant、Apache Maven以及sbt的工程，也支持shell脚本和Windows批处理命令。

该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中，Jenkins利用此通道来接收命令，恶意攻击者可以构造恶意攻击参数远程执行命令，从而获取系统权限，造成数据泄露。

CVE-2017-9791 ：Struts2远程代码执行（S2-048）

北京时间2017年7月7日apache官方发布通告，在Struts2框架中存在漏洞代号为S2-048（CVE-2017-9791）的远程命令攻击漏洞。Apache Struts2是一种国内使用非常广泛的Web应用开发框架，被大量的Web网站所使用。当Struts 2中的 Struts 1插件（默认不启用）启用的情况下，攻击者通过使用恶意字段值可能造成远程命令执行。这些不可信的输入数据被带入到ActionMessage类中的错误信息中，通过构建不可信的输入实现远程命令执行，被评价为高危漏洞。

CVE-2017-9822 ：DotNetNuke远程代码执行

2017年8月2日，DNN 安全板块发布了一个编号 CVE-2017-9822 的严重漏洞，DNNPersonalization 是一个在 DNN 中是用于存放未登录用户的个人数据的 Cookie，该 Cookie 可以被攻击者修改从而实现对服务器任意文件上传，远程代码执行等攻击。漏洞报告者 Alvaro Muñoz和 OleksandrMirosh 在 BlackHat USA 2017 上披露了其中的一些细节。据称，全球有超过75万的用户在使用DNN来搭建他们的网站，影响范围很大。奇安信 CERT跟进分析了该漏洞及其使用 XmlSerializer 进行序列化/反序列化的攻击利用场景，确认为严重漏洞。

CVE-2017-9805 ：Struts2远程代码执行（S2-052）

2017年9月5日，千疮百孔的 Struts2 应用又曝出存在新的高危远程代码执行漏洞。该漏洞由lgtm.com的安全研究员汇报，编号为 CVE-2017-9805 ，漏洞危害程度为高危（Critical）。当用户使用带有 XStream 程序的 Struts REST 插件来处理 XML payloads 时，可能会遭到远程代码执行攻击。漏洞存在于非默认的插件中，首先确认应用是否使用了REST插件，如果没有使用，则不受此次漏洞影响。如果 WEB 应用的 WEB-INF/lib 目录下存在以“struts2-rest-plugin”开头的jar文件，且文件名不是“struts2-rest-plugin-2.5.13.jar”或者 “struts2-rest-plugin-2.3.34.jar”，则有可能存在漏洞。目前漏洞相关的技术细节和利用代码已经公开，漏洞极有可能被积极利用获取对用户系统的控制，需要引起高度注意。

CVE-2017-10366 ：PeopleSoft远程代码执行

据2017年10月19日报道，该漏洞（CVE-2017-10366）允许攻击者在运行PeopleSoft软件的服务器上获得远程代码执行。ERPScan的研究人员说，这个缺陷是核心引擎，意味着PeopleSoft产品的多种风格可能会受到影响。

此漏洞可以通过向PeopleSoft服务器发送不合法的HTTP请求和构造一个反序列化的Java对象来执行远程代码攻击，任何把PeopleSoft系统暴露在外网上的公司都有可能受到影响。值得注意的是，相较于PeopleSoft的4月的16个补丁和7月的7个补丁，在本月Oracle发布的252个补丁中，有30个属于PeopleSoft。截止到10月，今年发布的PeopleSoft补丁已经有76个，相比2016年的44个和2015年的29个，补丁的数量有所上涨。

CVE-2017-11283 ：Adobe ColdFusion远程代码执行

据2017年10月19日报道，Adobe ColdFusion 在 2017 年 9 月 12 日发布的安全更新中提及到之前版本中存在严重的反序列化漏洞（CVE-2017-11283, CVE-2017-11284），可导致远程代码执行。当使用 Flex 集成服务开启 Remote Adobe LiveCycle Data Management access 的情况下可能受到该漏洞的影响，使用该功能会开启 RMI 服务，监听的端口为 1099。ColdFusion 自带的 Java 版本过低，不会在反序列化之前对 RMI 请求中的对象类型进行检验。

