绿盟科技网络安全威胁周报2016.39 请关注PHPMailer远程任意代码执行漏洞CVE-2016-10033

绿盟科技发布了本周安全通告，周报编号NSFOCUS-16-39，绿盟科技漏洞库本周新增30条，其中高危9条。本次周报建议大家关注PHPMailer远程任意代码执行漏洞，目前，目前PHPMailer官方已经发布了补丁，请使用PHPMailer的用户尽快升级。

焦点漏洞

PHPMailer远程任意代码执行漏洞

• NSFOCUS ID 35685
• CVE ID  CVE-2016-10033
• 受影响版本
  • PHPMailer < 5.2.18

漏洞点评

PHPMailer是一个用于发送电子邮件的PHP函数库。安全专家Dawid Golunski发现，PHPMailer由于对mail函数参数过滤不当存在一个安全漏洞。远程未经身份验证的攻击者可以利用该漏洞，在 web 服务器的上下文中执行任意代码，攻击目标 web 应用程序。目前PHPMailer官方已经发布了补丁，请使用PHPMailer的用户尽快升级。

（数据来源：绿盟科技安全研究部&产品规则组）

互联网安全态势

CVE统计

最近一周CVE公告总数与前期相比。值得关注的高危漏洞如下：

威胁热点信息回顾

• 美国海关电脑集体趴窝了？
  • http://toutiao.secjia.com/cbp-computer-outage
  • (CNN)美国海关计算机停机影响行动在全国范围内的机场上周一晚上，官员说，创造数以千计的不满的假日旅行者长长的队伍。据机场官员和各地的乘客们说，大多都延误了 30 分钟到两小时。
• 英国洲际酒店集团旗下金普顿酒店发生数据泄露 客户支付卡卡号、验证码、姓名遭到窃取
  • http://toutiao.secjia.com/uk-ihg-data-breach
  • 2016年12月30日，英国跨国酒店企业洲际酒店集团（IHG）获悉其在美国的酒店可能存在支付卡入侵后展开了调查。调查记者Brian Krebs从金融行业的消息来源了解到，在IHG的一些酒店（尤其是假日酒店和智选假日酒店）中使用的信用卡和借记卡中发现了欺诈特征。
• “Switcher”安卓木马攻击TP-LINK路由器 伪装为百度APP 已经控制了近1300个无线网络
  • http://toutiao.secjia.com/switcher-android-trojan
  • 安全研究人员发现“Switcher”新安卓（Android）木马，这个安卓木马能够黑入路由器，更改其DNS设置，从而试图将流量重定向至恶意网站。一旦用户被诱导至恶意网站，有被二次钓鱼攻击的可能。
• 勒索软件+蠕虫病毒结合后会发生什么 利益最大化的驱使下这种可能性非常大
  • http://toutiao.secjia.com/ransomware-with-worms-what-will-happen
  • 2016可以说是勒索软件年，各种版本各种变种，基本就是两个目标，加密用户系统或文件，躲避追杀及分析。就目前来看，勒索软件通常通过恶意邮件诱使用户执行，也有通过人力方式胁迫找下线的，但WatchGuard Technologies首席技术官Corey Nachreiner预见，勒索软件将向蠕虫病毒发展。电脑蠕虫是独立的恶意程序，它复制自身，传播到其他电脑上。它通常利用电脑安全故障和网络漏洞进行攻击，感染一个受害者后，它将自己复制到本地网络上可以访问的每台电脑上。
• PHPMailer远程任意代码执行漏洞CVE-2016-10033 900万用户受影响 站长们要小心了
  • http://toutiao.secjia.com/phpmailer-vulnerability-cve-2016-10033
  • PHPMailer出现漏洞CVE-2016-10033，全球900万用户容易遭受远程攻击。官方目前已经发布新版本，请用户尽快升级。PHPMailer 5.2.18 之前所有版本都受到影响。CVE官方对于该漏洞的描述还处于 保留状态 。
• 世界最大的两个BT网站被迫下线 ExtraTorrent遭遇DDoS攻击
  • http://toutiao.secjia.com/extratorrent-under-ddos-attacks
  • 海盗湾和ExtraTorrent遭遇DDoS网络攻击，被迫下线，这2个网站已经无法访问。根据TorrentFreak报道，ExtraTorrent这次被攻击与其新上线的代理保护措施有关，而海盗湾网站为什么无法访问，目前还不清楚。
• 西门子楼宇自动系统出现中间人攻击漏洞CVE-2016-9154 本已发布通告可又悄悄撤除
  • http://toutiao.secjia.com/siemens-building-auto-system-vulnerabilities-cve-2016-9154
  • 西门子漏洞自控管理系统HVAC系统中的Desigo PX 工业控制固件模块出现漏洞CVE-2016-9154，随后西门子与ICS-CERT协作发布了可被远程利用的漏洞及补丁，并在官网发布了这个信息，但不知道啥时候该页面已经不可访问。Siemens Desigo PX Web Modules < 6.00.046版本存在无效熵漏洞，远程攻击者利用此漏洞可执行中间人攻击，获取敏感信息。

