维他命2019大盘点之安全事件/漏洞篇

发布时间 2020-01-01

导读


 2019年,数据泄露、DDoS攻击和安全漏洞事件频发:

大规模的数据泄露事件成为当前一个巨大的难题,加强监管和立法迫在眉睫;随着云安全的快速发展,同时伴随互联网宽带提速、物联网、IPV6的发展使DDoS攻击峰值流量持续攀升;漏洞作为攻击的最常用手段,高危漏洞需重点关注。本篇将回溯2019年的一些重大数据泄露、DDOS攻击事件及安全漏洞。


数据泄露


数据管理企业Rubrik数据泄露


1月29日,IT安全和云数据管理企业Rubrik遭受大规模数据泄露,遭到泄露的数据库托管在 亚马逊 Elasticsearch 服务器上,拥有数十亿字节的数据,泄露信息包括每个企业客户的客户名称、联系信息和工作信息等敏感信息。Rubrik没有透露是否会通知其客户或国家监管机构,但是因为此次数据泄露事件包含了欧洲企业,所以可能会面临GDPR相关的罚款。根据时间戳,这些数据可追溯至2018年10月。经过调查,Rubrik称这一事件是由人为错误导致的。


Verifications.io泄露8.09亿用户数据


2月25日,安全研究人员发现了一个属于Verifications.io的可公开访问的MongoDB数据库,记录包括了一些标准信息,如姓名、电子邮件地址、电话号码和居住地址。但其中也包括性别、出生日期、个人抵押贷款金额、利率、脸书、LinkedIn和Instagram账户与电子邮件地址相关的事项,以及人们的信用评分等级(比如平均、高于平均,等等)。与此同时,该数据库中的其他记录似乎与企业销售行为有关,包括企业名称、年收入、传真号码、企业网站,以及分类企业时所用的“SIC” 和“NAIC”之类的行业标识符。Verifications.io网站已将该内容全部下线,至今尚未恢复。


脸书 5.4亿用户记录泄露


4月03日,研究团队发现两个第三方应用的AMAZONS3存储库可公开访问,其中一个属于墨西哥媒体企业Cultura Colectiva,该数据库名为cc-datalake,大小为146GB,包含约5.4亿用户记录,记录包括邮箱地址与登录信息,而登录信息这部分甚至直接囊括了密码、账号、识别码、用户评论和互动,。另一个属于第三方应用At the Pool,只包含2.2万用户记录。Cultura Colectiva与At the Pool数据库之间的共通点,是它们都存放了与脸书用户有关的数据,从他们的兴趣、关系到互动等;受到外界严格检视的脸书正在紧缩第三方程序所能访问的用户数据。


JustDial 泄露1.56亿印度用户信息


4月17日,研究人员发现印度本地搜索引擎企业JustDial的一个API漏洞,这导致黑客可以登录该APP1.56亿用户的账户。泄露的数据包括JustDial用户的姓名、电子邮件、手机号码、地址、性别、出生日期、照片和职业信息。该API漏洞至少从2015年开始就存在了,但目前尚不清楚是否有人滥用它来收集JustDial用户的个人信息。据称,黑客除了可以通过该漏洞访问用户姓名、电话号码和电子邮件地址等信息以外,还能查看账户支付信息。


Evite泄露1.01亿账户信息


5月14日,Evite发布数据泄露通知,表示其服务器从2月22日开始遭未授权访问,约1000万用户信息泄露。但根据Have I Been Pwned网站收录的数据数据,这一数字要大得多,共有1.01亿用户信息泄露。这些数据最早可追溯至2013年,泄露的信息包括姓名、电话号码、实际地址、出生日期、性别、明文密码和电子邮件地址。最初被泄露的数据库在Dream Market上出售,但该网站已被警方关闭,因此目前尚不清楚这个更大的数据库是否也在出售。


FAFC泄露8.85亿条抵押贷款记录


5月24日,据纽约时报报道,美国金融企业First American Financial Corporation官网上的一个漏洞泄露了16年来与抵押贷款有关的8.85亿条记录。记录包括银行帐号和对帐单,抵押和税务记录,社会保险号,电汇收据和驾驶执照图像。该企业表示正在评估此事件对客户信息安全性的影响,在内部审核完成之前,将不会发表任何评论。目前,美国证券交易委员会和纽约州都在进行调查。美国证券交易委员会拒绝对此事发表评论.


