在2018 ISC互联网安全大会召开前夕,360威胁情报中心发布《2018上半年中国政企机构网络安全形势分析报告》,报告总结出2018年上半年,对国内政企机构影响最大的十大安全漏洞。根据报告,政府部门和能源行业遭到的漏洞利用攻击最多。
一、 WebLogic组件远程命令执行漏洞
2017年12月15日,国外安全研究者K.Orange在Twitter上爆出有黑产团体利用WebLogic反序列化漏洞(CVE-2017-3248、CVE-2017-10271)对全球服务器发起大规模攻击。有大量企业服务器已失陷且被安装上了 watch-smartd 挖矿程序。
其中 CVE-2017-10271 是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞,属于官方没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。更糟糕的是野外已经开始流传部分 EXP 代码。
这两个漏洞的组合利用方式如下:攻击者在发起攻击前,通过其他手段收集大量 WebLogic 目标主机(包括 Windows 和Linux),然后利用漏洞 CVE-2017-3248 进行攻击,无论是否成功,都将再利用 CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先执行基于 Windows 系统的 payload,然后再执行Linux 系统 payload,且无区分目标主机操作系统。即 Windows 和 Linux 的 payload 都会被执行一遍。
据评估,在2018年1月潜在受影响主机数量超过 2000+台,发动攻击的恶意主机 PC 超过 400+台,整体影响面较大,综合分析威胁等级为高。
二、 CPU漏洞(Meltdown与Spectre)
2018年1月4日,Jann Horn 等安全研究者披露了“Meltdown”(CVE-2017-5754)和“Spectre”(CVE-2017-5753 & CVE-2017-5715)两组 CPU 特性漏洞。
据悉,这两个漏洞会造成CPU运作机制上的信息泄露,导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感信息。
360 威胁情报中心分析确认基于Intel系列 CPU 相关漏洞可利用,由于执行加速机制是现代 CPU 的通用技术,因此所有处理器几乎都受此类漏洞影响。漏洞相关的技术细节和验证程序已经公开。相关漏洞极有可能被利用来执行大规模的攻击,构成现实的威胁。
360 威胁情报中心已经确认公开的漏洞利用代码有效,使用漏洞验证程序(POC)可以读取内核地址空间的所有数据,受相关漏洞影响的产品包括但不限于:
1) 处理器芯片:Intel 为主、ARM、AMD,对其他处理器同样可能存在相关风险;
2) 操作系统:Windows、Linux、macOS、Android;
3) 云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等;
4) 各种私有云基础设施。
5) 桌面用户可能遭遇到结合该机理组合攻击或者通过浏览器泄露 cookies、网站密码等信息。
三、 思科ASA 安全设备远程执行代码和拒绝服务漏洞
2018年1月底,思科发布针对ASA 和 FTD 设备软件的补丁程序,该补丁修复影响 ASA 和 FTD 产品的 SSL VPN 功能存在的远程代码执行和拒绝服务漏洞(CVE-2018-0101)。该漏洞影响版本基本覆盖了近 8 年的所有 ASA, 新出的 FTD 产品也部分受影响。
攻击者可以发送精心构造的认证数据包到受影响系统来利用此漏洞,成功利用此漏洞会导致设备拒绝服务甚至执行任意代码而被控制。设备被控制以后会直接导致网络边界的安全被突破,攻击者可能操纵网络流量或以设备为立足点对内部网络执行进一步的攻击。
四、 Adobe Flash 0-day在野利用漏洞
2018年2月,韩国计算机应急响应小组(KR-CERT)最近发出了关于新在野 Flash 0day 漏洞(CVE-2018-4878)的警告。根据发布的安全警报来看,这个漏洞影响 Flash Player 版本 28.0.0.137(当前)及之前的版本。
KR-CERT 表示攻击者可以诱导用户打开包含恶意Flash文件的 Microsoft Office 文档、网页、垃圾电子邮件等等。 目前看来,攻击者是将恶意 Flash 文件嵌入在 Microsoft Office 文档中进行攻击。
韩国安全企业Hauri Inc.的安全研究员Simon Choi表示,朝鲜的黑客行动者已经成功利用了这个 0day 漏洞,他们其实自 2017 年 11 月中旬就开始使用这个方法进行攻击。
KR-CERT发布预警公告之时,Adobe 公司已经就 cve-2018-4878 漏洞放出了安全更新。
五、 Cisco IOS与IOS XE远程命令执漏洞
