2020年第47周微信公众号精选安全技术文章总览

洞见网安 2020-11-23

0x1 【分享】非常全面的CentOS7系统安全检测和加固脚本

WalkingCloud 2020-11-29T11:55:50 ©

本文介绍了一个用于CentOS 7系统的安全检测和加固脚本。该脚本旨在提高Linux系统的安全性，通过一键执行实现对系统进行全面的检查和加固。脚本包括系统基本信息、资源使用情况、系统用户情况、身份鉴别安全、安全访问控制、安全审计、剩余信息保护、入侵防范安全、恶意代码防范、资源控制安全等多个方面的检测。脚本还提供了加固设置，如设置密码复杂度、创建eproot账号、禁止root远程登录、设置SSH端口、登入失败处理等。文章详细描述了脚本的执行过程和结果，并提供了操作说明和效果展示。

Linux系统安全自动化安全加固安全审计入侵检测与防御密码策略用户管理资源监控系统加固脚本安全

0x2 WebLogic-XMLDecoder反序列化漏洞分析｜15期

道格安全 2020-11-29T10:55:31 ghtwf01

标签：WEB安全、漏洞分析

0x3 Windows PC上的Steam容易受到特权提升攻击

水网火安 2020-11-28T19:22:00

报道指出，Windows PC上的Steam客户端存在一个权限提升的安全漏洞。该漏洞源于Steam创建的启动目录权限过高，使得恶意软件能够滥用这种高权限。研究发现，Steam安装文件夹默认赋予组中的Windows用户读取和写入权限，这允许攻击者或恶意程序替换Steam.exe文件。由于Steam.exe通常在系统启动时自动运行，一旦管理员登录，伪装成Steam.exe的恶意程序将以管理员权限执行，对系统和网络构成严重威胁。目前，Steam官方尚未及时修复这一漏洞，专家建议不要在重要的系统上安装或使用Steam，以避免潜在的安全风险。

特权提升攻击恶意软件滥用启动目录权限系统启动自启动漏洞未修复安全建议网络安全

0x4 电力行业常用通信协议汇总

安帝Andisec 2020-11-27T17:16:16 © 安帝实验室

本文详细介绍了电力行业常用的通信协议。首先介绍了IEC 60870-5系列协议，它是国际上流行的变电站自动化协议，包括多个配套标准，如IEC 60870-5-101用于远程控制和保护，IEC 60870-5-103用于设备互操作性。接着介绍了IEC 61850，这是第一个完整的变电站自动化通信标准体系，具有面向对象建模、分布式分层体系等特性。文章还讨论了DNP3协议，它是北美地区广泛使用的协议，用于替代IEC 60870-5系列。此外，还提到了基金会现场总线（FOUNDATION Fieldbus）和Modbus协议，它们在过程/工厂自动化和智能设备通信中扮演重要角色。最后，文章概述了电力系统数据通信协议体系，包括IEC 60870-5、IEC 60870-6、IEC 61850等系列标准，并讨论了变电站的信息分层结构和IEC 61850协议的服务码编码。

通信协议安全电力系统安全工业控制系统安全协议漏洞分析网络安全标准

0x5 Drupal core高危漏洞风险提示

安恒信息CERT 2020-11-27T12:23:53

本文针对Drupal核心系统存在的两个高危漏洞（CVE-2020-28948和CVE-2020-28949）进行了详细分析。漏洞源于Drupal核心使用的PEAR Archive_Tar库在处理特定文件类型时存在安全风险，可能导致任意PHP代码执行。该漏洞影响Drupal 9.0、8.9、8.8和7分支版本，建议用户更新到相应修复版本。文章提供了详细的影响范围、漏洞描述、缓解措施和更新下载链接，提醒用户及时更新以防止潜在的安全威胁。

漏洞公告 PHP代码执行 CVE编号安全更新影响范围安全维护漏洞利用缓解措施网络安全

0x6 物联网安全系列 | MQTT协议安全

银基科技INGEEK 2020-11-27T12:00:15

MQTT（消息队列遥测传输）是一种轻量级、基于发布/订阅的消息协议，广泛应用于物联网（IoT）场景。本文介绍了MQTT协议的基本特点，包括其使用TCP/IP协议传输、简单的数据包格式、支持发布/订阅模式等。文章还讨论了MQTT协议的安全性，包括匿名连接、传输未加密、弱口令等潜在的安全风险，并提到了针对这些风险的防范措施。此外，文章还介绍了MQTT协议的攻击点和防御方法，如使用mqtt-pwn工具进行漏洞测试和用户名密码爆破。最后，文章强调了在研究和测试MQTT安全时，应遵守法律法规，避免对网络目标进行非法测试和破坏活动。

MQTT 物联网安全协议分析中间人攻击认证与授权漏洞研究漏洞利用工具端口扫描网络空间测绘安全最佳实践

0x7 weblogic后台密码解密

我吃你家米了 2020-11-27T08:23:00 © 12138

点击阅读原文体验更佳前言前段时间复现wenlogic的漏洞，从vulnhub上下载的漏洞环境，但是并没给出来

0x8 浅谈木马的伪装与防御

Linux网络安全 2020-11-26T07:52:18

本文探讨了网络安全领域中木马伪装与防御的重要性。文章首先指出社会工程学作为攻击手段的致命性，接着详细介绍了如何利用木马伪装进行社会工程学攻击。具体操作包括使用HBuilder将Web页面打包成APP文件，配置APP项目并设置图标，使用自己的证书进行签名，以及利用Kali Linux创建自签名证书。文章还介绍了如何使用msfvenom生成带有后门的APK文件，并通过设置监听端口和IP地址实现远程控制。最后，文章提醒读者在实际操作中可能会遇到的问题，并鼓励有兴趣的读者下载示例APK进行反编译学习。