Orvibo泄露超过20亿条用户记录


6月16日,研究小组发现了一个与Orvibo智能家居产品相关的可任意访问的数据库。该数据库包含20多亿条日志,记录了用户名、电子邮件地址、密码和精确定位信息,其中密码为未加盐的MD5哈希格式。而且数据量还在每天持续增加中。除此之外,数据库中还包含家庭ID、家庭名称、关联智能设备信息和计划任务等。在泄露的 20 亿条日志中已经找到了来自日本、泰国、美国、英国、墨西哥、法国、澳大利亚、巴西等多个国家和地区的用户。


Capital One泄露1.06亿用户信息


7月19日,美国金融企业Capital One确认其系统于3月22日至23日期间遭未授权访问,导致1.06亿用户的信息泄露,包括交易数据、信用评分、支付历史、余额以及关联的银行账户和社会安全号码。受影响的用户包括1亿美国人和600万加拿大人。根据相关证据,FBI已经逮捕了嫌疑人Paige Thompson。Capital One表示由于客户通知、免费的信用监控服务、安全改进成本以及法律费用,这一事件将产生约1亿至1.5亿美金的成本。Capital One也声称他们拥有网络安全保险。


12亿社交数据泄露,数据超4TB


10月16日,研究人员发现了一个可公开访问的Elasticsearch服务器,无需密码或任何形式的身份验证即可访问或下载所有数据。该数据库包含40亿个用户帐户超4TB的数据。其中所有数据集中的存在唯一身份ID的人员总数达到了12亿,这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名,电子邮件地址,电话号码,LinkedIN和脸书个人资料信息。导致此数据泄漏与众不同的原因在于,它包含似乎来自两个不同的数据企业的数据集People Data Labs和OxyData.Io。


黑客公开开曼银行2.21TB数据


11月15日,黑客从开曼银行窃取了2.21TB的数据并发布在网上,据称这些数据是由黑客Phineas Fisher窃取的。数据包括超过3800家企业、信托和个人账户的详细财务信息,涉及的1400多个客户帐户位置,包括马恩岛780个,塞浦路斯272个,英国153个,开曼群岛107个,英属维尔京群岛51个,塞舌尔12个,美国11个,伯利兹7个,爱尔兰7个,以及涉及离岸银行业务的其他司法管辖区,包括直布罗陀,泽西岛,圣基茨和尼维斯,巴巴多斯,根西岛,马耳他和毛里求斯。针对此次严重数据泄露事件,随后开曼银行公开发布一份声明,证实其遭到入侵。


TrueDialog泄露10亿条记录


11月26日,安全研究团队发现美国短信运营商TrueDialog的Elasticsearch数据库未授权访问漏洞,导致数据库泄露604GB的数据,其中包括10亿个高度敏感的数据信息,这些数据和TrueDialog业务模型的许多方面都相关联,这可能会引发潜在的钓鱼攻击。其中有数百万个账号是明文密码和base64编码的密码。根据公开信息,该企业目前与990多家手机运营商合作,拥有超过50亿用户。


Elasticsearch27亿数据泄露


12月10日,研究人员在云存储桶中发现了27亿个电子邮件地址、10亿个电子邮件账户密码和一个近80万份出生证明副本的应用程序。大多数邮件域名都来自中国的邮件运营商,比如Tencent、新浪、搜狐和网易。雅虎gmail和一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与2017年数据泄露事件有关,当时有黑客直接将它们放在暗网上售卖。该ElasticSearch服务器属于美国的一个托管服务中心,后者在Diachenko发布数据库存储安全报告后于12月9日关闭。但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。


