首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第41周

發布時間 2021-10-11

>本周安全態勢綜述


本周共收錄安全漏洞49個,值得關注的是Apache HTTP Server HTTP/2解析空指針引用拒絕服務漏洞;Zoho ManageEngine ADManager Plus CVE-2021-37931文件上傳代碼執行漏洞;Google Android框架CVE-2021-0652代碼執行漏洞;Visual Tools DVR VX cgi-bin/slogin/login.py命令執行漏洞; Google chrome Safe Browsing內存錯誤引用代碼執行漏洞。


本周值得關注的網絡安全事件是由于Firebase配置錯誤14個應用可能泄露1.4億用戶信息;Facebook路由配置錯誤導致全球范圍內服務中斷;英國每日電訊報Elasticsearch配置錯誤泄露10TB數據;Twitch因服務器配置錯誤泄露125GB源代碼等信息;Cyberint發現Vidar利用Mastodon的新一輪攻擊活動。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Apache HTTP Server HTTP/2解析空指針引用拒絕服務漏洞


Apache HTTP Server存在目錄遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文查看系統文件內容或者以應用程序上下文執行任意代碼。


https://httpd.apache.org/security/vulnerabilities_24.html


2. Zoho ManageEngine ADManager Plus CVE-2021-37931文件上傳代碼執行漏洞


Zoho ManageEngine ADManager Plus存在任意文件上傳漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可上傳惡意文件,以應用程序上下文執行任意代碼。


https://www.manageengine.com/products/ad-manager/release-notes.html#7111


3. Google Android框架CVE-2021-0652代碼執行漏洞


Google Android框架存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼,提升權限。


https://source.android.com/security/bulletin/2021-10-01


4. Visual Tools DVR VX cgi-bin/slogin/login.py命令執行漏洞


Visual Tools DVR VX16  cgi-bin/slogin/login.py Uaer-Agent HTTP處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。


https://www.exploit-db.com/exploits/50098


5. Google chrome Safe Browsing內存錯誤引用代碼執行漏洞


Google chrome Safe Browsing存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB頁請求,誘使用戶解析,可以應用程序上下文執行任意代碼或者使應用程序崩潰。


https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html


 >重要安全事件綜述


1、由于Firebase配置錯誤14個應用可能泄露1.4億用戶信息


9月30日, CyberNews 研究員 Martynas Vareikis 發布報告稱,由于 Firebase 數據庫配置錯誤,導致數以千計的 iOS / Android 應用程序泄露了超過1.4億條信息。Firebase 是 Google 提供的“后端即服務”產品,其中包含了大量發服務,旨在方便移動開發人員創建基于這些服務的移動或 Web 應用。


原文鏈接:

https://cybernews.com/security/research-popular-android-apps-with-142-5-million-collective-downloads-are-leaking-user-data/


2、Facebook路由配置錯誤導致全球范圍內服務中斷


10月4日,Facebook旗下多個平臺和服務,包括 Facebook、Instagram、Messenger和 WhatsApp等,相繼出現嚴重服務中斷。用戶無法登入程序,程序無法聯機和更新,沒法收發信息,就連以 Facebook賬號登入的程序和服務亦受到牽連,不能正常登入。Facebook其后發聲明指,內部路由器出現問題,連鎖反應導致服務全面中斷,雖然服務已回復,但內部仍在全力改善系統,以回復正常工作狀態。


原文鏈接:

https://www.bleepingcomputer.com/news/technology/facebook-outage-caused-by-faulty-routing-configuration-changes/


3、英國每日電訊報Elasticsearch配置錯誤泄露10TB數據


10月6日,研究員 Bob Diachenko 發現了一個屬于英國報紙“電訊報”的未受保護的 10 TB 數據庫。不安全的數據庫于9 月 14 日被發現,其中包含內部日志和訂閱者信息。數據存儲在暴露的 Elasticsearch 集群上,大部分數據都經過加密,但至少 1,200 名 Telegraph 訂閱者和注冊者的個人詳細信息以及大量內部服務器日志都已經過明確測試。


原文鏈接:

https://securityaffairs.co/wordpress/123020/data-breach/the-telegraph-data-leak.html


4、Twitch因服務器配置錯誤泄露125GB源代碼等信息


10月6日,黑客在4chan公開了包含125GB數據的torrent鏈接,稱這是從大約6000個內部Twitch Git存儲庫中竊取的,包括源代碼和支付記錄等信息。此外,攻擊者還使用了標簽#DoBetterTwitch,證明此次攻擊事件可能旨在針對Twitch 8月份沒有回應和抵御對主播的攻擊活動。Twitch在10月7日確認其數據泄露是由于服務器配置錯誤導致的,沒有登錄憑據和信用卡號泄露。


原文鏈接:

https://www.bleepingcomputer.com/news/security/twitch-no-credentials-or-card-numbers-exposed-in-data-breach/


5、Cyberint發現Vidar利用Mastodon的新一輪攻擊活動


Cyberint發現惡意軟件Vidar在新一輪攻擊活動中回歸。Vidar自2018年10月以來開始活躍,旨在從目標系統中竊取電子郵件憑據、聊天帳戶詳細信息、cookie等數據。此次活動中,攻擊者首先建立Mastodon賬號,并在個人資料描述部分添加惡意軟件使用的C2的IP。其還使用了另一種分發方法,直接在社交媒體平臺上發送消息,或者是利用破解游戲的torrent。


原文鏈接:

https://www.bleepingcomputer.com/news/security/vidar-stealer-abuses-mastodon-to-silently-get-c2-configuration/

上一篇 下一篇