首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第17周

發布時間 2019-04-29

本周安全態勢綜述


2019年4月22日至28日共收錄安全漏洞51個,值得關注的是Pulse Secure Pulse Connect Secure CVE-2019-11542緩沖區溢出漏洞;ISC BIND nxdomain-redirect拒絕服務漏洞; Cerner Connectivity Engine hostname、timezone和NTP server配置命令注入漏洞;Tenda AC7、AC9和AC10 web server (httpd)緩沖區溢出漏洞;Sierra Wireless AirLink ES450 ACEManager iplogging.cgi OS命令注入漏洞。


本周值得關注的網絡安全事件是高通驍龍芯片高危漏洞,可導致QSEE加密私鑰泄露;Google Play下架50個惡意應用,安裝量達3000萬次;針對華碩的供應鏈攻擊ShadowHammer還瞄準另外六家亞洲公司;Wi-Fi熱點查找器泄露200萬Wi-Fi密碼;Google Play中廣告軟件PreAMo,下載量達9000萬次。


根據以上綜述,本周安全威脅為中。

重要安全漏洞列表


1. Pulse Secure Pulse Connect Secure CVE-2019-11542緩沖區溢出漏洞

Pulse Secure Pulse Connect Secure存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

2. ISC BIND nxdomain-redirect拒絕服務漏洞
ISC BIND nxdomain-redirect功能存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使守護程序崩潰,進行拒絕服務攻擊。
https://kb.isc.org/docs/cve-2019-6468

3. Cerner Connectivity Engine hostname、timezone和NTP server配置命令注入漏洞
Cerner Connectivity Engine hostname、timezone和NTP server配置存在輸入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意OS命令。
https://www.securifera.com/advisories/cve-2018-20052-20053/

4. Tenda AC7、AC9和AC10 web server (httpd)緩沖區溢出漏洞
Tenda AC7、AC9和AC10 web server (httpd)存在緩沖區溢出漏洞,允許 遠程攻擊者利用漏洞提交特殊的請求,可進行緩沖區溢出攻擊,可執行任意代碼或進行拒絕服務攻擊。
https://github.com/zsjevilhex/iot/blob/master/route/tenda/tenda-02/Tenda.md

5. Sierra Wireless AirLink ES450 ACEManager iplogging.cgi OS命令注入漏洞
Sierra Wireless AirLink ES450 ACEManager iplogging.cgi存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意OS命令。
https://packetstormsecurity.com/files/152646/Sierra-Wireless-AirLink-ES450-ACEManager-iplogging.cgi-Command-Injection.html

重要安全事件綜述


1、高通驍龍芯片高危漏洞,可導致QSEE加密私鑰泄露


高通芯片組存在一個側信道攻擊漏洞,該漏洞(CVE-2018-11976)可允許攻擊者從高通芯片的QSEE安全區域中檢索加密私鑰。QSEE是高通芯片的可信執行環境(TEE),類似于英特爾的SGX。根據NCC研究人員Keegan Ryan的表述,高通芯片的加密簽名算法ECDSA(橢圓曲線算法)存在漏洞,可通過隨機數的一些bit推測出256位ECDSA密鑰。該漏洞的利用需要設備的root權限。有46款高通芯片組受到影響,包含多款驍龍芯片。該漏洞的修復補丁已經包含在Google發布的4月Android安全更新中。

原文鏈接:
https://www.zdnet.com/article/security-flaw-lets-attackers-recover-private-keys-from-qualcomm-chips/

2、Google Play下架50個惡意應用,安裝量達3000萬次


Avast研究團隊在Google Play中發現50個惡意應用,這些應用的總下載次數達3000萬次。根據Avast的報告,這些應用通過第三方庫相互關聯,可繞過Android的后臺服務限制不斷向用戶顯示越來越多的廣告,在某些情況下甚至誘使用戶安裝其它廣告軟件。這些惡意應用的名稱包括Pro Piczoo、Photo Blur Studio、Mov-tracker、Magic Cut Out和Pro Photo Eraser等,下載量從100萬到1000次不等。

原文鏈接:
https://www.zdnet.com/article/30-million-android-users-have-installed-malicious-lifestyle-apps/

3、針對華碩的供應鏈攻擊ShadowHammer還瞄準另外六家亞洲公司


卡巴斯基發現在之前針對華碩的供應鏈攻擊ShadowHammer中,至少還有六家亞洲公司成為目標,包括三家游戲公司(Electronics Extreme、Innovative Extremist和Zepetto)以及未提及名稱的一家視頻游戲公司、一家綜合控股公司和一家制藥公司。在成功入侵受害者系統后,攻擊者釋放的惡意軟件將能夠收集系統信息并從C&C下載其它payload。

原文鏈接:
https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/

4、Wi-Fi熱點查找器泄露200萬Wi-Fi密碼



根據TechCrunch的報告,一個名為WiFi Finder的Android APP泄露了超過200萬個Wi-Fi網絡的密碼,其中數萬個Wi-Fi熱點位于美國。該APP用于幫助用戶查找Wi-Fi熱點,其下載量達數千次。研究人員發現該APP的數據庫暴露在網上且未受保護,數據庫中的記錄包含Wi-Fi網絡的名稱、精確的地理位置、BSSID和明文密碼,但不包括Wi-Fi所有者的聯系信息。云服務公司DigitalOcean在接到報告后刪除了該數據庫。

原文鏈接:
https://threatpost.com/leaky_app_data/144029/

5、Google Play中廣告軟件PreAMo,下載量達9000萬次



Checkpoint研究人員在Google Play中發現廣告軟件PreAMo,該廣告軟件偽裝成6個APP,總下載量超過9000萬次。PreAMo主要針對三個廣告代理商 - Presage、Admob和Mopub進行欺詐,攻擊者針對每個廣告代理商使用不同的處理方法,但使用了相同的C&C服務器(res.mnexuscdn[.]com),用于發送統計信息和接收配置信息。Google Play在接到報告后已經下架了這些受感染的APP。

原文鏈接:
https://research.checkpoint.com/preamo-a-clicker-campaign-found-on-google-play/

上一篇 下一篇