2018 年3月28日,Cisco 发布了一个远程代码执行严重漏洞通告。通告了思科 IOS 和 IOS-XE 系统的配置管理类协议 Cisco Smart Install(Cisco 私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为 CVE-2018-0171。攻击者无需用户验证即可向远端 Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行 Cisco 系统命令或拒绝服务(DoS)。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关 PoC 已经公开并证实可用,极有可能构成巨大的现实威胁。2018 年 4 月 7 日凌晨有 IDC 运营商报告有大量 Cisco 设备遭到疑似利用此漏洞的攻击,导致设备配置被清空的情况。
六、 Weblogic远程代码执行漏洞
2018年4 月 18 日凌晨,Oracle 官方发布了 4 月份的关键补丁更新 CPU(Critical Patch Update),其中包含一个高危的 Weblogic 反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。
经研究发现,当时的官方的补丁存在问题,导致已经打过补丁的机器依然面临巨大风险。
据评估,该漏洞至少影响Weblogic 10.3.6.0、Weblogic 12.1.3.0、Weblogic 12.2.1.2、Weblogic 12.2.1.3等几个版本。当时评估全球潜在受影响主机数量超过 6000 台
七、 ZipperDown 通用漏洞
2018年5月,盘古实验室在针对不同客户的 iOS 应用安全审计过程中,发现了一类通用的安全漏洞。经分析发现约 10%的 iOS 应用可能受此漏洞的影响,并且安卓平台上也存在大量应用受到同类漏洞的影响。
经过人工分析,该漏洞形态灵活、变种类型多样,研究人员确认微博、陌陌、网易云音乐、QQ 音乐、快手等流行应用受影响。
八、 Red Hat DHCP客户端命令执行漏洞
2018年5月,红帽官方发布了安全更新,修复了编号为 CVE-2018-1111 的远程代码执行漏洞。利用该漏洞,攻击者可以通过伪造 DHCP 服务器发送响应包,以攻击网络中尝试利用 DHCP 获取 IP 地址的系统,获取 root 权限并执行任意命令。
目前,相关利用代码已经公开,可用于本地网络攻击。该漏洞主要影响Red Hat Enterprise Linux Server 6、Red Hat Enterprise Linux Server 7、CentOS 6、CentOS 7等几个版本。
九、 施耐德U.motion builder远程代码执行漏洞
施耐德 2018年5月31日发布安全公告通知客户,旗下产品U.motion builder 存在严重的远程代码执行(RCE)漏洞影响,漏洞编号为 CVE-2018-7784、CVE-2018-7785,两枚漏洞的 CVSS(V3.0)评分均为 10 分(满分)。施耐德官方已在5月底推出修复补丁。
U.motion是一款自动化构建解决方案,用于全球商业设施、关键制造业和能源行业。U.motion Builder工具能让用户为自己的 U.motion 设备创建项目。
十、 微信支付Java SDK XXE漏洞
2018年6月底,国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前,漏洞详细信息以及攻击方式已被公开,该漏洞影响范围巨大,建议用到 JAVA SDK 的商户快速检查并修复。
微信支付SDK JAVA版的 XXE 漏洞,主要存在于商家服务器端的支付结果回调 URL 处。在该处使用 DOM 处理回传的 XML 格式的支付结果通知时,未禁用外部实体、参数实体、内联 DTD 等,从而导致存在 XXE 漏洞。
(注:漏洞顺序按360安全监测与响应中心发布安全预警通告的时间顺序排序。)
好文章,需要你的鼓励
在我们的日常生活中,睡眠的重要性不言而喻。一个晚上没睡好,第二天的工作效率就会大打折扣,而充足的睡眠不仅能让我们恢复精力,还能帮助大脑整理和巩固当天学到的知识。有趣的是,AI模型竟然也表现出了类似的“睡眠需求”。
DeepSeek-AI团队通过创新的软硬件协同设计,仅用2048张GPU训练出性能卓越的DeepSeek-V3大语言模型,挑战了AI训练需要海量资源的传统观念。该研究采用多头潜在注意力、专家混合架构、FP8低精度训练等技术,大幅提升内存效率和计算性能,为AI技术的民主化和可持续发展提供了新思路。
尽管模型上下文协议(MCP)自11月推出以来用户数量快速增长,但金融机构等监管行业仍保持谨慎态度。银行等金融服务公司虽然在机器学习和算法方面是先驱,但对于MCP和Agent2Agent(A2A)系统的采用较为保守。监管企业通常只使用内部代理,因为其API集成需要经过多年审查以确保合规性和安全性。专家指出,MCP缺乏基本构建块,特别是在互操作性、通信标准、身份验证和审计跟踪方面。金融机构需要确保代理能够进行"了解您的客户"验证,并具备可验证的身份识别能力。
加拿大女王大学研究团队首次系统评估了大型视频语言模型的因果推理能力,发现即使最先进的AI在理解视频中事件因果关系方面表现极差,大多数模型准确率甚至低于随机猜测。研究创建了全球首个视频因果推理基准VCRBench,并提出了识别-推理分解法(RRD),通过任务分解显著提升了AI性能,最高改善幅度达25.2%。