信息安全周报-2018年第49周
发布时间 2018-12-10
2018年12月03日09日共收录安全漏洞55个,值得关注的是Adobe Flash Player释放后利用代码执行漏洞;FreeBSD bhyve任意代码执行漏洞;NUUO NVRMini2 upgrade_handle.php命令注入漏洞;HPE Intelligent Management Center PLAT dbman.exe缓冲区溢出漏洞;Rockwell Automation Allen-Bradley PowerMonitor 1000 访问控制错误漏洞。
本周值得关注的网络安全事件是Quora遭黑客入侵,约1亿用户数据被窃;M2M协议被曝存在漏洞,可用于攻击工业物联网系统;万豪酒店因数据库泄露遭集体诉讼,被索赔125亿美元;APT组织Tropic Trooper新恶意活动,针对亚洲能源及食品行业;数据库不设密码,Urban公司超过30万用户信息泄露。
根据以上综述,本周安全威胁为中。
重要安全漏洞列表
1. Adobe Flash Player释放后利用代码执行漏洞
Adobe Flash Player存在释放后利用漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,可以应用程序上下文执行任意代码。
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
2. FreeBSD bhyve任意代码执行漏洞
FreeBSD对bhyve提供的设备模块中缺少正确的边界检查,允许本地攻击者利用漏洞提交特殊的请求,bhyve进程崩溃或以root权限在主机上执行任意代码。
https://www.freebsd.org/security/advisories/FreeBSD-SA-18:14.bhyve.asc3. NUUO NVRMini2 upgrade_handle.php命令注入漏洞
NUUO NVRMini2 upgrade_handle.php存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,以ROOT上下文执行任意代码。
https://github.com/tenable/poc/tree/master/nuuo/nvrmini2/cve_2018_157164. HPE Intelligent Management Center PLAT dbman.exe缓冲区溢出漏洞
HPE Intelligent Management Center PLAT存在缓冲区溢出,允许远程攻击者利用漏洞提交特殊的请求,进行拒绝服务攻击或执行任意代码。
https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03906en_us5. Rockwell Automation Allen-Bradley PowerMonitor 1000 访问控制错误漏洞
Rockwell Automation Allen-Bradley PowerMonitor 1000 WEB页面存在访问控制漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,添加具有管理员权限的新账户。
http://packetstormsecurity.com/files/150619/Rockwell-Automation-Allen-Bradley-PowerMonitor-1000-Authentication-Bypass.html重要安全事件综述
1、Quora遭黑客入侵,约1亿用户数据被窃
颇受欢迎的问答网站Quora宣布遭黑客入侵,约1亿用户的数据被窃-几乎是其客户群体的一半。泄露的信息包括用户的账户信息,例如姓名、电子邮件地址、哈希密码以及从Facebook、Twitter等社交媒体导入的数据;用户的公开内容,例如提问、回答、点赞和评论;用户的非公开内容,例如回答邀请、私人消息等。Quora于周一晚间披露了此次事件,目前该事件还在进一步的调查之中。
原文链接:
https://thehackernews.com/2018/12/quora-hack.html
2、M2M协议被曝存在漏洞,可用于攻击工业物联网系统
趋势科技研究团队发现主流的两个M2M(机器对机器)协议存在安全漏洞,可用于攻击IoT和IIoT设备。根据该《工业物联网数据骨干中的脆弱性》报告,这两个协议分别是消息队列遥测传输协议(MQTT)和约束应用协议(CoAP)。研究人员分析了这两个协议的设计和实现上存在的漏洞,并发现了数十万台配置不当的服务器,这些服务器暴露了相关凭据、敏感信息以及工业流程相关的数据。这些漏洞可能导致DoS、任意代码执行以及DDoS放大攻击等。
原文链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/machine-to-machine-m2m-technology-design-issues-and-implementation-vulnerabilities/
3、万豪酒店因数据库泄露遭集体诉讼,被索赔125亿美元
万豪国际酒店集团(Marriott International)近日因客户数据库泄露而遭遇集体诉讼,索赔金额高达125亿美元。上周五万豪宣布旗下喜达屋酒店(Starwood Hotel)的一个客户预订数据库被黑客入侵,约5亿客户的信息可能泄露。据悉,黑客入侵早在2014年就已经开始。随后,美国Geragos&Geragos律师事务所的律师本·梅塞拉斯(Ben Meiselas)和Underdog Law法律顾问迈克尔·富勒(Michael Fuller)代表两名原告大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris)对万豪国际酒店提起集体诉讼,索赔125亿美元。虽然这一金额看起来十分巨大,但也仅相当于5亿潜在受害客户每人得到25美元的赔偿。
原文链接:
http://tech.sina.com.cn/i/2018-12-03/doc-ihprknvs8439051.shtml
4、APT组织Tropic Trooper新恶意活动,针对亚洲能源及食品行业
Windows Defender ATP团队发现一个针对亚洲能源、食品和饮料行业的新恶意攻击活动,基于对该活动的目标选择、攻击链以及工具集的分析,研究团队认为该活动是由APT组织Tropic Trooper发起的。攻击的初始向量是一个利用了Office公式编辑器漏洞CVE-2018-0802的恶意文档,攻击者随后使用bitsadmin.exe从远程服务器下载并执行随机命名的payload。研究人员认为这些payload的主要目的是窃取数据。
原文链接:
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/
5、数据库不设密码,Urban公司超过30万用户信息泄露
Urban是一家英国的按摩创业公司,其数据库因未设密码导致超过30万客户信息泄露。研究人员Oliver Hough通过Shodan发现了该数据库,目前该数据库已下线,但不知道该数据库暴露了多长时间。该数据库中包含超过30.9万用户记录,包括姓名、电子邮件地址、电话号码等。此外,数据库中还存储了超过35.1万个服务预定记录,以及超过2000个按摩师的相关信息。
原文链接:
https://techcrunch.com/2018/11/27/urban-massage-data-exposed-customers-creepy-clients/
声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号