第十九期 全球一周安全情报

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

01

Kubernetes系统中存在严重特权升级漏洞

Rancher Labs联合创始人兼首席架构师Darren Shepherd发现Kubernetes中存在一个严重的权限提升漏洞，被追踪为CVE-2018-1002105，允许攻击者在Kubernetes群集的任何计算机节点上获得完全管理员权限。Kubernetes是一个流行的开源容器编排系统，允许用户自动部署，扩展和管理容器化应用程序。研究人员称此漏洞允许特制请求通过Kubernetes API服务器与后端服务器（例如聚合API服务器和kubelet）建立连接，然后通过同一连接将任意请求直接发送到后端，并使用KubernetesAPI服务器的TLS凭据进行身份验证用于建立后端连接。多数版本均受到影响，包括基于Kubernetes的Red Hat OpenShift产品。该漏洞补丁将会尽快发布。

02

Adobe Flash 0day漏洞被利用

Gigamon安全团队发现了利用Office文档中的Adobe Flash 0day漏洞，针对俄罗斯国家医疗机构的攻击，恶意文件从乌克兰的IP地址上传到VirusTotal。该漏洞（CVE-2018-15982）允许恶意制作的Flash对象在受害者的计算机上执行代码，从而获得对系统的命令行访问权限。攻击者首先利用伪装成俄罗斯国家医疗诊所的就业申请的俄语文件，文件打开后，标题中包含的嵌入式FlashActive X控件将出现并利用Flash播放器，执行恶意命令，试图提取并执行有效载荷Scout恶意软件变体。此次活动与HackingTeam存在关联，HackingTeam是一家销售监控工具和远程访问服务的带有攻击性的意大利安全公司。研究人员已经该漏洞上报给Adobe，Adobe已于周三发布了安全更新修复了该漏洞。

03

基于OpenSSH的Linux恶意软件系列

泄露

ESET研究人员发现了一组基于OpenSSH且以前未记录的Linux恶意软件系列，SSH（Secure SHell）加密的网络链路的网络协议，通常用于使用文本模式控制台管理Linux服务器。研究人员对该系列的21个后门进行分析，并以星球大战传奇中的行星进行命名，分别为Abafar、Akiva、Alderaan、Ando、Anoat、Atollon、Batuu、Bespin、Bonadan、Borleias、Chandrila、Coruscant、Crait、Endor、Jakku、Kamino、Kessel、Mimban、Onderon、Polis Massa、Quarren。这些OpenSSH后门的多数具有共同特征：字符串堆叠和利用UPX和XOR加密代码混淆；客户端、守护进程的凭证窃取和通过本地文件、C＆C服务器、电子邮件进行过滤；包含SSH身份验证期间检查的各种硬编码凭据的持久后门模式。其中4个后门带有值得注意功能：Kessel可实现HTTP、TCP和DNS与C2进行加密通信，进行命令执行；Kamino已存在许久并不断发展，在使用DarkLeech恶意软件攻击到后来Carbanak团体针对攻击俄罗斯银行的活动中被利用；Chandrila使用特定密码传递数据；Bonadan具有挖矿功能。目前还难以识别其原始感染媒介，研究人员猜测可能利用受害者使用受威胁的SSH客户机后窃取的凭据、暴力破解或利用服务器公开的易受攻击服务。

04

MongoDB暴露了6600万个人数据

研究人员在未受保护的数据库中发现超过6600万个人的信息，这些信息包括姓名、电子邮件地址、用户的位置详细信息、电话号码和工作经历，看起来像是LinkedIn个人资料中的数据。研究人员最初在10月份发现了名为database的数据库，包含4900万条记录。此外还有两个数据库，其中一个属于佛罗里达州的一家公司，有2200万条记录，包括电子邮件地址、姓名以及找工作的地区。另一个数据库包含有4800万条记录，包括姓名、工作电子邮件地址、电话号码和员工详细信息。

05

Rockwell自动化产品严重漏洞可致DoS攻击

ICS-CERT发布报告，表示美国Rockwell（罗克韦尔）的自动化MicroLogix控制器和ControlLogix通信模块存在严重漏洞，可导致DoS（拒绝服务）攻击。该漏洞被追踪为CVE-2018-17924，存在A，B和C系列的MicroLogix 1400控制器和1756 ControlLogix以太网/IP通信模块的多种版本的A、B、C、D系列。受影响的产品在全球范围内用于运输，关键制造，食品和农业以及水和废水等行业，允许远程和未经身份验证的攻击者使受影响的设备进入DoS状态。罗克韦尔已为部分受影响产品发布固件更新，但对于另一部分只提供了缓解措施。

06

Linux官网被黑客劫持并遭受破坏行为

Linux官网Linux.org上周五遭遇网络攻击，首页被黑客篡改，被加入色情图片和侮辱性语句。Linux.org是为Linux用户提供交流、更新等服务的论坛。网站管理员Mike McLagan表示黑客已成功侵入其合作伙伴的网络服务注册商帐户，并将Linux.org DNS服务器切换到他们自己的网站。黑客自己在Twitter发图证实，他们入侵了McLagan的账号，并可以访问包括Linux.org在内的一系列域名。McLagan推测黑客入侵途径是通过whois曝光的邮件地址，并从那里请求更改网络解决方案帐户中的密码以获得对该域的访问域，且黑客动机似乎是最近网站的管理发生变化。目前该网站已关闭。