公告资讯

  • 【漏洞预警】Windows RDP 远程代码执行高危漏洞(CVE-2019-0708)利用代码公布

    【漏洞预警】Windows RDP 远程代码执行高危漏洞(CVE-2019-0708)利用代码公布2019年9月6日,华云数据安全中心监测到metasploit-framework在github空间披露CVE-2019-0708可远程命令执行利用代码,利用此EXP代码,可以在目标系统上执行任意命令。甚至传播恶意蠕虫,感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。风险极大。2019.5.15 华云已发布该漏洞预警公告,华云再次提醒windows相关用户尽快采取安全措施阻止漏洞攻击。详情:https://docs.chinac.com/notice/warning-18.html漏洞评级CVE-2019-0708 严重影响版本Windows 7Windows Server 2008 R2Windows Server 2008Windows 2003Windows XP安全建议注:微软官方描述开启NLA(网络级别身份验证)可能可以缓解此漏洞攻击,建议用户先开启NLA(详见第6种建议)缓解漏洞危害再安装安全补丁;以下补丁修复方案均存在不可预知风险(黑屏或死机),建议修复前先备份数据或做好磁盘快照。1、针对Windows 7、Windows Server 2008和Windows Server 2008 R2的用户,及时安装官方安全补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-07082、针对Windows 2003及Windows XP的用户,及时更新系统版本或安装官方补丁:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-07083、华云新架构平台的服务器用户,可使用我司平台提供的防火墙临时禁止RDP服务端口对外或者限制允许访问的IP地址。操作帮助文档:https://docs.chinac.com/vpc/quick-start/firewall.html4、开启NLA(网络级别身份验证)可能可以缓解此漏洞攻击,操作如下相关链接:https://github.com/rapid7/metasploit-framework/pull/12283/files#diff-903c287159a4a98b700ea627a0eda15e我们会关注后续进展,请随时关注官方公告。如有任何问题,可随时通过工单或我司服务电话400-808-4000-8联系反馈。华云数据集团有限公司2019.9.7

    2019-09-09

  • 【漏洞预警】Windows 远程桌面服务RDP远程代码执行漏洞

    【漏洞预警】Windows 远程桌面服务RDP远程代码执行漏洞(CVE-2019-1181/1182)2019年8月13日,华云安全检测中心监测到微软官方发布紧急安全补丁,修复了多个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-1181/1182),利用此漏洞可能可以在没有用户交互的情况下直接获取Windows服务器权限。漏洞描述微软官方公告称:CVE-2019-1181 和 CVE-2019-1182 这两个漏洞和之前的BlueKeep(CVE-2019-0708)一样,属于“可蠕虫传播的”漏洞。类似于2017年爆发的WannaCry等恶意勒索软件病毒。未经身份验证的攻击者利用该漏洞,向目标服务端口发送恶意构造请求,可以在目标系统上执行任意代码。该漏洞的利用无需进行用户交互操作,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,与2019年5月14日修补的远程桌面服务的远程代码执行漏洞CVE-2019-0708和2017年WannaCry恶意软件的传播方式类似。漏洞评级CVE-2019-1181 严重CVE-2019-1182 严重影响版本Windows 7Windows 8Windows 10Windows Server 2008 R2 SP1Windows Server 2012Windows Server 2012 R2安全建议1、微软官方已发布补丁修复此漏洞,建议用户将相关系统版本立即升级至最新版本2、使用华云新架构产品的用户,可使用安全组防火墙规则临时禁止RDP服务端口对外或只运行授权IP访问,阻止漏洞攻击。注:微软官方描述开启NLA(网络级别身份验证)可能可以缓解此漏洞攻击,但还是强烈建议尽快安装安全补丁并重启;安装补丁修复方案可能存在不可预知风险(黑屏/死机/蓝屏/进入恢复模式),建议修复前先备份数据/镜像/快照。相关链接https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34dhttps://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/华云数据集团有限公司2019.8.14