奇安信CERT 经过分析验证，确认该漏洞确实存在，请相关用户尽快进行更新处理。

2017年威胁网站安全的典型病毒

暗云Ⅲ

2017年6月12日，臭名昭著的暗云Ⅲ病毒再次卷土重来，在全国范围内发起网络攻击。暗云Ⅲ木马的恶意程序，伪装成“赤月传说”、“传奇霸业”等游戏微端进行补丁修复，通过各大下载站的下载器等各种传播渠道进行海量推广。暗云系列木马异常狡猾，此次突然爆发有很大可能会引发牵连范围极广的DDoS攻击。专家建议，除了安装安全软件，还要保持良好的上网习惯，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件；定期在不同的存储介质上备份信息系统业务和个人数据。

Xshell后门

2017年8月4日Xshell开发公司NetSarang与卡巴斯基工程师发现Xshell软件中存在后门。恶意攻击者利用该后门可窃取用户服务器账号密码等信息，进一步可致整个服务器被攻击。在软件的开发阶段，程序员常常会在软件内创建后门程序，以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或者在发布软件之前没有删除后门程序，容易被不法分子当成漏洞进行攻击，用户们的服务器会面临严重的威胁。此次黑客似乎入侵了Xshell相关开发人员的电脑，在源码植入后门，导致官方版本也受到影响。并且由于dll文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。

IoT_reaper 僵尸网络

2017年9月，奇安信集团研究人员首次发现IoT僵尸网络，命名为“IoT_reaper”。这款恶意软件不在依赖于破解弱口令，而是利用各种IoT设备中的漏洞进行攻击，并将其纳入僵尸网络。同时，CheckPoint的研究人员也警告了这个IoT僵尸网络，他们取名为“IoTroop”，它已经感染了数十万个公司组织。根据CheckPoint的观点，IoTroop恶意软件还利用了GoAhead，D-Link，TP-Link，AVTECH，Linksys，Synology等无线网络摄像机设备中的漏洞。

BrickerBot恶意软件

8月3日，印度多地发生网络攻击事件，影响了Bharat Sanchar Nigam Limited（BSNL）和Mahanagar Telephone Nigam Limited（MTNL）这两家印度国有电信服务提供商的机房内的调制调解器以及用户的路由器，事件导致印度东北部、北部和南部地区调制调解器丢失网络连接，预计6万台调制调解器掉线，影响了45%的宽带连接。

BrickerBot是一款影响Linux物联网和联网设备的恶意软件。与其它囤积设备组成僵尸网络实施DDoS攻击等恶意软件不同的是，BrickerBot重写Flash存储，使物联网设备变“砖”。大多数情况下，“砖化”效应可以逆转，但在某些情况下却会造成永久性的破坏。BSNL几万台调制调解器使用了不受保护的TR069（TR064）接口，允许任何人重新配置设备实施中间人攻击或DNS劫持。BSNL和MTNL遭遇这起网络攻击的原因，还在于这两大ISP允许他人通过7547端口连接到它们的网络。

Satori僵尸网络

2017月12月5日，奇安信集团研究人员首先发现Satori僵尸网络，Satori是mirai的变种，同样针对物联网设备，尤其以某品牌家用路由器为主。

Satori的bot（僵尸程序）不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入，而是自身有了扫描能力，类似蠕虫的传播行为；另外，bot中增加了两个新的漏洞利用，分别工作在端口37215和52869上，在过去的12个小时里，26.3万个不同的IP在扫描端口37215，以及1.9万个IP在扫描端口52869，成为史上传播速度最快的僵尸网络。

挖矿木马

挖矿木马是2017年非常流行的一种针对网络服务器进行攻击的木马程序，此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器，并控制服务器的系统资源，用于计算和挖掘特定的虚拟货币。由于挖矿木马对的CPU率一般为100%，因此，服务器感染挖矿木马后最明显的现象，就是服务器响应非常缓慢，出现各种运行异常。如果挖矿木马攻击的整个云服务平台，则平台上所有网站和服务系统都会受到严重影响。

延伸阅读

更多内容 可以 2017中国网站安全形势分析报告. 进一步学习

联系我们

T-HNCIA T-CSBX0001—2019 生活美容机构基本条件与等级评定规范.pdf