首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第26周

發布時間 2019-07-08

本周安全態勢綜述



2019年7月01日至07日共收錄安全漏洞46個,值得關注的是Apache Mesos 遠程代碼執行漏洞;TRENDnet TEW-827DRU apply.cgi命令注入漏洞;NLnet Labs Name Server Daemon CVE-2019-13207緩沖區溢出漏洞;Nortek Security&Control Linear eMerge E3-Series CVE-2019-7253目錄遍歷漏洞;NetApp AFF A700s Baseboard Management Controller CVE-2019-5497命令注入漏洞。


本周值得關注的網絡安全事件是Android廣告軟件HiddenAd,下載量達930萬次;Cloudflare再次爆發故障,大量網站宕機;智能家居廠商Orvibo意外泄露超過20億條用戶記錄;研究人員發現首個濫用DNS over HTTPS協議的惡意軟件Godlua;超過30個VMware產品受到Linux SACK漏洞影響。


根據以上綜述,本周安全威脅為中。



重要安全漏洞列表



1. Apache Mesos 遠程代碼執行漏洞


Apache Mesos組件存在覆蓋漏洞,允許遠程攻擊者可以利用漏洞提交特殊的Docker映像,可覆蓋init helper以應用程序上下文執行任意代碼。

https://lists.apache.org/thread.html/b162dd624dc088cd634292f0402282a1d1d0ce853baeae8205bc033c@%3Cdev.mesos.apache.org%3E


2. TRENDnet TEW-827DRU apply.cgi命令注入漏洞


TRENDnet TEW-827DRU apply.cgi實現存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的畸形請求,可以應用程序上下文執行任意OS命令。
https://github.com/TeamSeri0us/pocs/blob/master/iot/trendnet/cmdinject678.jpg

3. NLnet Labs Name Server Daemon CVE-2019-13207緩沖區溢出漏洞


NLnet Labs Name Server Daemon dname.c文件的‘dname_concatenate()’函數存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的畸形請求,可進行拒絕服務攻擊或執行任意代碼。
https://github.com/NLnetLabs/nsd/issues/20

4. Nortek Security&Control Linear eMerge E3-Series CVE-2019-7253目錄遍歷漏洞


Nortek Security&Control Linear eMerge E3-Series存在目錄遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的畸形請求,以應用程序上下文讀取任意文件。
https://www.applied-risk.com/resources/ar-2019-005

5. NetApp AFF A700s Baseboard Management Controller CVE-2019-5497命令注入漏洞


NetApp AFF A700s Baseboard Management Controller存在輸入安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,執行任意OS命令。
https://security.netapp.com/advisory/ntap-20190627-0001/


 重要安全事件綜述



1、Android廣告軟件HiddenAd,下載量達930萬次


趨勢科技觀察到一個活躍的廣告軟件活動(AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA),該廣告軟件隱藏在182個可以免費下載的游戲和相機APP中,其中111個可在Google Play商店中找到,其它惡意APP則在9Apps和PP Assistant等第三方應用商店中出現。在被下架之前,這些惡意APP的總下載量達934.9萬次。該廣告軟件可以隱藏惡意APP的圖標,向用戶推送無法立即關閉或退出的全屏廣告,還可以逃避沙盒的檢測。


原文鏈接:
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-campaign-identified-from-182-game-and-camera-apps-on-google-play-and-third-party-stores-like-9apps/

2、Cloudflare再次爆發故障,大量網站宕機



CDN加速服務商Cloudflare在北京時間7月2日晚間出現大面積宕機,用戶訪問使用了Cloudflare的網站出現502錯誤。此次宕機原因是Cloudflare在新的Web應用層防火墻(WAF)中部署了一個配置錯誤的規則,且這些規則一次性在所有節點上部署,從而導致了全球大面積宕機。該錯誤的規則包含一個正則表達式,導致Cloudflare服務器上的CPU占用飆升至100%。隨后Cloudflare回滾了錯誤的規則,目前相關服務已恢復正常。這已經是Cloundflare本月第二次出現宕機事件。

原文鏈接:
https://blog.cloudflare.com/cloudflare-outage/

3、智能家居廠商Orvibo意外泄露超過20億條用戶記錄



vpnMentor研究人員發現智能家居廠商Orvibo的一個Elasticsearch數據庫可公開訪問,其中泄露了超過20億條用戶記錄。根據用戶日志,信息被泄露的用戶來自中國、日本、泰國、美國、英國、墨西哥、法國、澳大利亞和巴西。泄露的信息包括電子郵件地址、密碼、帳戶重置代碼、精確的地理位置、IP地址、用戶名和用戶ID。其中密碼為未加鹽的MD5哈希格式。除此之外,數據庫中還包含家庭ID、家庭名稱、關聯智能設備信息和計劃任務等。這些信息可能被用來永久鎖定用戶的賬戶。

原文鏈接:
https://cyware.com/news/unprotected-database-of-smart-home-vendor-exposes-billions-of-records-23f3a56b

4、研究人員發現首個濫用DNS over HTTPS協議的惡意軟件Godlua



研究人員發現首個濫用DNS over HTTPS(DoH)協議的惡意軟件Godlua,該惡意軟件是一個用Lua編寫的惡意軟件,其作用類似于后門。攻擊者利用漏洞(CVE-2019-3396)來感染Linux服務器。研究人員發現的兩個Godlua樣本都使用DNS over HTTPS請求來獲取域名TXT,其中存儲了C&C服務器的URL。這種從DNS文本記錄中檢索第二/第三階段C&C服務器URL地址的技術并不新鮮,但使用DoH請求而不是傳統的DNS請求為首次出現。DoH(DNS)請求對第三方觀察者加密且不可見,這包括依賴被動DNS監控來阻止對已知惡意域請求的網絡安全軟件。

原文鏈接:
https://www.zdnet.com/article/first-ever-malware-strain-spotted-abusing-new-doh-dns-over-https-protocol/

5、超過30個VMware產品受到Linux SACK漏洞影響


VMware確認SACK Panic和SACK Slowness漏洞影響其多個產品。該公司已將SACK Panic評級為重要并賦予7.5的CVSS評分,SACK Slowness為中等和CVSS評分5.3。根據VMware發布的安全公告,成功利用這些漏洞可能會導致目標系統崩潰或嚴重降低性能。受影響的產品包括vCenter Server Appliance、vCloud、vRealize和vSphere等。VMware正在為每個受影響的產品開發補丁,但到目前為止它僅發布了SD-WAN軟件、Unified Access Gateway和vCenter Server Appliance的更新。

原文鏈接:
https://www.securityweek.com/many-vmware-products-affected-sack-linux-vulnerabilities


上一篇 下一篇