信息安全周报-2018年第29周

发布时间 2018-07-23

一、本周安全态势综述


2018年07月16日至22日共收录安全漏洞44个,值得关注的是Pivotal Spring Framework远程代码实行漏洞;Cisco IP Phone 6800、7800和8800系列命令注入漏洞;ManageEngine Exchange Reporter Plus ‘ADSHACluster’远程代码实行漏洞;Adobe Flash Player CVE-2018-5007类型混淆代码实行漏洞;Dasan GPON命令注入漏洞。

本周值得关注的网络安全事件是银行木马Dorkbot卷土重来,占银行恶意App市场的25%;俄罗斯在国际足联世界杯期间遭到约2500万次网络攻击;Telefonica官网漏洞可导致数百万用户的个人信息泄露;美血液检测实验室LabCorp遭黑客入侵,数百万用户疑受影响;俄罗斯PIR银行遭黑客攻击,损失约100万美金。


根据以上综述,本周安全威胁为中。


二、重要安全漏洞列表


1、Pivotal Spring Framework远程代码实行漏洞

Spring Framework使用spring-messaging模块来实现STOMP代理时存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的消息,可以应用程序上下文实行任意代码。

用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.exploit-db.com/exploits/44796/


2、Cisco IP Phone 6800、7800和8800系列命令注入漏洞

Cisco IP Phone 6800、7800和8800系列WEB UI存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,注入任意SHELL命令并实行。


 用户可参考如下厂商提供的安全补丁以修复该漏洞:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-phone-webui-inject


3、ManageEngine Exchange Reporter Plus ‘ADSHACluster’远程代码实行漏洞


 ManageEngine Exchange Reporter Plus Java servlet ‘ADSHACluster’在实行‘bcp.exe’文件存在安全漏洞,允许远程攻击者利用漏洞提交特殊‘BCP_EXE’参数请求,实行任意代码。

用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.manageengine.com/products/exchange-reports/release-notes.html


4、Adobe Flash Player CVE-2018-5007类型混淆代码实行漏洞

Adobe Flash Player处理SWF文件存在类型混淆漏洞,允许远程攻击者利用漏洞提交特殊文件请求,诱使用户解析,可实行任意代码。

用户可参考如下厂商提供的安全补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb18-24.html


5、Dasan GPON命令注入漏洞

Dasan GPON GponForm/diag_Form URI存在设计漏洞,允许攻击者可以利用漏洞提交特殊的'dest_host’参数的diag_action=ping请求,可以应用程序上下文实行任意命令。

 用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/

三、重要安全事件综述


1、银行木马Dorkbot卷土重来,占银行恶意App市场的25%



 根据Check Point的最新数据,银行木马Dorkbot在2018年卷土重来,成为一个严重的威胁。Dorkbot最早可以追溯到2012年,其主要用于窃取用户的银行登录凭据。在2018年上半年,全球银行恶意App市场占据前三位的分别是Ramnit(27%)、Dorkbot(25%)和Zeus(13%)。Dorkbot已成为2018年第二大令人头疼的银行恶意App。

 原文链接:https://threatpost.com/threatlist-6-year-old-dorkbot-banking-malware-resurfaces-as-big-threat/133898/

2、俄罗斯在国际足联世界杯期间遭到约2500万次网络攻击


莫斯科时报报道称,俄罗斯总统普京高度赞扬了该国的网络安全部门,该部门在国际足联世界杯期间共阻止了约2500万次网络攻击和其它犯罪活动,确保了比赛的安全。FireEye南欧技术总监David Grout表示虽然这一数字很高,但并不出人意料。这些攻击可能包括在比赛前几周就开始的网络钓鱼攻击,例如低价机票、赢得俄罗斯之旅以及与国际足联世界杯主题相关的促销活动(如国家队球衣)等。

原文链接:https://www.infosecurity-magazine.com/news/russia-fends-off-25-million-world/

3、Telefonica官网漏洞可导致数百万用户的个人信息泄露



西班牙电信企业Telefonica的固话、宽带及付费电视业务Movistar的官网存在漏洞,可导致数百万用户的个人信息泄露。Movistar官网上用于查看发票的页面的URL中包含了发票的ID,任何用户都可以通过修改此ID来查看其它账户的数据。根据新的GDPR规定,该企业可能面临1000万~2000万欧元或相当于其年营业额2%~4%的罚款。


原文链接:https://www.bleepingcomputer.com/news/security/telefonica-spain-exposed-the-personal-details-of-millions-of-customers/

4、美血液检测实验室LabCorp遭黑客入侵,数百万用户疑受影响



本周一美国最大的血液检测实验室LabCorp宣布其在周末期间遭到黑客入侵。LabCorp关闭了部分系统以控制该入侵活动,目前各系统功能正在恢复中。该企业表示没有证据表明发生了对数据的未授权访问,但没有披露更多相关细节。有关当局正在进行调查之中。LabCorp在全球拥有近6万名员工,其每周测试的患者样本超过250万个,因此数据泄露的潜在后果可能是巨大的,数百万用户的敏感信息可能面临风险。

原文链接:https://www.bleepingcomputer.com/news/security/hackers-breach-network-of-labcorp-us-biggest-blood-testing-laboratories/

5、俄罗斯PIR银行遭黑客攻击,损失约100万美金


 根据俄罗斯安全厂商Group-IB的报告,黑客团伙MoneyTaker通过路由器入侵了俄罗斯PIR银行的网络,并窃取了约100万美金的资金。Group-IB确认攻击始于2018年5月下旬,攻击者的入口是过时的路由器,该路由器有隧道,可允许攻击者直接访问银行的本地网络。攻击发生在7月3日,PIR银行的员工在一天后的7月4日发现了大笔未授权的交易,但为时已晚。

原文链接:https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/