首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第16周

發布時間 2019-04-22

本周安全態勢綜述



2019年4月15日至21日本周

共收錄安全漏洞46個,值得關注的是Atlassian Confluence Server和Atlassian Data Center目錄遍歷漏洞;Sangfor Sundray WLAN Controller權限提升漏洞; GitLab CVE-2019-9485用戶權限提升漏洞;Delta Electronics Delta Industrial Automation CNCSoft CVE-2019-10949緩沖區溢出漏洞;Cloud Foundry Cloud Controller API驗證漏洞。


本周值得關注的網絡安全事件是微軟遭黑客攻擊,部分用戶的OutLook帳戶信息泄露;Gnosticplayers出售第五批用戶數據,包含6500多萬個賬號;超大規模惡意廣告活動,劫持5億iOS用戶會話;JustDial API泄露超過1億印度用戶的個人信息;Facebook新數據丑聞,未經用戶許可上傳150萬用戶郵件聯系人。
根據以上綜述,本周安全威脅為中。



重要安全漏洞列表



1. Atlassian Confluence Server和Atlassian Data Center目錄遍歷漏
Atlassian Confluence Server和Atlassian Data Center downloadallattachments資源存在路徑遍歷漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文查看系統文件內容。
https://jira.atlassian.com/browse/CONFSERVER-58102

2. Sangfor Sundray WLAN Controller權限提升漏洞
Sundray WLAN Controller nginx_webconsole.php存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可讀取admin密碼,獲取權限。
https://nvd.nist.gov/vuln/detail/CVE-2019-9161

3. GitLab CVE-2019-9485用戶權限提升漏洞
GitLab impersonate user功能存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,提升用戶權限。
https://about.gitlab.com/2019/03/04/security-release-gitlab-11-dot-8-dot-1-released/

4. Delta Electronics Delta Industrial Automation CNCSoft CVE-2019-10949緩沖區溢出漏洞
Delta Electronics Delta Industrial Automation CNCSoft存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意代碼或進行拒絕服務攻擊。

https://ics-cert.us-cert.gov/advisories/ICSA-19-106-01


5. Cloud Foundry Cloud Controller API驗證漏洞
Cloud Foundry Cloud Controller API驗證實現存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可提升權限。
https://www.cloudfoundry.org/blog/cve-2019-3798


 重要安全事件綜述



1、微軟遭黑客攻擊,部分用戶的OutLook帳戶信息泄露


微軟證實1月1日至3月29日期間攻擊者入侵了一個客戶支持代理賬戶,并利用該賬戶訪問了客戶支持門戶網站及部分OutLook用戶的相關信息。這些信息包括電子郵件地址、文件夾名稱、郵件主題及聯系人電子郵件地址,但不包括郵件及附件的內容。目前尚不清楚攻擊的具體細節,但微軟表示已經禁用了該代理賬戶的憑據,并通知所有受影響的用戶。微軟也沒有透露受影響的用戶總數。

原文鏈接:
https://thehackernews.com/2019/04/microsoft-outlook-email-hack.html

2、Gnosticplayers出售第五批用戶數據,包含6500多萬個賬號


黑客Gnosticplayers在暗網論壇DreamMarket上出售第五批被盜的用戶數據,這批數據包含超過6500萬個用戶賬戶,售價為0.8463比特幣(4350美元)。這批被盜的用戶記錄屬于六家新公司,包括游戲平臺Mindjolt(2800萬)、在線購物社區Wanelo(2300萬)、蘋果維修中心iCracked(150萬)、旅游公司Yanolja(150萬)、電子邀請服務Evite(1000萬)和女子時裝店Moda Operandi(150萬)。目前為止Gnosticplayers出售的被盜用戶記錄總數已達9.32億條。

原文鏈接:
https://cyware.com/news/gnosticplayers-hacker-returns-with-fifth-dataset-containing-over-65-million-user-accounts-for-sale-95450e99

3、超大規模惡意廣告活動,劫持5億iOS用戶會話



安全廠商Confiant發現犯罪團伙eGobbler發起針對iOS用戶的超大規模惡意廣告活動,已劫持5億iOS用戶的會話。該攻擊活動從4月6日開始,持續了6天的時間,攻擊者使用了8個不同的惡意廣告系列和30多個虛假廣告,每個虛假廣告系列的生命周期為24-48小時之間。攻擊者主要針對美國和歐盟的iOS用戶,并在攻擊中利用了Chrome瀏覽器中的漏洞以繞過沙盒檢測。攻擊者使用了.world域名托管的釣魚網站,經過短暫的停頓之后,又轉向.site域名的釣魚網站。自4月14日以來,這些釣魚網站一直處于活躍狀態。

原文鏈接:
https://www.bleepingcomputer.com/news/security/malvertising-campaign-abused-chrome-to-hijack-500-million-ios-user-sessions/

4、JustDial API泄露超過1億印度用戶的個人信息


安全研究員Rajshekhar Rajaharia發現印度本地搜索服務公司JustDial的一個API未受保護,可被任何人利用以檢索超過100萬用戶的個人信息。泄露的數據包括用戶的姓名、電子郵件地址、手機號碼、居住地址、性別、出生日期、照片、就職公司等。雖然該API至少從2015年起就可公開訪問,但尚不清楚是否已有人利用它來收集JustDial用戶的個人信息。

原文鏈接:
https://thehackernews.com/2019/04/justdial-hacked-data-breach.html

5、Facebook新數據丑聞,未經用戶許可上傳150萬用戶郵件聯系人



在周三發布的一份聲明中,Facebook表示自2016年5月以來該公司“無意間”在未經用戶許可的情況下向服務器上傳了多達150萬用戶的電子郵件聯系人。這是Facebook近期面臨的一系列隱私相關問題和爭議中的最新事件。Facebook表示已在一個月前停止了可疑的電子郵件驗證過程,并向用戶保證未分享這些聯系人信息及已經開始刪除這些聯系人。

原文鏈接:
https://thehackernews.com/2019/04/facebook-email-database.html

上一篇 下一篇