在2018 ISC互联网安全大会召开前夕,360威胁情报中心发布《2018上半年中国政企机构网络安全形势分析报告》,报告总结出2018年上半年,对国内政企机构影响最大的十大安全漏洞。根据报告,政府部门和能源行业遭到的漏洞利用攻击最多。
一、 WebLogic组件远程命令执行漏洞
2017年12月15日,国外安全研究者K.Orange在Twitter上爆出有黑产团体利用WebLogic反序列化漏洞(CVE-2017-3248、CVE-2017-10271)对全球服务器发起大规模攻击。有大量企业服务器已失陷且被安装上了 watch-smartd 挖矿程序。
其中 CVE-2017-10271 是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞,属于官方没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。更糟糕的是野外已经开始流传部分 EXP 代码。
这两个漏洞的组合利用方式如下:攻击者在发起攻击前,通过其他手段收集大量 WebLogic 目标主机(包括 Windows 和Linux),然后利用漏洞 CVE-2017-3248 进行攻击,无论是否成功,都将再利用 CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先执行基于 Windows 系统的 payload,然后再执行Linux 系统 payload,且无区分目标主机操作系统。即 Windows 和 Linux 的 payload 都会被执行一遍。
据评估,在2018年1月潜在受影响主机数量超过 2000+台,发动攻击的恶意主机 PC 超过 400+台,整体影响面较大,综合分析威胁等级为高。
二、 CPU漏洞(Meltdown与Spectre)
2018年1月4日,Jann Horn 等安全研究者披露了“Meltdown”(CVE-2017-5754)和“Spectre”(CVE-2017-5753 & CVE-2017-5715)两组 CPU 特性漏洞。
据悉,这两个漏洞会造成CPU运作机制上的信息泄露,导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感信息。
360 威胁情报中心分析确认基于Intel系列 CPU 相关漏洞可利用,由于执行加速机制是现代 CPU 的通用技术,因此所有处理器几乎都受此类漏洞影响。漏洞相关的技术细节和验证程序已经公开。相关漏洞极有可能被利用来执行大规模的攻击,构成现实的威胁。
360 威胁情报中心已经确认公开的漏洞利用代码有效,使用漏洞验证程序(POC)可以读取内核地址空间的所有数据,受相关漏洞影响的产品包括但不限于:
1) 处理器芯片:Intel 为主、ARM、AMD,对其他处理器同样可能存在相关风险;
2) 操作系统:Windows、Linux、macOS、Android;
3) 云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等;
4) 各种私有云基础设施。
5) 桌面用户可能遭遇到结合该机理组合攻击或者通过浏览器泄露 cookies、网站密码等信息。
三、 思科ASA 安全设备远程执行代码和拒绝服务漏洞
2018年1月底,思科发布针对ASA 和 FTD 设备软件的补丁程序,该补丁修复影响 ASA 和 FTD 产品的 SSL VPN 功能存在的远程代码执行和拒绝服务漏洞(CVE-2018-0101)。该漏洞影响版本基本覆盖了近 8 年的所有 ASA, 新出的 FTD 产品也部分受影响。
攻击者可以发送精心构造的认证数据包到受影响系统来利用此漏洞,成功利用此漏洞会导致设备拒绝服务甚至执行任意代码而被控制。设备被控制以后会直接导致网络边界的安全被突破,攻击者可能操纵网络流量或以设备为立足点对内部网络执行进一步的攻击。
四、 Adobe Flash 0-day在野利用漏洞
2018年2月,韩国计算机应急响应小组(KR-CERT)最近发出了关于新在野 Flash 0day 漏洞(CVE-2018-4878)的警告。根据发布的安全警报来看,这个漏洞影响 Flash Player 版本 28.0.0.137(当前)及之前的版本。
KR-CERT 表示攻击者可以诱导用户打开包含恶意Flash文件的 Microsoft Office 文档、网页、垃圾电子邮件等等。 目前看来,攻击者是将恶意 Flash 文件嵌入在 Microsoft Office 文档中进行攻击。
韩国安全企业Hauri Inc.的安全研究员Simon Choi表示,朝鲜的黑客行动者已经成功利用了这个 0day 漏洞,他们其实自 2017 年 11 月中旬就开始使用这个方法进行攻击。
KR-CERT发布预警公告之时,Adobe 公司已经就 cve-2018-4878 漏洞放出了安全更新。
五、 Cisco IOS与IOS XE远程命令执漏洞
