首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第13周

發布時間 2019-04-01

本周安全態勢綜述


2019年3月25日至31日共收錄安全漏洞53個,值得關注的是Apache Tomcat HTTP/2拒絕服務漏洞;DedeCMS任意用戶密碼重置漏洞; Forcepoint Email Security密碼重置漏洞;Green Hills INTEGRITY RTOS IPWEBS棧溢出漏洞;Dell EMC NetWorker CVE-2017-8023任意命令執行漏洞。


本周值得關注的網絡安全事件是UC瀏覽器易遭中間人攻擊,波及5億用戶;針對華碩Live Update的供應鏈攻擊,或影響超過100萬用戶;TP-Link SR20路由器0day,可導致任意代碼執行;Norsk Hydro因勒索軟件攻擊損失超4100萬美元;黑客入侵德州龍卷風警報系統,發布30多個虛假警報。


根據以上綜述,本周安全威脅為中。



重要安全漏洞列表


1. Apache Tomcat HTTP/2拒絕服務漏洞


Apache Tomcat HTTP/2實現存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可進行拒絕服務攻擊。
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0199


2. DedeCMS任意用戶密碼重置漏洞
DedeCMS member/resetpassword.php文件沒有正確地驗證key參數,允許遠程攻擊者利用漏洞提交特殊的請求,可重置任意用戶的密碼。
https://blog.csdn.net/yalecaltech/article/details/88594388


3. Forcepoint Email Security密碼重置漏洞


Forcepoint Email Security密碼重置功能存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,重置密碼。
https://support.forcepoint.com/KBArticle?id=000016655


4. Green Hills INTEGRITY RTOS IPWEBS棧溢出漏洞


Green Hills INTEGRITY RTOS IPWEBS解析http驗證頭存在棧溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。
https://github.com/bl4ckic3/GHS-Bugs


5. Dell EMC NetWorker CVE-2017-8023任意命令執行漏洞


Dell EMC NetWorker RPC服務存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以nsrexecd服務權限執行任意命令。
https://packetstormsecurity.com/files/152245/EMC-Networker-Remote-Code-Execution.html



 重要安全事件綜述


1、UC瀏覽器易遭中間人攻擊,波及5億用戶



根據安全廠商Dr. Web發布的一份新報告,UC瀏覽器至少從2016年開始就具有一個隱藏的功能,可從公司的服務器向用戶的Android設備下載并安裝新的庫和模塊。由于此功能是基于HTTP協議,使得攻擊者可執行MiTM攻擊并向用戶推送惡意模塊。UC瀏覽器并未檢查插件的簽名,這意味著惡意模塊將會無需驗證而直接啟動。此外,這一功能也違反了Google Play的安全政策。所有版本的UC瀏覽器和UC Mini瀏覽器均受影響,據稱該瀏覽器在中國和印度擁有超過5億用戶。


原文鏈接:
https://thehackernews.com/2019/03/uc-browser-android-hacking.html


2、針對華碩Live Update的供應鏈攻擊,或影響超過100萬用戶



2019年1月卡巴斯基實驗室發現一個涉及到華碩Live Update Utility軟件的復雜供應鏈攻擊,此次攻擊發生在2018年6月至11月之間,可能影響了全球超過100萬用戶。華碩Live Update是預裝在大多數華碩電腦上的實用程序,用于自動更新BIOS、UEFI、驅動程序等組件。攻擊者在木馬化的樣本中硬編碼了一個目標MAC地址的列表(數目為600個以上),但目標群體的身份尚不明確。由于樣本是用合法證書簽署的(例如“ASUSTeK Computer Inc.”),并且托管在華碩官方更新服務器liveupdate01s.asus[.]com和liveupdate01.asus[.]com上,導致該攻擊長期未被發現。目前的證據表明攻擊者或與APT組織BARIUM有關。


原文鏈接:
https://securelist.com/operation-shadowhammer/89992/


3、TP-Link SR20路由器0day,可導致任意代碼執行



谷歌開發人員Garret披露了TP-Link SR20智能家居路由器中的0day,該漏洞允許同一網絡中的潛在攻擊者執行任意代碼。Garret向TP-Link報告了該漏洞,但在90天內并未得到TP-Link的回復,因此他公布了這一漏洞。該漏洞允許攻擊者以root身份執行任意命令,Garret還發布了相關PoC。截至目前TP-Link尚未進行回應。


原文鏈接:
https://www.bleepingcomputer.com/news/security/zero-day-tp-link-sr20-router-vulnerability-disclosed-by-google-dev/


4、Norsk Hydro因勒索軟件攻擊損失超4100萬美元



在上周遭到勒索軟件LockerGoga攻擊之后,挪威鋁生產商Norsk Hydro仍在恢復其IT系統。該公司稱基于高層評估,初步估計網絡攻擊造成的損失約為3-3.5億挪威克朗(合3500-4100萬美元),主要損失來源于利潤和鋁材擠壓業務的損失。該公司稱鋁材擠壓解決方案已經恢復了70-80%,但建筑系統業務仍未恢復。


原文鏈接:
https://www.infosecurity-magazine.com/news/norsk-hydro-ransomware-costs-hit-1-1/


5、黑客入侵德州龍卷風警報系統,發布30多個虛假警報



3月12日凌晨2:30左右,黑客入侵了德克薩斯州的龍卷風警報系統,并向兩個城鎮(DeSoto和Lancaster)發布了至少30個虛假龍卷風警報,引起了當地居民的恐慌。其中20個虛假警報是在Lancaster發布的,其余的則是在DeSoto。之后這些系統一直處于脫機狀態,直至3月17日才恢復正常服務。警方正在對這些入侵行為進行調查。


原文鏈接:

https://securityaffairs.co/wordpress/82854/cyber-crime/emergency-tornado-alarms-hack.html


上一篇 下一篇