信息安全周报-2021年第41周
发布时间 2021-10-11>本周安全态势综述
本周共收录安全漏洞49个,值得关注的是Apache HTTP Server HTTP/2解析空指针引用拒绝服务漏洞;Zoho ManageEngine ADManager Plus CVE-2021-37931文件上传代码执行漏洞;Google Android框架CVE-2021-0652代码执行漏洞;Visual Tools DVR VX cgi-bin/slogin/login.py命令执行漏洞; Google chrome Safe Browsing内存错误引用代码执行漏洞。
本周值得关注的网络安全事件是由于Firebase配置错误14个应用可能泄露1.4亿用户信息;Facebook路由配置错误导致全球范围内服务中断;英国每日电讯报Elasticsearch配置错误泄露10TB数据;Twitch因服务器配置错误泄露125GB源代码等信息;Cyberint发现Vidar利用Mastodon的新一轮攻击活动。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Apache HTTP Server HTTP/2解析空指针引用拒绝服务漏洞
Apache HTTP Server存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文查看系统文件内容或者以应用程序上下文执行任意代码。
https://httpd.apache.org/security/vulnerabilities_24.html
2. Zoho ManageEngine ADManager Plus CVE-2021-37931文件上传代码执行漏洞
Zoho ManageEngine ADManager Plus存在任意文件上传漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可上传恶意文件,以应用程序上下文执行任意代码。
https://www.manageengine.com/products/ad-manager/release-notes.html#7111
3. Google Android框架CVE-2021-0652代码执行漏洞
Google Android框架存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码,提升权限。
https://source.android.com/security/bulletin/2021-10-01
4. Visual Tools DVR VX cgi-bin/slogin/login.py命令执行漏洞
Visual Tools DVR VX16 cgi-bin/slogin/login.py Uaer-Agent HTTP处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://www.exploit-db.com/exploits/50098
5. Google chrome Safe Browsing内存错误引用代码执行漏洞
Google chrome Safe Browsing存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB页请求,诱使用户解析,可以应用程序上下文执行任意代码或者使应用程序崩溃。
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html
>重要安全事件综述
1、由于Firebase配置错误14个应用可能泄露1.4亿用户信息
9月30日, CyberNews 研究员 Martynas Vareikis 发布报告称,由于 Firebase 数据库配置错误,导致数以千计的 iOS / Android 应用程序泄露了超过1.4亿条信息。Firebase 是 Google 提供的“后端即服务”产品,其中包含了大量发服务,旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。
原文链接:
https://cybernews.com/security/research-popular-android-apps-with-142-5-million-collective-downloads-are-leaking-user-data/
2、Facebook路由配置错误导致全球范围内服务中断
10月4日,Facebook旗下多个平台和服务,包括 Facebook、Instagram、Messenger和 WhatsApp等,相继出现严重服务中断。用户无法登入程序,程序无法联机和更新,没法收发信息,就连以 Facebook账号登入的程序和服务亦受到牵连,不能正常登入。Facebook其后发声明指,内部路由器出现问题,连锁反应导致服务全面中断,虽然服务已回复,但内部仍在全力改善系统,以回复正常工作状态。
原文链接:
https://www.bleepingcomputer.com/news/technology/facebook-outage-caused-by-faulty-routing-configuration-changes/
3、英国每日电讯报Elasticsearch配置错误泄露10TB数据
10月6日,研究员 Bob Diachenko 发现了一个属于英国报纸“电讯报”的未受保护的 10 TB 数据库。不安全的数据库于9 月 14 日被发现,其中包含内部日志和订阅者信息。数据存储在暴露的 Elasticsearch 集群上,大部分数据都经过加密,但至少 1,200 名 Telegraph 订阅者和注册者的个人详细信息以及大量内部服务器日志都已经过明确测试。
原文链接:
https://securityaffairs.co/wordpress/123020/data-breach/the-telegraph-data-leak.html
4、Twitch因服务器配置错误泄露125GB源代码等信息
10月6日,黑客在4chan公开了包含125GB数据的torrent链接,称这是从大约6000个内部Twitch Git存储库中窃取的,包括源代码和支付记录等信息。此外,攻击者还使用了标签#DoBetterTwitch,证明此次攻击事件可能旨在针对Twitch 8月份没有回应和抵御对主播的攻击活动。Twitch在10月7日确认其数据泄露是由于服务器配置错误导致的,没有登录凭据和信用卡号泄露。
原文链接:
https://www.bleepingcomputer.com/news/security/twitch-no-credentials-or-card-numbers-exposed-in-data-breach/
5、Cyberint发现Vidar利用Mastodon的新一轮攻击活动
Cyberint发现恶意软件Vidar在新一轮攻击活动中回归。Vidar自2018年10月以来开始活跃,旨在从目标系统中窃取电子邮件凭据、聊天帐户详细信息、cookie等数据。此次活动中,攻击者首先建立Mastodon账号,并在个人资料描述部分添加恶意软件使用的C2的IP。其还使用了另一种分发方法,直接在社交媒体平台上发送消息,或者是利用破解游戏的torrent。
原文链接:
https://www.bleepingcomputer.com/news/security/vidar-stealer-abuses-mastodon-to-silently-get-c2-configuration/
京公网安备11010802024551号