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

绿盟科技漏洞研究

绿盟科技漏洞库新增30条

截止到2016年12月30日，绿盟科技漏洞库已收录总条目达到35698条。本周新增漏洞记录30条，其中高危漏洞数量9条，中危漏洞数量9条，低危漏洞数量12条。

• Siemens Desigo PX Web Modules 无效熵漏洞(CVE-2016-9154)
  • 危险等级:高
  • BID:94962
  • cve编号:CVE-2016-9154
• QEMU ‘qemu-char.c’ 拒绝服务漏洞(CVE-2016-9923)
  • 危险等级:中
  • BID:94827
  • cve编号:CVE-2016-9923
• QEMU ‘hw/display/virtio-gpu.c’ 拒绝服务漏洞(CVE-2016-9912)
  • 危险等级:中
  • BID:94760
  • cve编号:CVE-2016-9912
• QEMU 单字节溢出拒绝服务漏洞
  • 危险等级:中
  • BID:94803
  • cve编号:CVE-2016-9921,CVE-2016-9922
• QEMU ‘ehci_init_transfer()’拒绝服务漏洞(CVE-2016-9911)
  • 危险等级:中
  • BID:94762
  • cve编号:CVE-2016-9911
• QEMU ‘/hw/usb/redirect.c’拒绝服务漏洞(CVE-2016-9907)
  • 危险等级:中
  • BID:94759
  • cve编号:CVE-2016-9907
• QEMU ‘virtio-gpu-3d.c’信息泄露漏洞(CVE-2016-9908)
  • 危险等级:中
  • BID:94761
  • cve编号:CVE-2016-9908
• KMail 多个安全漏洞
  • 危险等级:高
  • BID:93360
  • cve编号:CVE-2016-7966,CVE-2016-7967,CVE-2016-7968
• Cisco Jabber Guest Server开放重定向漏洞(CVE-2016-9224)
  • 危险等级:低
  • BID:95016
  • cve编号:CVE-2016-9224
• Cisco CloudCenter Orchestrator权限提升漏洞(CVE-2016-9223)
  • 危险等级:高
  • BID:95024
  • cve编号:CVE-2016-9223
• Cisco Intercloud Fabric远程安全限制绕过漏洞(CVE-2016-9217)
  • 危险等级:中
  • BID:95023
  • cve编号:CVE-2016-9217
• Serendipity 跨站脚本漏洞(CVE-2016-9681)
  • 危险等级:低
  • cve编号:CVE-2016-9681
• MODX Revolution目录遍历漏洞(CVE-2016-10037)
  • 危险等级:低
  • cve编号:CVE-2016-10037
• OWASP AntiSamy远程安全限制绕过漏洞(CVE-2016-10006)
  • 危险等级:低
  • BID:95101
  • cve编号:CVE-2016-10006
• MODX Revolution目录遍历漏洞(CVE-2016-10039)
  • 危险等级:低
  • BID:95096
  • cve编号:CVE-2016-10039
• MODX Revolution目录遍历漏洞(CVE-2016-10038)
  • 危险等级:低
  • BID:95097
  • cve编号:CVE-2016-10038
• PHPMailer 远程代码执行漏洞(CVE-2016-10033)
  • 危险等级:高
  • BID:95108
  • cve编号:CVE-2016-10033
• Linux kernel netlink_dump函数竞争条件漏洞(CVE-2016-9806)
  • 危险等级:高
  • cve编号:CVE-2016-9806
• WordPress contus-video-comments插件’save.php’任意文件上传漏洞
  • 危险等级:高
  • BID:93967
  • cve编号:CVE-2016-1000112
• Linux kernel snd_pcm_period_elapsed函数拒绝服务漏洞(CVE-2016-9794)
  • 危险等级:高
  • cve编号:CVE-2016-9794
• Linux Kernel ‘lapic.c’本地拒绝服务漏洞(CVE-2016-9777)
  • 危险等级:高
  • BID:94640
  • cve编号:CVE-2016-9777
• Linux kernel ‘net/core/sock.c’本地内存破坏漏洞(CVE-2016-9793)
  • 危险等级:高
  • BID:94655
  • cve编号:CVE-2016-9793
• QEMU ‘/hw/display/virtio-gpu.c b/hw/display/virtio-gpu.c’拒绝服务漏洞
  • 危险等级:中
  • BID:94765
  • cve编号:CVE-2016-9846
• QEMU VirtFS 多个拒绝服务漏洞
  • 危险等级:中
  • BID:94729
  • cve编号:
• QEMU ‘i386/kvmvapic.c’ 空指针间接引用拒绝服务漏洞(CVE-2016-1922)
  • 危险等级:低
  • BID:81058
  • cve编号:CVE-2016-1922
• QEMU ‘hw/ide/ahci.c’空指针间接引用拒绝服务漏洞(CVE-2016-2197)
  • 危险等级:低
  • BID:82235
  • cve编号:CVE-2016-2197
• QEMU 多个拒绝服务漏洞(CVE-2016-1981)
  • 危险等级:低
  • BID:81549
  • cve编号:CVE-2016-1981
• QEMU 空指针间接引用拒绝服务漏洞(CVE-2016-2198)
  • 危险等级:低
  • BID:82290
  • cve编号:CVE-2016-2198
• QEMU ‘/hw/display/virtio-gpu-3d.c’拒绝服务漏洞(CVE-2016-9845)
  • 危险等级:低
  • BID:94763
  • cve编号:CVE-2016-9845
• QEMU ‘/hw/net/mcf_fec.c’ 拒绝服务漏洞(CVE-2016-9776)
  • 危险等级:低
  • BID:94638
  • cve编号:CVE-2016-9776

（数据来源：绿盟科技安全研究部&产品规则组）