首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2018年第16周

發布時間 2018-04-25

一、本周安全態勢綜述
        2018年04月16日至20日共收錄安全漏洞47個,值得關注的是Belkin N750棧緩沖區溢出漏洞;Discuz! DiscuzX CVE-2018-10298跨站腳本漏洞;Spring Data Commons遠程代碼執行漏洞;Oracle WebLogic Server反序列化遠程代碼執行漏洞;Adobe Flash Player越界寫任意代碼漏洞。

       本周值得關注的網絡安全事件是泰國運營商TrueMove H的用戶數據泄露,約4.6萬用戶受到影響;最新的研究顯示大量Android應用違規采集兒童的隱私信息;研究人員稱數百萬個APP通過廣告SDK泄露用戶數據;CCleaner APT調查后續:攻擊者通過TeamViewer進入Piriform的網絡;研究人員發現數據公司LocalBlox的約4800萬用戶數據可公開訪問。

        根據以上綜述,本周安全威脅為中。


二、重要安全漏洞列表
1、Belkin N750棧緩沖區溢出漏洞

        Belkin N750存在基于棧的緩沖區溢出漏洞,允許遠程攻擊者利用漏洞向proxy.cgi發送HTTP請求,可使應用程序崩潰或執行任意代碼。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站腳本漏洞

        Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制內容,允許遠程攻擊者利用漏洞注入惡意腳本或HTML代碼,當惡意數據被查看時,可獲取敏感信息或劫持用戶會話。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons遠程代碼執行漏洞

        Spring Data Commons處理SPEL表達式存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,以WEB權限執行任意命令。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化遠程代碼執行漏洞

        Oracle WebLogic Server存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊請求,以應用程序上下文執行任意代碼。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界寫任意代碼漏洞

        Adobe Flash Player存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊文件,誘使用戶解析,可以應用程序上下文執行任意代碼。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://helpx.adobe.com/security/products/flash-player/apsb18-08.html


三、重要安全事件綜述
1、泰國運營商TrueMove H的用戶數據泄露,約4.6萬用戶受到影響


        安全研究人員Niall Merrigan發現泰國最大的4G移動運營商TrueMove H的一個Amazon AWS S3可公開訪問,泄露的數據包含用戶的駕駛執照和護照等身份證件的掃描,數據總量為約4.6萬條記錄,共32GB。該數據庫直到4月12日還可繼續訪問,隨后該公司限制了其訪問權限。TrueMove H聲明稱數據泄露事件影響的是其子公司I True Mart。

        原文鏈接:https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的研究顯示大量Android應用違規采集兒童的隱私信息


        來自美國多所大學的隱私專家分析了Google Play商店的“為家庭而設計”(DFF)計劃的5855個Android app,發現超過57%的app可能違反了兒童在線隱私保護法案(COPPA)。約5%的app未經許可收集用戶的位置和聯系人信息,約19%的app與第三方共享敏感信息,約40%的app違反了旨在保護兒童隱私的Google服務條款。主要原因是大多數app使用的SDK通常自動收集用戶信息。

        原文鏈接:http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、研究人員稱數百萬個APP通過廣告SDK泄露用戶數據


        卡巴斯基實驗室安全研究員Roman Unuchek表示,數百萬個APP使用了第三方的SDK,但并沒有保護這些廣告SDK傳輸給第三方廣告商的用戶數據。這些數據包括用戶的個人身份信息如姓名、年齡、收入甚至電話號碼和電子郵件地址等,這些數據通過HTTP以未加密的方式傳輸,很容易被攔截和修改,導致惡意軟件感染和勒索等。

        原文鏈接:https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT調查后續:攻擊者通過TeamViewer進入Piriform的網絡


        Avast研究人員發布CCleaner APT的后續調查結果。攻擊者首先在2017年3月11日通過一個開發人員工作站上的TeamViewer進入Piriform公司的網絡,其如何獲取有效的登錄憑據還不得而知。根據日志文件,攻擊者在當地時間凌晨5點進行滲透,其使用的有效荷載是為此次攻擊而定制的ShadowPad。

        原文鏈接:https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、研究人員發現數據公司LocalBlox的約4800萬用戶數據可公開訪問


        UpGuard的研究人員發現數據公司LocalBlox的一個AWS S3可公開訪問,里面存儲了該公司從Facebook、LinkedIn、Twitter和房地產公司Zillow等網站上收集的約4800萬用戶的公開資料。這些數據包括用戶的姓名、出生日期、實際地址、(LinkedIn)工作歷史記錄、部分用戶的IP和電子郵件地址以及部分用戶的個人凈資產等信息。

        原文鏈接:https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/


上一篇 下一篇