信息安全周报-2018年第30周

发布时间 2018-07-30

一、本周安全态势综述


2018年07月23日至29日共收录安全漏洞51个,值得关注的是ASUS HG100命令实行安全漏洞;Cisco SD-WAN Configuration and Management Database远程代码实行漏洞;Intel Converged Security Management Engine任意代码实行漏洞;McAfee Web Gateway管理界面任意代码实行漏洞;Dell EMC RSA Archer REST API权限提升漏洞。

本周值得关注的网络安全事件是研究机构警告称约5亿IoT设备易受DNS重新绑定攻击的影响;超过100家汽车厂商的机密数据泄露,丰田、特斯拉等均受影响;研究人员发现针对Oracle WebLogic服务器的新攻击活动;弗吉尼亚银行8个月内2次遭黑客入侵,共损失约240万美金;中远海运美国分企业遭勒索App攻击,企业官网已瘫痪。

根据以上综述,本周安全威胁为中。

二、重要安全漏洞列表


1、ASUS HG100命令实行安全漏洞


ASUS HG100存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊特殊请求,以应用程序上下文实行任意命令。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://jenkins.io/security/advisory/2018-07-18/


2、Cisco SD-WAN Configuration and Management Database远程代码实行漏洞


Cisco SD-WAN Configuration and Management Database远存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,以vmanage用户上下文实行任意命令。


用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-cx


3、Intel Converged Security Management Engine任意代码实行漏洞


Intel Converged Security Management Engine远程管理方案在实现上存在逻辑漏洞,允许本地攻击者利用漏洞提交特殊的请求,实行任意代码。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00118.html


4、McAfee Web Gateway管理界面任意代码实行漏洞


McAfee Web Gateway管理界面存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文实行任意代码。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://kc.mcafee.com/corporate/index?page=content&id=SB10245


5、Dell EMC RSA Archer REST API权限提升漏洞


Dell EMC RSA Archer REST API存在授权绕过漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,提升权限。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

http://seclists.org/fulldisclosure/2018/Jul/69


三、重要安全事件综述


1、研究机构警告称约5亿IoT设备易受DNS重新绑定攻击的影响



Armis企业警告称约5亿个IoT设备易受DNS重新绑定攻击的影响。DNS重新绑定攻击是指攻击者欺骗用户的浏览器或设备绑定至恶意的DNS服务器的攻击方式。Armis分析了这种攻击对IoT设备的影响,称几乎所有类型的智能设备都易受此类攻击,包括智能电视、路由器、打印机、监视器、IP电话等。修复所有的设备可能是一项无法完成的任务,但将IoT设备集成到安全监控产品中可能是最简单有效的解决方案。


原文链接:https://www.bleepingcomputer.com/news/security/half-a-billion-iot-devices-vulnerable-to-dns-rebinding-attacks/


2、超过100家汽车厂商的机密数据泄露,丰田、特斯拉等均受影响



UpGuard研究人员Chris Vickery发现供应商Level One的不安全数据库,其中包含近47000份文件,涵盖多家汽车厂商的近十年的详细蓝图、工厂原理图、客户材料(如合同、发票和工作计划等),以及各种保密协议文件等。泄露的数据总量达157GB,福特、丰田、通用和特斯拉等均受影响。泄露的原因是Level One企业的用于备份数据的文件传输协议rsync被配置为可公开访问,并且不需要任何密码。


原文链接:https://www.grahamcluley.com/robotics-suppliers-sloppy-security-leaks-ten-years-worth-of-data-from-major-car-manufacturers/

3、研究人员发现针对Oracle WebLogic服务器的新攻击活动



研究人员发现主要针对Oracle WebLogic服务器的攻击活动,这些攻击活动主要利用漏洞(CVE-2018-2893)进行攻击。Oracle在7月18日发布了该漏洞的相关补丁,7月21日其相关PoC被披露。研究人员发现至少2个组织正在利用该漏洞进行攻击,建议还未更新的用户尽快进行升级。易受攻击的版本包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。


原文链接:https://www.bleepingcomputer.com/news/security/attacks-on-oracle-weblogic-servers-detected-after-publication-of-poc-code/

4、弗吉尼亚银行8个月内2次遭黑客入侵,共损失约240万美金



据记者Brian Krebs报道,美弗吉尼亚国家银行于2016年5月下旬和2017年1月两次遭到钓鱼邮件的攻击,共损失约240万美金。第一次攻击中攻击者通过恶意App感染了一台计算机,并能够访问银行内网和绕过PIN码、每日取款限制以及反欺诈措施等。第二次攻击的模式与第一次攻击相似。Synopsys首席顾问Chandu Ketkar认为,这些事件是其安全意识培训、监控和应急响应等策略的失败。


原文链接:https://www.infosecurity-magazine.com/news/virginian-bank-robbed-twice-in/

5、中远海运美国分企业遭勒索App攻击,企业官网已瘫痪



中远海运的美国分企业遭到勒索App的攻击,其企业网络已陷入瘫痪。该事件发生在7月24日星期二,但目前该企业美国地区的IT基础设施仍处于关闭之中,包括电子邮件服务器和电话网络等,其官网也处于关闭状态。感染该企业网络的勒索App类型仍然未知,目前该企业也未作出更多回应。


原文链接:https://www.bleepingcomputer.com/news/security/ransomware-infection-cripples-shipping-giant-coscos-american-network/