信息安全周报-2018年第36周

发布时间 2018-09-10

 本周安全态势综述

 

2018年09月03日至09日共收录安全漏洞57个,值得关注的是Cisco Cloud Services Platform 2100 命令注入漏洞;Opto22 PAC Control缓冲区溢出漏洞;ThinkPHP SQL注入漏洞;Tenda AC9和AC10 OS命令注入漏洞;Foxit Reader PDF文件处理类型混淆漏洞。


本周值得关注的网络安全事件是研究人员发现Fiserv平台存在安全漏洞,可导致数百家银行的用户信息泄露;研究人员发现约57万Mortal Online游戏玩家的凭据在论坛出售;研究团队发现利用.tk域名的大规模广告诈骗活动;僵尸网络Necurs在5月至7月期间发出了78万封垃圾邮件;卡巴斯基发布2018年上半年工业自动化系统的威胁景观报告。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表

1. Cisco Cloud Services Platform 2100 命令注入漏洞

Cisco Cloud Services Platform 2100 WEB接口存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,以WEB上下

文实行任意命令。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-csp2100-injection


2. Opto22 PAC Control缓冲区溢出漏洞

Opto22 PAC Control存在基于栈的缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,进行拒绝服务攻击或以应用程序上下文实行任意代码。
https://ics-cert.us-cert.gov/advisories/ICSA-18-247-01


3. ThinkPHP SQL注入漏洞

ThinkPHP public/index/index/test/index查询字符串中存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。
https://github.com/top-think/framework/issues/1375


4. Tenda AC9和AC10 OS命令注入漏洞

Tenda AC9和AC10处理POST请求中的'mcc'参数存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,实行任意OS命令。
https://github.com/zsjevilhex/iot/blob/master/route/tenda/tenda-04/tenda.md


5. Foxit Reader PDF文件处理类型混淆漏洞

Foxit Reader处理PDF文件存在类型混淆漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可实行任意代码。
https://www.foxitsoftware.com/support/security-bulletins.php


 重要安全事件综述


1、研究人员发现Fiserv平台存在安全漏洞,可导致数百家银行的用户信息泄露



安全研究人员Kristian Erik Hermansen发现金融机构技术服务提供商Fiserv的网络平台存在漏洞,可导致数百家银行的数据泄露。Fiserv没有明确说明有多少金融机构可能受到影响,但据报道目前有1700家银行正在使用Fiserv平台。Fiserv发言人称该企业在收到报告后24小时内开发了修复补丁并进行了部署。

原文链接:
https://www.infosecurity-magazine.com/news/hundreds-of-banks-exposed-from/


2、研究人员发现约57万Mortal Online游戏玩家的凭据在论坛出售



安全研究人员Adam Davies发现属于约57万Mortal Online游戏玩家的账户信息在论坛上出售。2018年6月17日未经授权的第三方访问了该游戏的论坛和商店数据库的服务器并窃取了用户的数据。攻击者还获取了用户密码的MD5哈希值,这些哈希值似乎已被破解。该数据库目前已被添加到Have I Been Pwned网站中。

原文链接:
https://www.bleepingcomputer.com/news/security/cracked-logins-of-570-000-mortal-online-players-sold-on-forums/


3、研究团队发现利用.tk域名的大规模广告诈骗活动



Zscaler的研究人员发现利用.tk域名的大规模广告诈骗活动。自2018年5月以来,该恶意活动一直处于活跃状态。攻击者将用户重定向至虚假的博客网站,这些网站上的广告收入每月达2万美金以上。部分.tk域名还被用于技术支撑诈骗。.tk域名是一个国家/地区级的顶级域名,它代表了隶属于新西兰的岛国Tokelau。该域名是免费的,这引起了攻击者的兴趣。研究人员总共发现了与该恶意活动有关的3804个.tk域名。

原文链接:
https://www.zscaler.com/blogs/research/spam-campaigns-leveraging-tk-domains


4、僵尸网络Necurs在5月至7月期间发出了78万封垃圾邮件



IBM X-Force研究团队发现僵尸网络Necurs在5月至7月期间共发出了超过78万封垃圾邮件。这些垃圾邮件都包含恶意的IQY文件,用于分发恶意AppFlawedAmmyy RAT、Marap和Quant Loader。研究人员共观察到5个攻击浪潮,5月25日Necurs发送了超过30万封垃圾邮件,6月7日又发送了约20万封。随后的6月13日发送了超过15万封,7月13日不到10万封以及7月17日的少于5万封。

原文链接:
https://www.bleepingcomputer.com/news/security/necurs-spews-780-000-emails-with-weaponized-iqy-files/


5、卡巴斯基发布2018年上半年工业自动化系统的威胁景观报告



卡巴斯基实验室ICS CERT发布关于2018年上半年工业自动化系统的威胁景观的分析报告。与2017年下半年相比,2018年上半年遭到攻击的ICS计算机的比例增长了3.5个百分点,达到了41.2%。同比则是增长了4.6个百分点。非洲、亚洲和拉丁美洲的ICS计算机遭到攻击的比例远低于欧洲、北美和澳大利亚。东欧的数字也远大于西欧的数字。南欧遭到攻击的ICS计算机的比例要高于北欧和西欧。

原文链接:
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h1-2018/87913/