【漏洞预警】ApacheTomcatHTTP/2远程拒绝服务漏洞

【漏洞预警】Apache Tomcat HTTP/2 远程拒绝服务高危漏洞2019年3月26日，我司监测到Apache Tomcat近日发布安全更新，披露了1个远程拒绝服务的漏洞：CVE-2019-0199，开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。漏洞描述Apache Tomcat在实现HTTP/2时允许接受大量的SETTINGS帧的配置流量，并且客户端在没有读写请求的情况下可以长时间保持连接。如果来自客户端的连接请求过多，最终可导致服务端线程耗尽而DoS。漏洞评级CVE-2019-0199 高危影响范围开启HTTP/2协议功能且版本如下：9.0.0.M1 < Apache Tomcat < 9.0.148.5.0 < Apache Tomcat < 8.5.37安全版本Apache Tomcat 9.0.16Apache Tomcat 8.5.38Apache Tomcat 7.xApache Tomcat 6.x安全建议禁用HTTP/2或升级至安全版本。相关链接http://tomcat.apache.org/security-9.html华云数据集团有限公司2019年03月27日

【高危事件预警】关于GlobeImposter变种勒索病毒预警

【高危事件预警】关于GlobeImposter变种勒索病毒预警近日，一种勒索病毒GlobeImposter再次变种后在网上传播，目前该病毒已在多个省份出现感染情况。一旦感染该勒索病毒，网络系统的数据库文件将被病毒加密，并须支付勒索资金才能恢复文件。一、GlobeImposter勒索病毒的危害GlobeImposter是目前流行的一类勒索病毒，此次变种为3.0版本，它会加密磁盘文件并篡改后缀名*4444形式，同时在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。由于GlobeImposter3.0采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。通过分析发现，该病毒不具备主动传播性，被感染设备均是由黑客渗透进入内网后，在目标主机上人工植入，该病毒具有极强的破坏性和针对性，目前很难被破解。二、GlobeImposter勒索病毒的攻击手法该病毒的主要攻击步骤如下：第一步对服务器进行渗透，黑客通过弱口令爆破、端口扫描等攻击手法，利用3389等远程登陆开放端口，使用自动化攻击脚本，用密码字典暴力破解管理员账号。第二步对内网其他机器进行渗透，攻击者在打开内网突破口后，会在内网对其他主机进行口令爆破，利用网络嗅探、多协议爆破等工具实施爆破。第三步植入勒索病毒，在内网横向移动至一台新的主机后，会尝试进行手动或用工具卸载主机上安装的防护软件，手动植入勒索病毒。第四步运行病毒，病毒自动执行程序，对电脑内文件进行加密，完成病毒攻击过程。三、网络安全提示经安全专家分析，存在弱口令且Windows远程桌面服务（3389端口）暴露在互联网上、未做好内网安全隔离、Windows服务器、终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。针对上述情况，请及时开展以下几方面的工作：1、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础。2、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389；建议关闭远程桌面协议。3、合理划分内网安全域。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限。4、做好业务数据备份。对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性；建立安全灾备预案，同时，做好备份系统与主系统的安全隔离，避免主系统和备份系统同时被攻击，影响业务连续性。华云数据集团有限公司2019年03月13日

【漏洞预警】Linux内核提权高危漏洞预警

【漏洞预警】Linux内核提权高危漏洞预警，代号:Mutagen Astronomy2018年9月27日，某国外安全研究团队披露了一个Linux内核提权高危漏洞(CVE-2018-14634)，漏洞被命名为：Mutagen Astronomy。漏洞描述在Linux kernel的create_elf_tables()函数中，存在缓冲区溢出漏洞，普通用户可利用漏洞提升至管理员(root)权限执行恶意代码。漏洞评级CVE-2018-14634：高危影响范围1、32位系统暂不受漏洞影响2、内存小于32G的机器暂不受影响3、内存不小于32G的64位红帽系列发行版OS和CentOS的机器受漏洞影响安全建议使用红帽官方发布的安全补丁：https://access.redhat.com/security/cve/cve-2018-14634华云数据集团有限公司2018年12月05日

【漏洞预警】 Gogs 和 Gitea 远程命令执行高危漏洞

【漏洞预警】Git服务系统 Gogs 和 Gitea 远程命令执行高危漏洞2018年11月5日，Gogs 和 Gitea 官方GitHub发布了安全issue，披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926)，攻击者利用该漏洞，可在目标服务器上执行任意命令。漏洞描述Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台，并都使用 Go 语言开发。在默认安装部署的情况下，由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限，并执行系统命令。影响范围Gogs 目前 master 分支下的版本Gitea 1.5.3 之前的版本风险评级CVE-2018-18925：严重CVE-2018-18926：严重安全建议Gogs 用户：develop 分支中已经更新漏洞修复代码，下载并安装。下载链接：https://github.com/gogs/gogs/tree/developGitea 用户：下载并安装最新版本。下载链接：https://github.com/go-gitea/gitea/releases相关链接https://github.com/gogs/gogs/issues/5469https://github.com/go-gitea/gitea/issues/5140华云数据集团有限公司2018年11月05日