DDoS攻击


菲律宾NUJP遭到DDoS攻击


2月11日,菲律宾全国资讯工编辑联盟网站遭到DDoS攻击,导致网站两次下线,该站点的总流量为615 GB,峰值为468GB。其分支机构Bulatlat,Kodao Productions,AlterMidya和Pinoy Weekly也是该攻击活动的目标。


奥尔巴尼大学遭到DDoS攻击


2月19日起,奥尔巴尼大学的UA系统遭到17次DDoS攻击,这些攻击影响了多个UA IT系统(尤其是Blackboard)的可用性和功能。UA网络中的计算机不受DDoS攻击的影响。但是使用自己的设备的学生和教师无法访问Blackboard。


厄瓜多尔遭到4000万次黑客攻击


4月11日,自维基解密创始人朱利安·阿桑奇被捕后,厄瓜多尔称遭受了来自多国大规模的网络攻击,高达4000万次,这些攻击主要来自美国、巴西、荷兰、德国、罗马尼亚、法国、奥地利、英国和厄瓜多尔。受网络攻击最严重的是外交部、央行、总统办公室、税务局以及一些部委和大学。厄瓜多尔表示,这些机构的资料并没有被窃取或删除。


Ubisoft遭到DDoS攻击


6月18日,Ubisoft称已解决今天因DDoS攻击引发的问题,所有服务已恢复。大量的流量导致Web服务器不稳定且无法使用。虽然目前尚不清楚是谁对这次攻击负责,去年Ubisoft也遭到DDoS攻击,该企业花了大约10个小时才恢复。


Mirai DDoS攻击流媒体服务长达13天


7月26日,发起此次攻击的僵尸网络Mirai是2016年首次发现的IoT恶意App,Mirai的源代码于2016年10月被公开,此后产生了许多变体,包括Echobot,Wicked,Satori,Okiru,Masuta和其它。该僵尸网使用了402,000个不同的IP,其中大多数显然位于巴西,它利用的物联网(IoT)设备开放了端口2000和7547,这些端口历来与被Mirai恶意App感染的设备相关联。为了掩盖他们的攻击,攻击者使用了合法的User-Agent,该代理类似于服务自己的应用程序。


维基百科遭DDoS攻击,数小时后恢复


9月8日凌晨2点左右,维基百科遭受恶意网络攻击导致多个国家的分站宕机下线,主要受到影响的是欧洲和中东用户。维基百科基金会证实了此次攻击并通知用户其专家已经在努力恢复正常运营。维基百科没有将攻击归因于特定的攻击者,并表示不能排除它可能是测试可供出租的DDoS僵尸网络攻击力的示范性攻击。根据来自不同国家的用户的说法,数小时后已基本恢复了正常服务,但维基百科尚未正式确认完全消除该问题,事件似乎仍在调查中。


AWS DNS遭受DDoS攻击,瘫痪15个小时


10月23日,AMAZONAWS DNS服务器遭到DDoS攻击,即攻击者试图通过垃圾网络流量堵塞系统,造成服务无法访问的后果。AMAZON的 DNS 系统遭大量数据包阻塞,其中一些合法的域名请求被释放以缓解问题。也就是说网站和应用尝试联系后端AMAZON托管的系统如 S3存储桶可能会失败,导致用户看到出错信息或空白页面,此次DDoS攻击事件持续了15个小时。