    2019-08-15

  • 【漏洞预警】Linux 内核TCP SACK机制远程拒绝服务漏洞

    【漏洞预警】Linux 内核TCP SACK机制远程拒绝服务漏洞近日,华云安全中心监测到 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。为避免您的业务受到影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【漏洞详情】近日,Netflix 信息安全团队研究员Jonathan Looney发现 Linux系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求远程触发Linux服务器内核模块溢出漏洞,导致服务器崩溃或拒绝服务。【风险等级】CVE-2019-11477 高危CVE-2019-11478 中危CVE-2019-11479 中危 【影响版本】目前已知受影响版本如下:CentOS 5(Redhat 官方已停止支持,不再提供补丁)CentOS 6CentOS 7Ubuntu 18.04 LTSUbuntu 16.04 LTSUbuntu 19.04Ubuntu 18.10 【安全版本】各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:CentOS 6:2.6.32-754.15.3CentOS 7:3.10.0-957.21.3Ubuntu 18.04 LTS:4.15.0-52.56Ubuntu 16.04 LTS:4.4.0-151.178 【修复建议】注意:以下升级内核或者临时缓解方案的方式都有可能造成业务使用上问题,请在操作前进行业务评估。选择内核修复方式建议先对系统进行快照,升级内核后如果有问题可使用快照进行恢复。 推荐方案:1、请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:CentOS 6/7系列服务器: 1)yum clean all && yum makecache,进行软件源更新; 2)yum update kernel -y,更新当前内核版本; 3)reboot,更新后重启系统生效; 4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。Ubuntu 16.04/18.04 LTS系列服务器1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;2)sudo reboot,更新后重启系统生效;3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。2、临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用,运行如下命令:1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;2)sysctl -p ,重载配置,使其生效。【漏洞参考】1) 官方通告:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md 2)社区参考:https://www.openwall.com/lists/oss-security/2019/06/17/5 3)红帽公告:https://access.redhat.com/security/vulnerabilities/tcpsack华云数据集团有限公司2019.6.20

    2019-06-20

  • 【漏洞预警】Windows RDP 远程代码执行高危漏洞

    【漏洞预警】Windows RDP 远程代码执行高危漏洞(CVE-2019-0708)2019年5月15日,华云安全中心监测到微软官方发布紧急安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708),此漏洞是预身份验证且无需用户交互(无需验证系统账户密码),这就意味着这个漏洞可以通过网络蠕虫的方式被利用直接获取Windows服务器权限。漏洞描述微软官方紧急发布安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708),该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证,无需用户交互。当未经身份验证的攻击者使用RDP(常见端口3389)连接到目标系统并发送特制请求时,可以在目标系统上执行任意命令。甚至传播恶意蠕虫,感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。漏洞评级CVE-2019-0708 严重影响范围该漏洞影响了某些旧版本的Windows系统,如下:Windows 7Windows Server 2008 R2Windows Server 2008Windows 2003Windows XP安全建议1、微软官方已经发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。共有三种方式可获取最新补丁:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。Windows 7及Windows Server 2008的用户,及时安装官方安全补丁:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175Windows 2003及Windows XP的用户,及时更新系统版本或安装官方补丁:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-07082、华云新架构平台的服务器用户,可使用我司平台提供的防火墙临时禁止RDP服务端口对外或者限制允许访问的IP地址相关链接https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708我们会关注后续进展,请随时关注官方公告。如有任何问题,可随时通过工单或我司服务电话400-808-4000-8联系反馈。华云数据集团有限公司2019.5.15

    2019-05-15

  • 【漏洞预警】ApacheTomcatHTTP/2远程拒绝服务漏洞

    【漏洞预警】Apache Tomcat HTTP/2 远程拒绝服务高危漏洞2019年3月26日,我司监测到Apache Tomcat近日发布安全更新,披露了1个远程拒绝服务的漏洞:CVE-2019-0199,开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。漏洞描述Apache Tomcat在实现HTTP/2时允许接受大量的SETTINGS帧的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽而DoS。漏洞评级CVE-2019-0199 高危影响范围开启HTTP/2协议功能且版本如下:9.0.0.M1 < Apache Tomcat < 9.0.148.5.0 < Apache Tomcat < 8.5.37安全版本Apache Tomcat 9.0.16Apache Tomcat 8.5.38Apache Tomcat 7.xApache Tomcat 6.x安全建议禁用HTTP/2或升级至安全版本。相关链接http://tomcat.apache.org/security-9.html华云数据集团有限公司2019年03月27日

