首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第29周

發布時間 2019-07-29

>  本周安全態勢綜述



2019年7月22日至28日共收錄安全漏洞49個,值得關注的是ProFTPD SITE CPFR/CPTO任意讀寫漏洞;Apple Webkit 多個內存破壞代碼執行漏洞;Zeroshell http參數命令注入漏洞;Apache Storm反序列化代碼執行漏洞;McAfee Data Loss Prevention Endpoint ePO擴展命令注入漏洞。


本周值得關注的網絡安全事件是俄羅斯聯邦安全局承包商遭黑客入侵,機密項目曝光;ProFTPD RCE漏洞,超過100萬臺服務器受影響;印度小額信貸銀行Jana Cash意外泄露260萬用戶交易信息;RiskIQ發布2019互聯網犯罪報告,每分鐘損失290萬美元;前西門子合同工承認在公司電子表格中植入邏輯炸彈。


根據以上綜述,本周安全威脅為中。



>  重要安全漏洞列表



1. ProFTPD SITE CPFR/CPTO任意讀寫漏洞


ProFTPD SITE CPFR/CPTO沒有正確處理配置,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意讀寫操作。

http://bugs.proftpd.org/show_bug.cgi?id=4372

2. Apple Webkit CVE-2019-8644內存破壞代碼執行漏洞


Apple iOS包含的WebKit存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

https://support.apple.com/zh-cn/HT210356

3. Zeroshell http參數命令注入漏洞


Zeroshell處理http參數存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。
https://www.tarlogic.com/advisories/zeroshell-rce-root.txt

4. Apache Storm反序列化代碼執行漏洞


Apache Storm處理不可信數據存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。
https://lists.apache.org/thread.html/3e4f704c4bd9296405a07a0290b8cbb6cbf5046e277efe6d93280a98@%3Cuser.storm.apache.org%3E

5. McAfee Data Loss Prevention Endpoint ePO擴展命令注入漏洞


McAfee Data Loss Prevention Endpoint ePO擴展存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意OS命令。
https://kc.mcafee.com/corporate/index?page=content&id=SB10289



 重要安全事件綜述



1、俄羅斯聯邦安全局承包商遭黑客入侵,機密項目曝光



俄羅斯聯邦安全局(FSB)的承包商SyTech遭黑客入侵,該公司為FSB開發的機密項目被曝光。該攻擊事件發生在7月13日,黑客團伙0v1ru$入侵了SyTech的服務器,并竊取了7.5TB的數據。這些數據隨后被分享給黑客團伙DigitalRevolution,后者向媒體進行了曝光。這些機密項目包括旨在隔離俄羅斯互聯網的Nadezhda項目、旨在收集社交媒體用戶信息的Nautilus項目以及旨在對Tor網絡用戶進行去匿名化的Nautilus-S項目等。

原文鏈接:https://www.bleepingcomputer.com/news/security/russian-fsb-intel-agency-contractor-hacked-secret-projects-exposed/

2、ProFTPD RCE漏洞,超過100萬臺服務器受影響




ProFTPD發布新版本1.3.6,修復一個可導致RCE的漏洞。該漏洞(CVE-2019- 12815)與ProFTPD的mod_copy模塊有關,漏洞原因是mod_copy模塊的自定義SITE CPFR和SITE CPTO命令沒有按預期配置工作。管理員可通過禁用mod_copy模塊來緩解該漏洞。根據Shodan的搜索結果,目前有超過100萬個ProFTPd服務器尚未升級修復補丁。德國CERT-Bund也針對該漏洞向用戶發出警報。

原文鏈接:https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/

3、印度小額信貸銀行Jana Cash意外泄露260萬用戶交易信息



研究人員發現印度小額信貸銀行Jana Cash的一個數據庫未受密碼保護,導致數百萬用戶的交易信息可被公開訪問。泄露的敏感信息包括260萬用戶的交易記錄,以及他們的KYC PII信息,例如錢包ID、用戶名、電子郵件、IP地址和端口號等。在研究人員通報該公司后,該公司已對Elastic數據庫進行保護。目前尚不清楚該數據庫暴露了多長時間以及是否已被其他人訪問。

原文鏈接:https://securitydiscovery.com/jana-bank-data-leak/

4、RiskIQ發布2019互聯網犯罪報告,每分鐘損失290萬美元



根據RiskIQ的數據,去年網絡犯罪分子每分鐘給全球經濟造成290萬美元的損失,全年總計造成1.5萬億美元的損失。其它數據包括,加密貨幣交易所每分鐘的損失達1930美元;釣魚攻擊每分鐘造成的損失達17700美元;2019年全球勒索軟件事件的預計成本為每分鐘22184美元;每分鐘泄露的身份數據條數為8100條;每分鐘檢測到的惡意重定向為7個等。

原文鏈接:https://www.riskiq.com/blog/external-threat-management/2019-evil-internet-minute/

5、前西門子合同工承認在公司電子表格中植入邏輯炸彈



前西門子合同工David Tinley承認在為公司創建的電子表格中植入邏輯炸彈,他將面臨最高10年的監禁以及25萬美元的罰款。根據相關法庭文件,Tinley為西門子的Monroeville PA辦事處提供了近十年的軟件服務,他在給公司創建用于管理設備訂單的電子表格時植入了邏輯炸彈,這些炸彈會在特定日期觸發,導致文件崩潰。每次崩潰時Tinley都會收取費用來修復該文件,直到兩年后西門子發現了邏輯炸彈并提出了指控。

原文鏈接:https://www.zdnet.com/article/siemens-contractor-pleads-guilty-to-planting-logic-bomb-in-company-spreadsheets/


上一篇 下一篇