2018 年3月28日,Cisco 发布了一个远程代码执行严重漏洞通告。通告了思科 IOS 和 IOS-XE 系统的配置管理类协议 Cisco Smart Install(Cisco 私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为 CVE-2018-0171。攻击者无需用户验证即可向远端 Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行 Cisco 系统命令或拒绝服务(DoS)。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关 PoC 已经公开并证实可用,极有可能构成巨大的现实威胁。2018 年 4 月 7 日凌晨有 IDC 运营商报告有大量 Cisco 设备遭到疑似利用此漏洞的攻击,导致设备配置被清空的情况。
六、 Weblogic远程代码执行漏洞
2018年4 月 18 日凌晨,Oracle 官方发布了 4 月份的关键补丁更新 CPU(Critical Patch Update),其中包含一个高危的 Weblogic 反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。
经研究发现,当时的官方的补丁存在问题,导致已经打过补丁的机器依然面临巨大风险。
据评估,该漏洞至少影响Weblogic 10.3.6.0、Weblogic 12.1.3.0、Weblogic 12.2.1.2、Weblogic 12.2.1.3等几个版本。当时评估全球潜在受影响主机数量超过 6000 台
七、 ZipperDown 通用漏洞
2018年5月,盘古实验室在针对不同客户的 iOS 应用安全审计过程中,发现了一类通用的安全漏洞。经分析发现约 10%的 iOS 应用可能受此漏洞的影响,并且安卓平台上也存在大量应用受到同类漏洞的影响。
经过人工分析,该漏洞形态灵活、变种类型多样,研究人员确认微博、陌陌、网易云音乐、QQ 音乐、快手等流行应用受影响。
八、 Red Hat DHCP客户端命令执行漏洞
2018年5月,红帽官方发布了安全更新,修复了编号为 CVE-2018-1111 的远程代码执行漏洞。利用该漏洞,攻击者可以通过伪造 DHCP 服务器发送响应包,以攻击网络中尝试利用 DHCP 获取 IP 地址的系统,获取 root 权限并执行任意命令。
目前,相关利用代码已经公开,可用于本地网络攻击。该漏洞主要影响Red Hat Enterprise Linux Server 6、Red Hat Enterprise Linux Server 7、CentOS 6、CentOS 7等几个版本。
九、 施耐德U.motion builder远程代码执行漏洞
施耐德 2018年5月31日发布安全公告通知客户,旗下产品U.motion builder 存在严重的远程代码执行(RCE)漏洞影响,漏洞编号为 CVE-2018-7784、CVE-2018-7785,两枚漏洞的 CVSS(V3.0)评分均为 10 分(满分)。施耐德官方已在5月底推出修复补丁。
U.motion是一款自动化构建解决方案,用于全球商业设施、关键制造业和能源行业。U.motion Builder工具能让用户为自己的 U.motion 设备创建项目。
十、 微信支付Java SDK XXE漏洞
2018年6月底,国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前,漏洞详细信息以及攻击方式已被公开,该漏洞影响范围巨大,建议用到 JAVA SDK 的商户快速检查并修复。
微信支付SDK JAVA版的 XXE 漏洞,主要存在于商家服务器端的支付结果回调 URL 处。在该处使用 DOM 处理回传的 XML 格式的支付结果通知时,未禁用外部实体、参数实体、内联 DTD 等,从而导致存在 XXE 漏洞。
(注:漏洞顺序按360安全监测与响应中心发布安全预警通告的时间顺序排序。)
好文章,需要你的鼓励
许多组织在实施 AI 代理时过于狭隘地关注单一决策模型,陷入了"一刀切"决策框架的误区。然而,人类决策远非统一,而是复杂、动态且依赖于具体情境的。如果要将 AI 代理有效整合到组织中,就需要考虑多样化的决策过程,以确保有效实施,避免无意中设定一个低标准的决策模式。
Google 近期加快了 AI 模型的发布节奏,推出了业界领先的 Gemini 2.5 Pro 和 Gemini 2.0 Flash。然而,公司尚未发布这些新模型的安全报告,引发了对透明度的担忧。Google 表示正在权衡快速迭代和获取反馈的方式,承诺未来会发布更多文档,但专家认为这种做法可能会树立不良先例。
AI视频生成公司Runway宣布完成3.08亿美元融资,由General Atlantic领投,估值超30亿美元。公司刚发布新一代视频生成模型Gen-4,可生成长达10秒的视频片段。Runway计划利用新资金加强AI开发,重点提升训练数据集质量和扩展扩散模型与大语言模型能力。
亚马逊推出Nova Act AI代理SDK,这是一个用于构建可自主完成网络任务的AI代理的开发工具包。它由亚马逊自研的Nova大语言模型驱动,采用细粒度任务分解和直接浏览器操作等方法,旨在提高AI代理的可靠性。该SDK开源,但仅支持亚马逊Nova模型。这标志着亚马逊在AI代理领域向OpenAI、微软等竞争对手发起挑战。