木马攻击社会工程学移动安全逆向工程安全防护证书管理安全工具

0x9 骑士CMS assign_resume_tpl 远程代码执行漏洞风险提示

水网火安 2020-11-25T20:21:54

本文报道了骑士CMS人才系统存在的一个远程代码执行漏洞。骑士CMS是一款基于PHP+MYSQL开发的免费开源人才网站系统。阿里云应急响应中心发现，由于系统某些函数过滤不严格，攻击者可以利用文件包含漏洞，在无需登录的情况下执行任意代码，控制服务器。这一漏洞利用简单，相关利用细节已公开，因此阿里云提醒用户采取安全措施。文章指出，CMS系统因其便捷性和易用性被广泛使用，但也因产品良莠不齐和安全性难以保证而成为网络安全问题的重灾区。

远程代码执行漏洞 CVE CMS系统安全开源软件安全应急响应漏洞利用网络安全意识

0xa VMware 多个产品高危漏洞风险提示

安恒信息CERT 2020-11-25T19:05:00 ©

近日，VMware官方发布了多个产品的高危安全漏洞公告，涉及VMware ESXi、VMware Workstation Pro/Player、VMware Fusion Pro/Fusion以及VMware Cloud Foundation等。公告编号为VMSA-2020-0026.1，对应CVE编号CVE-2020-4004和CVE-2020-4005。这些漏洞可能导致具有本地管理员权限的恶意攻击者在虚拟机上执行代码，从而实现虚拟机逃逸。受影响的版本包括VMware ESXi 6.5、6.7、7.0，VMware Fusion Pro/Fusion 11.X，VMware Workstation Pro/Player 15.X，以及VMware Cloud Foundation 3.X和4.X。VMware建议用户更新到相应的修复版本。同时，如果无法立即打补丁，可以临时删除XHCI (USB 3.x)控制器作为缓解措施。

虚拟机安全漏洞内存释放后重用漏洞权限提升漏洞逃逸漏洞补丁管理产品安全公告网络安全更新

0xb Discord桌面应用程序RCE报告

水网火安 2020-11-24T09:29:31

本文分析了Discord桌面应用程序中的一个远程代码执行（RCE）漏洞。文章指出，尽管在Electron应用中，nodeIntegration参数默认关闭可以提供一定的安全性，但contextIsolation参数的开启可能导致内部脚本未进行隔离，从而形成xss到node.js的攻击链。文章详细讨论了攻击点和防御点，强调在nodeIntegration关闭的情况下，需要检查contextIsolation是否开启，并建议开发者不应为方便而牺牲安全性，确保相关接口得到妥善处理。

Electron应用安全跨站脚本攻击（XSS）命令执行漏洞（RCE）安全配置管理前端安全安全最佳实践

0xc CVE-2020-25705/SAD DNS：DNS缓存投毒攻击

水网火安 2020-11-24T09:29:31

CVE-2020-25705/SAD DNS攻击是由加利福尼亚大学和清华大学的研究人员发现的一系列安全漏洞。这种攻击允许攻击者通过DNS缓存投毒的方式实施off-path攻击，将特定域名的流量重定向到攻击者控制的服务器，从而监听和修改通信流量。SAD DNS攻击是一种新型的DNS攻击，它利用网络协议栈中的侧信道进行扫描和发现可用的端口，通过注入伪造的DNS记录到DNS缓存中实现攻击。这种攻击方式严重威胁了网络的安全性，因为它可以在不直接参与通信的情况下进行。研究人员发现，超过34%的互联网开放解析器存在漏洞，其中包括许多主流DNS服务。为了缓解这一漏洞，研究人员建议用户禁用ICMP响应，并设置严格的DNS查询timeout。此外，他们还开发了一个工具来测试是否受到该攻击的影响。

DNS安全漏洞分析侧信道攻击网络侧信道攻击攻击技术操作系统安全网络安全防护安全研究

0xd 360发现Drupal 远程代码执行漏洞

水网火安 2020-11-23T12:08:55

2020年11月，360CERT监测发现Drupal存在一个高危的远程代码执行漏洞（CVE-2020-13671），该漏洞评级为8.1分。漏洞源于Drupal core未正确处理上传文件名，可能导致文件被错误解析为PHP并执行，从而允许未授权的远程攻击者上传特定文件名的文件来执行任意代码。360CERT建议用户尽快升级到Drupal的最新版本，并加强资产自查和预防措施。尽管漏洞已经公开，但由于个人用户安全意识不足，攻击者仍然可能利用该漏洞进行攻击。为了防止漏洞带来的危害，用户应及时安装补丁。

远程代码执行漏洞 Drupal漏洞高危漏洞文件上传漏洞安全更新网络安全监测黑客攻击预防

0xe 朝鲜黑客组织Lazarus以软件供应链手法攻击韩国用户