绿盟科技网络安全威胁周报2017.16 建议关注Apache Log4j反序列化漏洞CVE-2017-5645

绿盟科技发布了本周安全通告，周报编号NSFOCUS-17-16，绿盟科技漏洞库本周新增92条，其中高危39条。本次周报建议大家关注 Apache Log4j反序列化漏洞 。该漏洞主要是由于在处理ObjectInputStream时，接收器对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置，可以有效的解决该漏洞。目前Log4j官方已经发布新版本修复了该漏洞，请用户及时排查是否受到影响，升级版本修复漏洞。

Apache Log4j反序列化漏洞

NSFOCUS ID 36412 CVE ID CVE-2017-5645

受影响版本

Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1

漏洞点评

Log4j是Apache的一个开源日志项目，通过使Log4j可以方便地集成日志记录功能。近日，Apache Log4j 被曝出存在一个反序列化漏洞(CVE-2017-5645)。攻击者可以通过发送一个特别制作的2进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。该漏洞主要是由于在处理ObjectInputStream时，接收器对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置，可以有效的解决该漏洞。目前Log4j官方已经发布新版本修复了该漏洞，请用户及时排查是否受到影响，升级版本修复漏洞。

（数据来源：绿盟科技安全研究部 产品规则组）

互联网安全态势 CVE统计

最近一周CVE公告总数与前期相比明显下降。值得关注的高危漏洞如下：

（我赛，这期cve数量真是出奇的少啊）

威胁热点信息回顾
PHP邮件Squirrelmail远程代码执行漏洞CVE-2017-7692 北京时间4月19日晚，Squirrelmail被爆出存在一个远程代码执行漏洞（CVE-2017-7692，CNNVD-201704-561）。该漏洞是由于在传递一个字符串给popen调用之前，没有对其进行过滤和无害化处理。因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码。该漏洞存在于initStream函数Deliver_SendMail.class.php中，它会使用escapeshellcmd()来过滤和无害化发送邮件的命令。然而escapeshellcmd()并没有对空格字符进行转义，因此会触发任意指令参数的注入。 http://toutiao.secjia.com/squirrelmail-rce-cve-2017-7692
Karmen勒索软件即服务诞生了 单价175美金已经售出20份 去年年底，安全加报道了 勒索软件+蠕虫病毒结合后会发生什么 利益最大化的驱使下这种可能性非常大 ，今天勒索软件即服务终于实现了。黑客可以在黑市上花175美金买到一个易于使用的勒索套件, 这个套件名字叫做Karmen。一位名叫 DevBitox 的俄语用户已经在地下论坛上刊登了广告, Recorded Future 安全公司在周二的博客文章中说了未来的记录。 http://toutiao.secjia.com/karmen-ransomware-as-a-service
Apache日志记录组件Log4j出现反序列化漏洞 Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码 http://toutiao.secjia.com/apache-log4j-deserialization-vulnerabilities-cve-2017-5645
Jackson框架出现Java反序列化漏洞 Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象，在2017年3月份， fastjson 1.2.24之前版本曾经出现过严重漏洞 。而更早的时候，Java反序列化漏洞问题曾经一度让大家心惊肉跳，这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞，攻击者利用该漏洞可以获得网站控制权。 http://toutiao.secjia.com/jackson-framework-appears-java-deserialization-vulnerability
InterContinental Hotels Group, the international hotel chain confirmed a second credit card breach The InterContinental Hotels Group announced that last week payment card systems at more than 1,000 of its hotels had been compromised by crooks. http://securityaffairs.co/wordpress/58129/data-breach/intercontinental-hotels-group-breach.html
一种几乎无法被检测到的Punycode钓鱼攻击，Chrome、Firefox和Opera等浏览器都中招 国内的安全专家最近发现一种新的钓鱼攻击，“几乎无法检测”，即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用Chrome、Firefox和Opera浏览器中的已知漏洞，将虚假的域名伪装成苹果、谷歌或者亚马逊网站，以窃取用户的登录凭证、金融凭证或其他敏感信息。 Job seekers on ZipRecruiter being targeted by scams via email and text http://www.csoonline.com/article/3190905/security/job-seekers-on-ziprecruiter-being-targeted-by-scams-via-email-and-text.html
绿盟科技漏洞库新增92条

截止到2017年4月21日，绿盟科技漏洞库已收录总条目达到36494条。本周新增漏洞记录92条，其中高危漏洞数量39条，中危漏洞数量30条，低危漏洞数量23条。

Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0146) 危险等级:高 BID:96707 cve编号:CVE-2017-0146

本文由：绿盟科技发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201716

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站

【WEB安全】Apache Log4j 漏洞利用分析（下） Apache Log4j 项目被爆存在远程代码执行漏洞，且利用简单，影响危害巨大，光是引入了 log4j2 依赖的组件都是数不清，更别提项目本身可能存在的风险了，复现漏洞来学习一下，希望可以帮助到大家。
【WEB安全】Apache Log4j 漏洞利用分析（上） Apache Log4j 项目被爆存在远程代码执行漏洞，且利用简单，影响危害巨大，光是引入了 log4j2 依赖的组件都是数不清，更别提项目本身可能存在的风险了，复现漏洞来学习一下，希望可以帮助到大家。