2019年CWE最危险App错误列表Top25;AMD Radeon驱动程序虚拟机逃逸漏洞

发布时间 2019-09-19

1.研究人员发布phpMyAdmin CSRF 0day的PoC代码



安全研究员Manuel Garcia Cardenas披露phpMyAdmin中的一个未修补的0day及其PoC代码。该漏洞(CVE-2019-12922)是一个跨站点请求伪造(CSRF)漏洞,其影响范围有限,只允许攻击者删除受害者服务器上phpMyAdmin面板的设置页面中配置的服务器,因此该漏洞被评为中危。但该漏洞的利用水平较低,只需要知道目标服务器的url。漏洞影响了phpMyAdmin的最新版本4.9.0.1及2019年7月发布的phpMyAdmin 5.0.0-alpha1中。Cardenas在2019年6月发现了漏洞,但phpMyAdmin团队在收到通知后的90天内未能修复漏洞,因此研究人员向公众披露了漏洞详细信息。


原文链接:

https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html


2.MITRE发布2019年CWE最危险App错误列表Top25



非营利组织MITER发布2019年最危险的App漏洞和错误列表Top25。根据MITRE,最危险的App错误是CWE-119,它被描述为“对内存缓冲区边界内操作的不正确限制”,即缓冲区溢出导致的越界读或写。排在第二位的是CWE-79,被描述为“网页生成期间输入造成的不正确反应”,即XSS攻击。第三名则是CWE-20,即“不正确的输入验证”。该列表是基于MITER数据库中的CVE数据及NVD数据库和CVSS获得的信息,总共有大约2.5万个CVE提供了源数据。完整列表请参考以下链接。

  原文链接:

https://www.zdnet.com/article/these-software-vulnerabilities-top-mitres-most-dangerous-list-in-2019/


3.AMD Radeon驱动程序被曝存在虚拟机逃逸漏洞



思科Talos披露AMD ATI Radeon ATIDXX64.DLL驱动程序中的虚拟机逃逸漏洞。该漏洞存在于AMD Radeon RX 550及550系列显卡中,并且只能在运行VMWare Workstation 15时触发。研究人员说明称,可在VMware虚拟机系统中通过恶意像素着色器在AMD ATIDXX64.DLL驱动程序中触发内存越界写入,这可能会触发VMware来宾模式的漏洞,从而在宿主机上实行代码。该漏洞影响了ATIDXX64.DLL驱动程序版本25.20.15031.5004和25.20.15031.9002。该漏洞(CVE-2019-5049)的CVSS评分为9.0。


原文链接:

https://threatpost.com/amd-radeon-cards-vmware-workstations/148406/


4.犯罪团伙Tortoiseshell利用供应链攻击针对沙特阿拉伯



赛门铁克发现一个新的大规模供应链攻击活动,犯罪团伙Tortoiseshell利用供应链攻击瞄准中东IT企业,其目标包括11家IT企业,大部分位于沙特阿拉伯。该团伙至少自2018年7月以来一直活跃,它使用自定义和现成的恶意App,包括用Delphi和.NET开发的Syskit后门。该恶意App收集目标机器的IP地址、操作系统名称和版本以及Mac地址,并通过存储在注册表中的URL发送至C&C服务器。发送到C&C服务器的数据是经过Base64编码的。最初的感染向量尚未确认,但研究人员在一个案例中发现了Web shell,这表明攻击者可能会入侵Web服务器,然后用它来部署恶意App。


原文链接:

https://www.bleepingcomputer.com/news/security/new-tortoiseshell-group-hacks-11-it-providers-to-reach-their-customers/


5.挖矿僵尸网络Smominru在8月份新感染9万多台计算机



挖矿僵尸网络Smominru在2018年已经感染了超过50万台机器,获利约230万美金。根据Guardicore实验室发布的一份新报告,该僵尸网络现在依然活跃,在2019年8月新增了9万名受害者,平均每天新感染4700台设备。由于该蠕虫利用EternalBlue漏洞进行传播,因此Windows 7和Windows Server 2008是受感染最严重的操作系统,占所有感染的85%。25%的受害者不止一次被感染,这表明他们的系统在清除恶意App后没有进行适当的补丁修复和保护工作。该僵尸网络还会从受感染的系统中删除其它挖矿病毒,包括杀死进程、删除后门账户以及删除竞争对手的计划任务等。


原文链接:

https://www.bleepingcomputer.com/news/security/smominru-mining-botnet-in-cyber-turf-war-with-rival-malware/


6.新勒索AppTflower通过公开的RDP服务入侵企业网络



研究人员发现一种新的勒索AppTflower,主要针对企业环境,并通过暴露的远程桌面服务感染企业网络。该恶意App于8月初在野外被发现。一旦攻击者获得对目标机器的访问权限,就会使用PowerShell Empire、PSExec等工具遍历企业网络。当加密文件时,Tflower不会添加扩展名,而是在文件内容头部添加* tflower标记和经过加密的密钥。目前尚不清楚该勒索App的具体赎金金额。


原文链接:

https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/