首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第17周

发布时间 2019-04-29

本周安全态势综述


2019年4月22日至28日共收录安全漏洞51个,值得关注的是Pulse Secure Pulse Connect Secure CVE-2019-11542缓冲区溢出漏洞;ISC BIND nxdomain-redirect拒绝服务漏洞; Cerner Connectivity Engine hostname、timezone和NTP server配置命令注入漏洞;Tenda AC7、AC9和AC10 web server (httpd)缓冲区溢出漏洞;Sierra Wireless AirLink ES450 ACEManager iplogging.cgi OS命令注入漏洞。


本周值得关注的网络安全事件是高通骁龙芯片高危漏洞,可导致QSEE加密私钥泄露;Google Play下架50个恶意应用,安装量达3000万次;针对华硕的供应链攻击ShadowHammer还瞄准另外六家亚洲公司;Wi-Fi热点查找器泄露200万Wi-Fi密码;Google Play中广告软件PreAMo,下载量达9000万次。


根据以上综述,本周安全威胁为中。

重要安全漏洞列表


1. Pulse Secure Pulse Connect Secure CVE-2019-11542缓冲区溢出漏洞

Pulse Secure Pulse Connect Secure存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

2. ISC BIND nxdomain-redirect拒绝服务漏洞
ISC BIND nxdomain-redirect功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使守护程序崩溃,进行拒绝服务攻击。
https://kb.isc.org/docs/cve-2019-6468

3. Cerner Connectivity Engine hostname、timezone和NTP server配置命令注入漏洞
Cerner Connectivity Engine hostname、timezone和NTP server配置存在输入漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意OS命令。
https://www.securifera.com/advisories/cve-2018-20052-20053/

4. Tenda AC7、AC9和AC10 web server (httpd)缓冲区溢出漏洞
Tenda AC7、AC9和AC10 web server (httpd)存在缓冲区溢出漏洞,允许 远程攻击者利用漏洞提交特殊的请求,可进行缓冲区溢出攻击,可执行任意代码或进行拒绝服务攻击。
https://github.com/zsjevilhex/iot/blob/master/route/tenda/tenda-02/Tenda.md

5. Sierra Wireless AirLink ES450 ACEManager iplogging.cgi OS命令注入漏洞
Sierra Wireless AirLink ES450 ACEManager iplogging.cgi存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意OS命令。
https://packetstormsecurity.com/files/152646/Sierra-Wireless-AirLink-ES450-ACEManager-iplogging.cgi-Command-Injection.html

重要安全事件综述


1、高通骁龙芯片高危漏洞,可导致QSEE加密私钥泄露


高通芯片组存在一个侧信道攻击漏洞,该漏洞(CVE-2018-11976)可允许攻击者从高通芯片的QSEE安全区域中检索加密私钥。QSEE是高通芯片的可信执行环境(TEE),类似于英特尔的SGX。根据NCC研究人员Keegan Ryan的表述,高通芯片的加密签名算法ECDSA(椭圆曲线算法)存在漏洞,可通过随机数的一些bit推测出256位ECDSA密钥。该漏洞的利用需要设备的root权限。有46款高通芯片组受到影响,包含多款骁龙芯片。该漏洞的修复补丁已经包含在Google发布的4月Android安全更新中。

原文链接:
https://www.zdnet.com/article/security-flaw-lets-attackers-recover-private-keys-from-qualcomm-chips/

2、Google Play下架50个恶意应用,安装量达3000万次


Avast研究团队在Google Play中发现50个恶意应用,这些应用的总下载次数达3000万次。根据Avast的报告,这些应用通过第三方库相互关联,可绕过Android的后台服务限制不断向用户显示越来越多的广告,在某些情况下甚至诱使用户安装其它广告软件。这些恶意应用的名称包括Pro Piczoo、Photo Blur Studio、Mov-tracker、Magic Cut Out和Pro Photo Eraser等,下载量从100万到1000次不等。

原文链接:
https://www.zdnet.com/article/30-million-android-users-have-installed-malicious-lifestyle-apps/

3、针对华硕的供应链攻击ShadowHammer还瞄准另外六家亚洲公司


卡巴斯基发现在之前针对华硕的供应链攻击ShadowHammer中,至少还有六家亚洲公司成为目标,包括三家游戏公司(Electronics Extreme、Innovative Extremist和Zepetto)以及未提及名称的一家视频游戏公司、一家综合控股公司和一家制药公司。在成功入侵受害者系统后,攻击者释放的恶意软件将能够收集系统信息并从C&C下载其它payload。

原文链接:
https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/

4、Wi-Fi热点查找器泄露200万Wi-Fi密码



根据TechCrunch的报告,一个名为WiFi Finder的Android APP泄露了超过200万个Wi-Fi网络的密码,其中数万个Wi-Fi热点位于美国。该APP用于帮助用户查找Wi-Fi热点,其下载量达数千次。研究人员发现该APP的数据库暴露在网上且未受保护,数据库中的记录包含Wi-Fi网络的名称、精确的地理位置、BSSID和明文密码,但不包括Wi-Fi所有者的联系信息。云服务公司DigitalOcean在接到报告后删除了该数据库。

原文链接:
https://threatpost.com/leaky_app_data/144029/

5、Google Play中广告软件PreAMo,下载量达9000万次



Checkpoint研究人员在Google Play中发现广告软件PreAMo,该广告软件伪装成6个APP,总下载量超过9000万次。PreAMo主要针对三个广告代理商 - Presage、Admob和Mopub进行欺诈,攻击者针对每个广告代理商使用不同的处理方法,但使用了相同的C&C服务器(res.mnexuscdn[.]com),用于发送统计信息和接收配置信息。Google Play在接到报告后已经下架了这些受感染的APP。

原文链接:
https://research.checkpoint.com/preamo-a-clicker-campaign-found-on-google-play/

上一篇 下一篇