首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2018年第49周

發布時間 2018-12-10
本周安全態勢綜述


2018年12月03日09日共收錄安全漏洞55個,值得關注的是Adobe Flash Player釋放后利用代碼執行漏洞;FreeBSD bhyve任意代碼執行漏洞;NUUO NVRMini2 upgrade_handle.php命令注入漏洞;HPE Intelligent Management Center PLAT dbman.exe緩沖區溢出漏洞;Rockwell Automation Allen-Bradley PowerMonitor 1000 訪問控制錯誤漏洞。


本周值得關注的網絡安全事件是Quora遭黑客入侵,約1億用戶數據被竊;M2M協議被曝存在漏洞,可用于攻擊工業物聯網系統;萬豪酒店因數據庫泄露遭集體訴訟,被索賠125億美元;APT組織Tropic Trooper新惡意活動,針對亞洲能源及食品行業;數據庫不設密碼,Urban公司超過30萬用戶信息泄露。

根據以上綜述,本周安全威脅為中。

重要安全漏洞列表


1. Adobe Flash Player釋放后利用代碼執行漏洞


Adobe Flash Player存在釋放后利用漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,可以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/flash-player/apsb18-42.html



2. FreeBSD bhyve任意代碼執行漏洞


FreeBSD對bhyve提供的設備模塊中缺少正確的邊界檢查,允許本地攻擊者利用漏洞提交特殊的請求,bhyve進程崩潰或以root權限在主機上執行任意代碼。

https://www.freebsd.org/security/advisories/FreeBSD-SA-18:14.bhyve.asc


3. NUUO NVRMini2 upgrade_handle.php命令注入漏洞


NUUO NVRMini2 upgrade_handle.php存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,以ROOT上下文執行任意代碼。

https://github.com/tenable/poc/tree/master/nuuo/nvrmini2/cve_2018_15716


4. HPE Intelligent Management Center PLAT dbman.exe緩沖區溢出漏洞


HPE Intelligent Management Center PLAT存在緩沖區溢出,允許遠程攻擊者利用漏洞提交特殊的請求,進行拒絕服務攻擊或執行任意代碼。

https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03906en_us


5. Rockwell Automation Allen-Bradley PowerMonitor 1000 訪問控制錯誤漏洞


Rockwell Automation Allen-Bradley PowerMonitor 1000 WEB頁面存在訪問控制漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,添加具有管理員權限的新賬戶。

http://packetstormsecurity.com/files/150619/Rockwell-Automation-Allen-Bradley-PowerMonitor-1000-Authentication-Bypass.html


重要安全事件綜述


1、Quora遭黑客入侵,約1億用戶數據被竊




頗受歡迎的問答網站Quora宣布遭黑客入侵,約1億用戶的數據被竊-幾乎是其客戶群體的一半。泄露的信息包括用戶的賬戶信息,例如姓名、電子郵件地址、哈希密碼以及從Facebook、Twitter等社交媒體導入的數據;用戶的公開內容,例如提問、回答、點贊和評論;用戶的非公開內容,例如回答邀請、私人消息等。Quora于周一晚間披露了此次事件,目前該事件還在進一步的調查之中。

原文鏈接:
https://thehackernews.com/2018/12/quora-hack.html


2、M2M協議被曝存在漏洞,可用于攻擊工業物聯網系統



趨勢科技研究團隊發現主流的兩個M2M(機器對機器)協議存在安全漏洞,可用于攻擊IoT和IIoT設備。根據該《工業物聯網數據骨干中的脆弱性》報告,這兩個協議分別是消息隊列遙測傳輸協議(MQTT)和約束應用協議(CoAP)。研究人員分析了這兩個協議的設計和實現上存在的漏洞,并發現了數十萬臺配置不當的服務器,這些服務器暴露了相關憑據、敏感信息以及工業流程相關的數據。這些漏洞可能導致DoS、任意代碼執行以及DDoS放大攻擊等。


原文鏈接:
https://blog.trendmicro.com/trendlabs-security-intelligence/machine-to-machine-m2m-technology-design-issues-and-implementation-vulnerabilities/


3、萬豪酒店因數據庫泄露遭集體訴訟,被索賠125億美元



萬豪國際酒店集團(Marriott International)近日因客戶數據庫泄露而遭遇集體訴訟,索賠金額高達125億美元。上周五萬豪宣布旗下喜達屋酒店(Starwood Hotel)的一個客戶預訂數據庫被黑客入侵,約5億客戶的信息可能泄露。據悉,黑客入侵早在2014年就已經開始。隨后,美國Geragos&Geragos律師事務所的律師本·梅塞拉斯(Ben Meiselas)和Underdog Law法律顧問邁克爾·富勒(Michael Fuller)代表兩名原告大衛·約翰遜(David Johnson)和克里斯·哈里斯(Chris Harris)對萬豪國際酒店提起集體訴訟,索賠125億美元。雖然這一金額看起來十分巨大,但也僅相當于5億潛在受害客戶每人得到25美元的賠償。


原文鏈接:
http://tech.sina.com.cn/i/2018-12-03/doc-ihprknvs8439051.shtml


4、APT組織Tropic Trooper新惡意活動,針對亞洲能源及食品行業



Windows Defender ATP團隊發現一個針對亞洲能源、食品和飲料行業的新惡意攻擊活動,基于對該活動的目標選擇、攻擊鏈以及工具集的分析,研究團隊認為該活動是由APT組織Tropic Trooper發起的。攻擊的初始向量是一個利用了Office公式編輯器漏洞CVE-2018-0802的惡意文檔,攻擊者隨后使用bitsadmin.exe從遠程服務器下載并執行隨機命名的payload。研究人員認為這些payload的主要目的是竊取數據。


原文鏈接:
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/


5、數據庫不設密碼,Urban公司超過30萬用戶信息泄露



Urban是一家英國的按摩創業公司,其數據庫因未設密碼導致超過30萬客戶信息泄露。研究人員Oliver Hough通過Shodan發現了該數據庫,目前該數據庫已下線,但不知道該數據庫暴露了多長時間。該數據庫中包含超過30.9萬用戶記錄,包括姓名、電子郵件地址、電話號碼等。此外,數據庫中還存儲了超過35.1萬個服務預定記錄,以及超過2000個按摩師的相關信息。


原文鏈接:
https://techcrunch.com/2018/11/27/urban-massage-data-exposed-customers-creepy-clients/


聲明:本資訊由啟明星辰維他命安全小組翻譯和整理


上一篇 下一篇