南非互联网服务商遭大规模DDoS攻击


11月23日,南非Afrihost和其它的Internet服务提供商遭到大规模DDoS攻击。RSAWEB是第一个遭遇攻击的提供商。Cool Ideas在11月23日遭受该攻击,该提供商表示,此次攻击规模超过300Gbps,攻击流量数据来自伦敦的Cogent Communications和Hurricane Electric,并且有大约40Gbps是合法的。在23日晚上Afrihost、Axxess和Webafrica也均遭到DDoS攻击。Afrihost周日警告客户称其网络遇到间歇性的连接问题。近期南非银行也成为DDoS攻击的目标,在10月23日Standard Bank等当地银行的在线和移动服务都受到攻击,但大多数服务已经恢复正常。


冒充Fancy Bear DDoS攻击金融机构


10月24日,在过去一周的时间里,冒充俄罗斯APT组织Fancy Bear的网络犯罪分子一直在对金融行业的国际企业发起了大规模的DDoS攻击,并要求支付赎金,主要针对位于新加坡、南非的金融企业。目前三个安全企业Link11,Radware和Group-IB确认了该攻击活动。


格鲁吉亚遭到大规模的DDoS攻击


10月28日,格鲁吉亚遭遇史上最大规模的网络攻击,在此期间超过1.5万个网站受到攻击并离线,各种政府机构、银行、法院、当地报纸和电视台的网站都受到影响。该事件与本地网络托管服务提供商Pro-Service被黑客入侵有关,攻击发生在当地早晨,到晚上8点时工作人员已经恢复了受损站点的一半以上。黑客在被入侵的网站上发布了被流放的前总统Mikheil Saakashvili的照片,并写上“我会回来!”的信息。当地执法机构正在对此事件进行调查。


安全漏洞


Linux  apt远程代码实行漏洞(CVE-2019-3462)


1月25日,研究人员发现Linux包管理器apt/apt-get存在远程代码实行漏洞(CVE-2019-3462),该漏洞可导致攻击者进行中间人攻击并获取root权限实行任意代码。原因是apt默认使用HTTP通信,而其transport方法中处理HTTP重定向的代码没有正确检查某些参数,攻击者可通过中间人攻击使用伪造签名骗过该检查,进而在用户主机上安装任意程序。由于apt本身已经获取了root权限,该恶意程序可在root权限下实行。该漏洞影响范围极为广泛,所有使用老版本apt的主机都受到影响。apt开发人员已在版本1.4.9中修复了该漏洞。


Windows RDP远程代码实行漏洞(CVE-2019-0708)


5月14日,MicroSoft发布5月份Windows安全更新,修复79个漏洞。其中包括RDP服务中的远程代码实行漏洞(CVE-2019-0708),由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作。成功利用此漏洞的攻击者可以在目标系统上实行任意代码。该漏洞影响Windows XP、Windows2003、Windows2008、Windows2008R2和Windows7,但Windows 8和Windows 10及之后版本的用户不受此漏洞影响。


Oracle WebLogic Server远程代码实行漏洞(CNNVD-201906-596)


6月17日,CNNVD发布关于Oracle WebLogic Server远程代码实行漏洞(CNNVD-201906-596)的通报。攻击者可利用该漏洞在未授权的情况下发送攻击数据,实现任意代码实行。该漏洞是由于Oracle一个历史漏洞(CNNVD-201904-961,CVE-2019-2725)修补不完善导致,尽管4月26日Oracle发布了补丁,但近日发现该漏洞仍可被新的攻击方式利用。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影响。目前, Oracle官方暂未发布该漏洞补丁,但可以通过临时修补措施缓解漏洞带来的危害。


ProFTPD远程代码实行漏洞(CVE-2019-12815)


7月23日,ProFTPD发布新版本1.3.6,修复一个可导致RCE的漏洞。该漏洞(CVE-2019- 12815)与ProFTPD的mod_copy模块有关,漏洞原因是mod_copy模块的自定义SITE CPFR和SITE CPTO命令没有按预期配置工作。管理员可通过禁用mod_copy模块来缓解该漏洞。根据Shodan的搜索结果,目前有超过100万个ProFTPd服务器尚未升级修复补丁。德国CERT-Bund也针对该漏洞向用户发出通报。


