國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞326個，互聯網上出現“WordPressconsole contact form插件文件上傳漏洞、PlaySMS遠程代碼執行漏洞（CNVD-2017-08174）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　國內Foscam制造的IP攝像頭被曝出大量漏洞

　　未經身份驗證的用戶可以訪問特定的設備端口，并利用命令注入漏洞向設備中添加一位新的root用戶，或啟用一個標準遠程登錄服務（Telnet）。接下來，當攻擊者通過遠程登錄服務登錄到設備之后，他們也就拿到了設備的管理員權限。>>詳細

　　【汽車安全】CAN總線介紹：看我如何以編程方式控制汽車

　　一臺現代化汽車擁有大量的控制系統，這些控制系統的作用與Web應用中各種微服務的作用是非常相似的。對于一臺電動汽車來說，它擁有安全氣囊、自動剎車系統、電動助力轉向系統、音響系統、電動車門、后視鏡調整系統、以及電池與充電系統等等。這些系統需要相互通信并獲取其他系統的運行狀態。>>詳細

　　【安全報告】Android O限制系統全屏進一步遏制手機勒索

　　手機勒索軟件是一種特殊的惡意軟件，其通常將自身偽裝為看似無害的軟件或是利用社會工程學誘導受害者下載安裝，隨后通過惡意利用操作系統正常功能或者缺陷強制鎖住用戶桌面使得用戶無法正常使用設備，并幾乎都會要求受害者繳納贖金以解鎖設備。>>詳細

　　技術觀瀾

　　路由器的LED燈將允許攻擊者從物理隔離計算機中竊取數據

　　路由器和交換機這樣的網絡設備上都配置了LED燈，這些LED的閃爍可以讓我們了解設備的運行狀態。但最新研究表明，這種網絡設備中LED燈的閃爍行為不僅會泄漏數據，而且甚至還允許攻擊者以較高的數據傳輸速度從物理隔離系統中提取出敏感數據。>>詳細

　　如何通過公開的漏洞披露信息 完成開源程序漏洞的環境構建與驗證

　　開源程序出現漏洞，經常是其中的一個開源庫出現了問題，一個開源庫出了問題很可能影響很多應用程序，但是我們很難判斷一個應用程序就含有漏洞，只因這個應用程序使用了這個含有漏洞的開源庫，有時候應用程序并沒有使用到含有漏洞的開源庫中的問題代碼。>>詳細

　　NAND閃存中存在安全漏洞 易遭“電容耦合”及“讀取干擾”攻擊

　　如今世界各地都在使用NAND Flash存儲芯片，在手機、電腦和數據中心均可發現它的蹤影。然而現在，卡耐基梅隆大學（CMU），希捷科技（Seagate Technology）和蘇黎世聯邦理工學院（ETHZ）的安全專家們在NAND數據存儲芯片的專用芯片陣列中發現了安全漏洞。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年06月05日-2017年06月11日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞326個，其中高危漏洞147個、中危漏洞163個、低危漏洞16個。漏洞平均分值為6.22。上周收錄的漏洞中，涉及0day漏洞144個（占44%），其中互聯網上出現“WordPressconsole contact form插件文件上傳漏洞、PlaySMS遠程代碼執行漏洞（CNVD-2017-08174）”等零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1067個，與上周（766）環比增長39%。

　　上周重要漏洞安全告警

　　Foscam相關產品安全漏洞

　　Foscam camera是一款網絡攝像機，可以推送消息到手機，還可直接通過WIFI實現視頻百度云存儲。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息和執行任意命令等。CNVD收錄的相關漏洞包括：Foscam camera ONVIF重啟漏洞、Foscam camera Telnet功能命令注入漏洞、Foscam cameraFTP服務器帳號空密碼漏洞、Foscam camera FTP服務器帳號硬編碼密碼漏洞、Foscam camera ONVIF GetStreamUri管理員憑證泄露漏洞、Foscam camera Web用戶界面隱藏硬編碼憑證漏洞、Foscam camera目錄權限分配不當漏洞、Foscam camera配置備份文件受硬編碼保護漏洞。上述漏洞的綜合評級為“高?！?。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Google Android是一款基于Linux的應用于智能手機設備的操作系統。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。CNVD收錄的相關漏洞包括：Google AndroidGoodix touchscreen driver權限提升漏洞、Google Android HTC bootloader權限提升漏洞、Google Androidkernel trace subsystem權限提升漏洞、Google Android Motorola bootloader權限提升漏洞、Google AndroidQualcomm crypto driver權限提升漏洞、Google Android Qualcomm LED driver權限提升漏洞、Google AndroidQualcomm pin controller driver權限提升漏洞、Google Android Qualcomm power driver權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Huawei存在多個漏洞

　　Huawei HedEx Lite是中國華為（Huawei）公司的一款文檔管理軟件。HuaweiiManager NetEco是一款機房動環監控系統。Huawei P7、P8青春版和P9 Plus都是智能手機設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限或執行任意命令或發起拒絕服務攻擊等。CNVD收錄的相關漏洞包括：Huawei HedExLite DLL劫持漏洞、Huawei HedEx Lite跨站腳本漏洞、Huawei HedExLite跨站請求偽造漏洞、Huawei HedEx Lite任意文件下載漏洞、Huawei ManagerNetEco命令注入漏洞、Huawei P7 GPU驅動程序權限提升漏洞、Huawei P7和P8青春版拒絕服務漏洞、Huawei P9 Plus內存錯誤引用漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　WordPress產品安全漏洞

　　WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺。上周，該產品被披露存在權限提升、文件上傳和SQL注入漏洞，攻擊者可利用漏洞提升權限、上傳任意文件和泄露數據庫敏感信息等。CNVD收錄的相關漏洞包括：WordPress BulkDelete插件權限提升漏洞、WordPress console contact form插件文件上傳漏洞、WordPressHuge-IT Video Gallery插件SQL注入漏洞、WordPress OcimMP3插件SQL注入漏洞、Wordpress Themes Purevision任意文件上傳漏洞、WordpressThemes rehber文件上傳漏洞、Wordpress插件dopts文件上傳漏洞、WordPress插件Huge-IT VideoGallery SQL注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了“WordPress Huge-IT VideoGallery插件SQL注入漏洞、WordPress插件Huge-IT Video Gallery SQL注入漏洞、WordPress BulkDelete插件權限提升漏洞”的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Fastspot BigTree CMS任意代碼執行漏洞

　　Fastspot BigTree CMS是美國Fastspot公司的一套基于PHP和MySQL的開源內容管理系統。上周，Fastspot被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Foscam被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息和執行任意命令等。此外，Google、Huawei、Wordpress等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、上傳任意文件、提升權限或發起拒絕服務攻擊等。另外，Fastspot被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合FreebuF.COM、安全客報道

責任編輯：韓希宇