首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第7周

发布时间 2019-02-18

本周安全态势综述


2019年2月11日至17日共收录安全漏洞70个,值得关注的是Adobe ColdFusion CVE-2019-7091任意代码执行漏洞;Docker runc CVE-2019-5736任意命令执行漏洞; Microsoft Exchange Server CVE-2019-0686远程权限提升漏洞;Microsoft Windows SMB Server SMBv2 CVE-2019-0633远程代码执行漏洞;Microsoft Office Access Connectivity Engine CVE-2019-0673远程代码执行漏洞。

本周值得关注的网络安全事件是6.2亿账户信息在暗网出售,售价约2万美元;VFEmail.net遭黑客入侵,所有美国客户的数据被删除;AZORult木马新攻击活动,主要针对意大利;Valletta银行遭黑客攻击,攻击者试图窃取1300万欧元;连锁餐厅Truluck遭黑客入侵,部分客户的支付信息泄露。

根据以上综述,本周安全威胁为中。

重要安全漏洞列表


1. Adobe ColdFusion CVE-2019-7091任意代码执行漏洞

Adobe ColdFusion在反序列化不可信的数据存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,以应用程序上下文执行任意代码。
https://helpx.adobe.com/security/products/coldfusion/apsb19-10.html

2. Docker runc CVE-2019-5736任意命令执行漏洞
Docker runc实现存在安全漏洞,允许本地攻击者利用漏洞提交特殊的请求,以root身份执行任意代码。恶意容器需满足以下两个条件之一: (1)由一个攻击者控制的恶意镜像创建(2)攻击者具有某已存在容器的写权限,且可通过docker exec进入。
https://github.com/docker/docker-ce/releases/tag/v18.09.2

3. Microsoft Exchange Server CVE-2019-0686远程权限提升漏洞
Microsoft Exchange Server组件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,模拟Exchange服务器的其他任何用户。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

4. Microsoft Windows SMB Server SMBv2 CVE-2019-0633远程代码执行漏洞
Microsoft Windows处理SMBv2数据报文存在安全漏洞,允许远程攻击者利用漏洞提交特殊的SMBv2请求,可以内核上下文执行任意代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0633

5. Microsoft Office Access Connectivity Engine CVE-2019-0673远程代码执行漏洞
Microsoft Office Access Connectivity Engine处理内存对象存在安全漏洞,允许远程攻击者利用漏洞构建恶意文件,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0673

 重要安全事件综述


1、6.2亿账户信息在暗网出售,售价约2万美元


暗网市场Dream Market上正在出售6.2亿账户信息,这些信息盗自16个网站,售价约2万美元(以比特币支付)。这些被盗数据涉及的网站包括Dubsmash(1.62亿)、MyFitnessPal(1.51亿)、MyHeritage(9200万)、ShareThis(4100万)、HauteLook(2800万)、Animoto(2500万)、EyeEm(2200万)、8fit(2000万)、Whitepages(1800万)、Fotolog(1600万)、500px(1500万)、Armor Games(1100万)、BookMate(800万)、CoffeeMeetsBagel(600万)、Artsy(100万)和DataCamp(70万)。从样本数据来看,这些数据主要包括账户持有人的姓名、电子邮件地址和哈希密码,但不包括银行卡信息。

原文链接:
https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

2、VFEmail.net遭黑客入侵,所有美国客户的数据被删除


2月11日,电子邮件服务商VFEmail.net遭到黑客攻击,所有美国服务器上的数据被删除,这导致所有美国客户的数据被删。该公司表示,攻击者格式化了每一台服务器上的硬盘,所有的虚拟机、文件服务器包括备份服务器都已丢失。黑客并没有要求赎金,VFEmail将此事件描述为攻击和破坏事件。目前该公司的网站已经重新上线,但次级域名仍无法访问。

原文链接:
https://www.zdnet.com/article/hackers-wipe-us-servers-of-email-provider-vfemail/

3、AZORult木马新攻击活动,主要针对意大利


Cybaze-Yori ZLAB发现AZORult木马的新攻击活动,主要针对意大利。该木马新变体通过伪装成DHL快递通知的邮件进行传播,当用户打开恶意的压缩文档附件后,就会下载并运行该木马。该木马可以窃取Web浏览器以及邮件客户端中保存的账户和凭据,并可以安装其它的payload。其C2服务器为googodsgld[.]com和driverconnectsearch[.]info。该变体的行为类似于Brushloader。

原文链接:
https://cyware.com/news/specially-crafted-dhl-express-courier-emails-leveraged-to-distribute-a-variant-of-azorult-trojan-f9ea2931

4、Valletta银行遭黑客攻击,攻击者试图窃取1300万欧元


马耳他Valletta银行遭到黑客攻击,攻击者试图将1300万欧元转入英国、美国、捷克共和国和香港银行的账户。这些交易在30分钟内被阻止,但攻击者是否已经获得资金尚未得到证实。该银行已经关闭了其系统,并暂时停止了所有业务。根据马耳他时报的报道,这起攻击事件发生在本周三上午。该银行表示,没有客户账户及其资金受到损害。

原文链接:
https://www.helpnetsecurity.com/2019/02/14/bank-of-valletta-cyber-attack/

5、连锁餐厅Truluck遭黑客入侵,部分客户的支付信息泄露


休斯顿连锁餐厅Truluck’s Seafood, Steak & Crab House发生数据泄露事件,部分客户的信用卡信息被窃。这一事件影响了位于Austin、Houston、Naples、Southlake和Chicago的8家餐厅。该事件发生在2018年11月21日至12月8日期间,根据Truluck的说法,攻击者在受影响餐厅的PoS系统中植入了恶意软件,以窃取客户的信用卡信息。该公司还称泄露的信息中不包含任何姓名和地址信息。

原文链接:
https://cyware.com/news/trulucks-seafood-steak-crab-house-reports-data-breach-at-8-of-its-restaurants-b1fccc72

声明:本资讯由启明星辰维他命安全小组翻译和整理

上一篇 下一篇