VxWorks多个远程代码实行漏洞(URGENT/11)   

             

7月30日,VxWorks官方发布安全更新,修复VxWorks中11个漏洞,其中6个漏洞可导致远程代码实行,而剩下的漏洞可能会导致拒绝服务,信息泄露或逻辑漏洞。VxWorks是嵌入式设备中使用最广泛的实时操作系统(RTOS)之一,广泛应用于航空航天,国防,工业,医疗,汽车等领域,全球至少20亿台设备使用使用VxWorks。URGENT/11漏洞影响自6.5版以上的所有VxWorks版本。显然在过去13年中发布的所有VxWorks版本都容易受到攻击。攻击者可以利用其中漏洞实现无需用户交互及认证实现远程攻击,最终在完全控制相关设备。


IE浏览器远程代码实行漏洞(CVE-2019-1367)          


9月23日,MicroSoft发布安全更新修复了Internet Explorer中的一个远程代码实行漏洞(CVE-2019-1367),漏洞存在于IE脚本引擎处理内存中对象的方式中。该漏洞可能以一种攻击者可以在当前用户的上下文中实行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,成功利用此漏洞的攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。据外国媒体报道,该漏洞已被发现存在野外利用情况,但MicroSoft并未公布更多关于攻击活动的细节。


PHP远程代码实行漏洞(CVE-2019-11043)


9月26日,PHP官方发布漏洞通告,指出使用Nginx + php-fpm的服务器在部分配置下存在远程代码实行漏洞(CVE-2019-11043),该配置已被广泛使用,危害较大。该漏洞的PoC在10月22日公开。受影响的PHP版本包括7.0、7.1、7.2、7.3以及5.6。PHP已于10月12号发布修复补丁。


Windows UAC提权漏洞(CVE-2019-1388)


11月12日,研究人员披露Windows中的一个提权漏洞的详细信息,该漏洞源自用户帐户控制(UAC)功能,通过与UAC的用户界面进行交互,无特权的攻击者可以利用该漏洞在普通桌面上启动高特权的Web浏览器,进而可以安装恶意代码或实行其它恶意活动。研究人员表示攻击者必须首先具有目标系统上的低特权用户身份,并可以访问交互式桌面。该漏洞(CVE-2019-1388)的CVSS评分为7.8分,MicroSoft已发布该漏洞的相关补丁。


VMWare OpenSLD远程代码实行漏洞(CVE-2019-5544)


12月06日,VMware在发布最新安全公告修复OpenSLD远程实行代码漏洞(CVE-2019-5544),VMware将该漏洞定级为CVSS9.8分的紧急高危远程漏洞,目前VMware已发布安全补丁,建议用户尽快升级修复。该漏洞是由于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题,攻击者利用此类漏洞可以突破虚拟机的权限隔离,获得宿主机的系统权限,导致用户数据的机密性,完整性和有效性失去保障。这意味着,在未经用户授权的情况下,攻击者可对用户信息进行任意处理。而此类漏洞可以在其它虚拟机和宿主机上实现任意代码实行,并可能用于传播网络蠕虫。


Win32k特权提升漏洞(CVE-2019-1458)

            

12月10日,微软发布了针对36个CVE漏洞的两个公告和更新。在这些漏洞中,有7个被分类为严重,27个被分类为重要,1个被分类为中,1个被分类为低。并且CVE-2019-1458漏洞已被利用。近期卡巴斯基检测到的攻击事件称Operation Wizard在攻击过程中使用了Windows漏洞(CVE-2019-1458)和谷歌 Chrome漏洞(CVE-2019-13720),将恶意App下载并安装到访问韩语资讯门户的Windows计算机上。目前MicroSoft官方已经发布该漏洞的补丁,建议用户更新到最新版本,以减少攻击的可能性。