首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2018年第21周

發布時間 2018-05-28

一、本周安全態勢綜述
        2018年05月21日至27日共收錄安全漏洞47個,值得關注的是GNU glibc本地緩沖區溢出漏洞;Foxit Reader U3D圖形多個任意代碼執行漏洞;Trend Micro Email Encryption Gateway命令注入漏洞;Intel多個CPU硬件CVE-2018-3640信息泄露漏洞;D-Link DIR-550A和DIR-604M遠程代碼執行漏洞。

        本周值得關注的網絡安全事件是研究團隊發現利用Google Play和Fackbook的APT攻擊活動RedDawn;研究團隊發現犯罪團伙Chrysene針對中東和英國ICS網絡的攻擊活動;研究人員發現僵尸網絡Brain Food在一周內感染約2400個網站;安全研究人員發現D-Link DIR-620路由器中存在后門賬戶;研究團隊發現針對巴基斯坦的APT組織Confucius與Patchwork存在關聯。

        根據以上綜述,本周安全威脅為中。


二、重要安全漏洞列表
1、GNU glibc本地緩沖區溢出漏洞

        GNU C Library mempcpy函數在AVX-512-optimized實現中存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件,誘使用戶解析,可使應用程序崩潰。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://sourceware.org/bugzilla/show_bug.cgi?id=23196
2、Foxit Reader U3D圖形多個任意代碼執行漏洞

        Foxit Reader處理PDF中的U3D圖形存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://srcincite.io/advisories/src-2018-0016/
3、Trend Micro Email Encryption Gateway命令注入漏洞

        Trend Micro Encryption for Email LauncherServer存在命令注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,以應用程序上下文執行任意代碼。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://www.zerodayinitiative.com/advisories/ZDI-18-416/
4、Intel多個CPU硬件CVE-2018-3640信息泄露漏洞

        Intel CPU若利用推測執行且執行推測讀取系統寄存器的情況下存在安全漏洞,允許本地攻擊者可以利用漏洞通過側信道分析獲取敏感信息。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://www.kb.cert.org/vuls/id/180049
5、D-Link DIR-550A和DIR-604M遠程代碼執行漏洞

        D-Link DIR-550A和DIR-604M處理偽造HTTP請求存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,以應用程序上下文執行操作系統命令。

        用戶可參考如下廠商提供的安全補丁以修復該漏洞:https://fortiguard.com/zeroday/FG-VD-18-060


三、重要安全事件綜述
1、研究團隊發現利用Google Play和Fackbook的APT攻擊活動RedDawn


        研究人員發現針對朝鮮叛逃者的一項復雜的間諜活動。該APT組織被稱為Sun Team,主要使用Google Play和Facebook作為攻擊媒介,它顯示了移動威脅形勢發展的速度有多快,因為該APT將策略轉移到專注于此部分。據觀察它的研究人員稱,它在Google Play中發布了三個“未發布”的測試版應用程序,其目標是講韓語的用戶。他們偽裝成Food Ingredients Info、ast AppLock和AppLockFree。Food Ingredients Info和Fast AppLock用于偷偷竊取敏感數據,如聯系人、信息、通話錄音和照片,并且還能夠從C2服務器接收命令和其他可執行文件(.dex),AppLockFree似乎是偵察工作的一部分,為未來的一輪攻擊奠定基礎。

        原文鏈接:https://threatpost.com/reddawn-espionage-campaign-shows-mobile-apts-on-the-rise/132081/

2、研究團隊發現犯罪團伙Chrysene針對中東和英國ICS網絡的攻擊活動


        研究團隊發現犯罪團伙Chrysene一直以來都針對中東和英國組織的工業網絡。工業網絡安全公司Dragos稱其為“Chrysene”,該團伙與OilRig和Greenbug有關,主要集中在阿拉伯海灣地區,并且參與了Shamoon和Shamoon 2攻擊。根據Dragos的說法,Chrysene從之前的OilRig和Greenbug的間諜活動演變而來,他們的工具、技術和程序重疊,但與這些其他團體相比,Chrysene在技術能力方面有著顯著的進步。

        原文鏈接:https://www.securityweek.com/chrysene-group-targets-ics-networks-middle-east-uk

3、研究人員發現僵尸網絡Brain Food在一周內感染約2400個網站


        僵尸網絡Brain Food通過惡意PHP腳本感染合法網站,并發布假冒減肥藥和補腦藥的廣告。Proofpoint研究人員稱該僵尸網絡已經感染了約5000個網站,域名托管服務商GoDaddy受到的影響最大,約占5000個網站的40%,其次依序是DreamHost、UnitedLayer和CyrusOne。

        原文鏈接:https://threatpost.com/malicious-php-script-infects-2400-websites-in-the-past-week/132161/

4、安全研究人員發現D-Link DIR-620路由器中存在后門賬戶


        卡巴斯基實驗室的安全研究人員發現D-Link DIR-620路由器固件中存在一個后門賬戶(CVE-2018-6213),可導致攻擊者通過互聯網接管該設備。出于安全考慮研究人員沒有披露該后門賬戶的用戶名和密碼,研究人員表示設備所有者無法禁用該后門賬戶。

        原文鏈接:https://www.bleepingcomputer.com/news/security/backdoor-account-found-in-d-link-dir-620-routers/

5、研究團隊發現針對巴基斯坦的APT組織Confucius與Patchwork存在關聯


        趨勢科技研究團隊發現APT組織Confucius針對巴基斯坦的新攻擊活動,該活動通過2個新的網站和有效荷載攻擊目標,包括Android惡意應用Fuddi Duniya以及一個惡意聊天應用。研究人員發現Confucius和Patchwork使用的惡意軟件中包含更多的共享代碼。

        原文鏈接:https://blog.trendmicro.com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/

上一篇 下一篇