    2019-03-27

  • 【高危事件预警】关于GlobeImposter变种勒索病毒预警

    【高危事件预警】关于GlobeImposter变种勒索病毒预警近日,一种勒索病毒GlobeImposter再次变种后在网上传播,目前该病毒已在多个省份出现感染情况。一旦感染该勒索病毒,网络系统的数据库文件将被病毒加密,并须支付勒索资金才能恢复文件。一、GlobeImposter勒索病毒的危害GlobeImposter是目前流行的一类勒索病毒,此次变种为3.0版本,它会加密磁盘文件并篡改后缀名*4444形式,同时在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。由于GlobeImposter3.0采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。通过分析发现,该病毒不具备主动传播性,被感染设备均是由黑客渗透进入内网后,在目标主机上人工植入,该病毒具有极强的破坏性和针对性,目前很难被破解。二、GlobeImposter勒索病毒的攻击手法该病毒的主要攻击步骤如下:第一步对服务器进行渗透,黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登陆开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员账号。第二步对内网其他机器进行渗透,攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网络嗅探、多协议爆破等工具实施爆破。第三步植入勒索病毒,在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软件,手动植入勒索病毒。第四步运行病毒,病毒自动执行程序,对电脑内文件进行加密,完成病毒攻击过程。三、网络安全提示经安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器、终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。针对上述情况,请及时开展以下几方面的工作:1、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。2、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389;建议关闭远程桌面协议。3、合理划分内网安全域。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限。4、做好业务数据备份。对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案,同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。华云数据集团有限公司2019年03月13日

    2019-03-13

  • 【漏洞预警】Linux内核提权高危漏洞预警

    【漏洞预警】Linux内核提权高危漏洞预警,代号:Mutagen Astronomy2018年9月27日,某国外安全研究团队披露了一个Linux内核提权高危漏洞(CVE-2018-14634),漏洞被命名为:Mutagen Astronomy。漏洞描述在Linux kernel的create_elf_tables()函数中,存在缓冲区溢出漏洞,普通用户可利用漏洞提升至管理员(root)权限执行恶意代码。漏洞评级CVE-2018-14634:高危影响范围1、32位系统暂不受漏洞影响2、内存小于32G的机器暂不受影响3、内存不小于32G的64位红帽系列发行版OS和CentOS的机器受漏洞影响安全建议使用红帽官方发布的安全补丁:https://access.redhat.com/security/cve/cve-2018-14634华云数据集团有限公司2018年12月05日

    2018-12-27

  • 【漏洞预警】 Gogs 和 Gitea 远程命令执行高危漏洞

    【漏洞预警】Git服务系统 Gogs 和 Gitea 远程命令执行高危漏洞2018年11月5日,Gogs 和 Gitea 官方GitHub发布了安全issue,披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926),攻击者利用该漏洞,可在目标服务器上执行任意命令。漏洞描述Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台,并都使用 Go 语言开发。在默认安装部署的情况下,由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限,并执行系统命令。影响范围Gogs 目前 master 分支下的版本Gitea 1.5.3 之前的版本风险评级CVE-2018-18925:严重CVE-2018-18926:严重安全建议Gogs 用户:develop 分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/developGitea 用户:下载并安装最新版本。下载链接:https://github.com/go-gitea/gitea/releases相关链接https://github.com/gogs/gogs/issues/5469https://github.com/go-gitea/gitea/issues/5140华云数据集团有限公司2018年11月05日

    2018-12-27

  • 【漏洞预警】Kubernetes API服务器远程特权提升漏洞

    【漏洞预警】Kubernetes API服务器远程特权提升漏洞2018年12月04日,Kubernetes官方发布安全通告,披露了一个Kubernetes API服务器特权提升漏洞CVE-2018-1002105。漏洞描述通过特制请求,未经身份验证的恶意用户可以通过Kubernetes API服务器与后端服务器(例如聚合API服务器和kubelets)建立连接,然后通过同一连接将任意请求直接发送到后端,并使用Kubernetes API服务器用于建立后端连接的TLS凭证进行身份验证。进而可以窃取敏感数据或注入恶意代码,甚至控制Kubernetes集群。影响组件Kubernetes API server影响版本Kubernetes v1.0.x-1.9.xKubernetes v1.10.0-1.10.10Kubernetes v1.11.0-1.11.4Kubernetes v1.12.0-1.12.2安全版本Kubernetes v1.10.11Kubernetes v1.11.5Kubernetes v1.12.3Kubernetes v1.13.0-rc.1风险评级:CVE-2018-1002105 严重安全建议:升级Kubernetes至安全版本。相关链接https://access.redhat.com/security/vulnerabilities/3716411https://groups.google.com/forum/#!topic/kubernetes-announce/GVllWCg6L88https://github.com/kubernetes/kubernetes/issues/71411华云数据集团有限公司2018年12月05日

    2018-12-27
显示第 101 至 110 条结果,共 127 条
热门消息
暂无资讯
热门消息