【漏洞预警】最新Apache Struts远程代码执行漏洞

【漏洞预警】Kubernetes API服务器远程特权提升漏洞

【漏洞预警】Kubernetes API服务器远程特权提升漏洞2018年12月04日，Kubernetes官方发布安全通告，披露了一个Kubernetes API服务器特权提升漏洞CVE-2018-1002105。漏洞描述通过特制请求，未经身份验证的恶意用户可以通过Kubernetes API服务器与后端服务器(例如聚合API服务器和kubelets)建立连接，然后通过同一连接将任意请求直接发送到后端，并使用Kubernetes API服务器用于建立后端连接的TLS凭证进行身份验证。进而可以窃取敏感数据或注入恶意代码，甚至控制Kubernetes集群。影响组件Kubernetes API server影响版本Kubernetes v1.0.x-1.9.xKubernetes v1.10.0-1.10.10Kubernetes v1.11.0-1.11.4Kubernetes v1.12.0-1.12.2安全版本Kubernetes v1.10.11Kubernetes v1.11.5Kubernetes v1.12.3Kubernetes v1.13.0-rc.1风险评级：CVE-2018-1002105 严重安全建议：升级Kubernetes至安全版本。相关链接https://access.redhat.com/security/vulnerabilities/3716411https://groups.google.com/forum/#!topic/kubernetes-announce/GVllWCg6L88https://github.com/kubernetes/kubernetes/issues/71411华云数据集团有限公司2018年12月05日

【漏洞预警】Jenkins 非预期方法调用代码执行漏洞

【漏洞预警】Jenkins 非预期方法调用代码执行漏洞2018年12月06日，Jenkins官方发布安全公告，披露了一个高危安全漏洞。攻击者构造特定的恶意请求，可以调用到非预期范围内的方法逻辑，可能导致服务器敏感信息泄露或代码执行等危害。影响版本：Jenkins weekly 2.153 及之前版本Jenkins LTS 2.138.3 及之前版本安全建议：更新 Jenkins weekly 到 2.154 版本更新 Jenkins LTS 到 2.138.4 版本或 2.150.1 版本相关链接https://jenkins.io/security/advisory/2018-12-05/华云数据集团有限公司2018年12月07日

【漏洞预警】ThinkPHP5远程代码执行高危漏洞

【漏洞预警】ThinkPHP5远程代码执行高危漏洞2018年12月9日，ThinkPHP官方发布安全更新，披露了一个高危安全漏洞，攻击者构造特定的恶意请求，可以直接获取服务器权限，受影响的版本包括5.0和5.1版本。漏洞描述：由于ThinkPHP5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，黑客构造特定的请求，可直接GetWebShell。漏洞评级：严重影响版本：ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本：ThinkPHP 5.0系列 5.0.23ThinkPHP 5.1系列 5.1.31安全建议：升级ThinkPHP至安全版本相关链接：https://blog.thinkphp.cn/869075华云数据集团有限公司2018年12月12日

【高危事件预警】Petya 勒索病毒 安全预警

【高危事件预警】Petya 勒索病毒 安全预警      北京时间2017年6月27日晚，据外媒消息，多国正在遭遇 Petya 勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都受到不同程度影响。请予关注，并做相应防范。相关事件描述及防范措施如下：      【事件等级】高危      【事件说明】此次黑客利用了 OFFICE OLE2LINK(CVE-2017-0199)漏洞进行钓鱼攻击，并利用 SMB漏洞（MS17-010）进行传播。受感染的电脑无法正常启动，若需恢复，需支付一定的比特币。被感染的机器屏幕显示如下界面：【防范措施】      1、不打开来历不明的文件，尤其是 rtf、doc 等格式。      2、以上漏洞均有补丁，请及时安装补丁，补丁地址为：      https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx      无锡华云数据技术服务有限公司       二零一七年六月

关于全面清查利用VPN、SSR等软件提供“翻墙”服务的通知

尊敬的华云用户： 　　您好！首先感谢您一直以来对华云数据的支持！ 　　现接到网监部门上级工作安排：要求各IDC对利用VPN、SSR等软件封装成“某某加速器”后，以盈利为目的向我国网民提供突破国内网络限制达到访问境外封堵网站的“翻墙”服务的托管用户或虚机用户进行全面清查，清查工作即时开始至5月21日结束。 　　请贵司尽快安排技术人员开展自查工作，认真落实是否存在利用VPN、SSR等软件封装成“某某加速器”向用户提供“翻墙”服务，若贵司提供此类服务，请立即停止服务，并于5月21日中午十二点前将核查工作情况回复我们客服邮箱：cs@chinac.com，如自查不仔细未发现，被上级通报有情况的，网监局将会根据相关法律法规给予处罚，请重视。 　　如有疑问，请咨询我司7*24小时服务热线：400-808-4000-4。 　　华云数据集团有限公司 　　二零一八年五月