信息安全周报-2019年第13周

发布时间 2019-04-01

本周安全态势综述


2019年3月25日至31日共收录安全漏洞53个,值得关注的是Apache Tomcat HTTP/2拒绝服务漏洞;DedeCMS任意用户密码重置漏洞; Forcepoint Email Security密码重置漏洞;Green Hills INTEGRITY RTOS IPWEBS栈溢出漏洞;Dell EMC NetWorker CVE-2017-8023任意命令实行漏洞。


本周值得关注的网络安全事件是UC浏览器易遭中间人攻击,波及5亿用户;针对华硕Live Update的供应链攻击,或影响超过100万用户;TP-Link SR20路由器0day,可导致任意代码实行;Norsk Hydro因勒索App攻击损失超4100万美金;黑客入侵德州龙卷风警报系统,发布30多个虚假警报。


根据以上综述,本周安全威胁为中。



重要安全漏洞列表


1. Apache Tomcat HTTP/2拒绝服务漏洞


Apache Tomcat HTTP/2实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行拒绝服务攻击。
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0199


2. DedeCMS任意用户密码重置漏洞
DedeCMS member/resetpassword.php文件没有正确地验证key参数,允许远程攻击者利用漏洞提交特殊的请求,可重置任意用户的密码。
https://blog.csdn.net/yalecaltech/article/details/88594388


3. Forcepoint Email Security密码重置漏洞


Forcepoint Email Security密码重置功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,重置密码。
https://support.forcepoint.com/KBArticle?id=000016655


4. Green Hills INTEGRITY RTOS IPWEBS栈溢出漏洞


Green Hills INTEGRITY RTOS IPWEBS解析http验证头存在栈溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
https://github.com/bl4ckic3/GHS-Bugs


5. Dell EMC NetWorker CVE-2017-8023任意命令实行漏洞


Dell EMC NetWorker RPC服务存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以nsrexecd服务权限实行任意命令。
https://packetstormsecurity.com/files/152245/EMC-Networker-Remote-Code-Execution.html



 重要安全事件综述


1、UC浏览器易遭中间人攻击,波及5亿用户



根据安全厂商Dr. Web发布的一份新报告,UC浏览器至少从2016年开始就具有一个隐藏的功能,可从企业的服务器向用户的Android设备下载并安装新的库和模块。由于此功能是基于HTTP协议,使得攻击者可实行MiTM攻击并向用户推送恶意模块。UC浏览器并未检查插件的签名,这意味着恶意模块将会无需验证而直接启动。此外,这一功能也违反了谷歌 Play的安全政策。所有版本的UC浏览器和UC Mini浏览器均受影响,据称该浏览器在中国和印度拥有超过5亿用户。


原文链接:
https://thehackernews.com/2019/03/uc-browser-android-hacking.html


2、针对华硕Live Update的供应链攻击,或影响超过100万用户



2019年1月卡巴斯基实验室发现一个涉及到华硕Live Update UtilityApp的复杂供应链攻击,此次攻击发生在2018年6月至11月之间,可能影响了全球超过100万用户。华硕Live Update是预装在大多数华硕电脑上的实用程序,用于自动更新BIOS、UEFI、驱动程序等组件。攻击者在木马化的样本中硬编码了一个目标MAC地址的列表(数目为600个以上),但目标群体的身份尚不明确。由于样本是用合法证书签署的(例如“ASUSTeK Computer Inc.”),并且托管在华硕官方更新服务器liveupdate01s.asus[.]com和liveupdate01.asus[.]com上,导致该攻击长期未被发现。目前的证据表明攻击者或与APT组织BARIUM有关。


原文链接:
https://securelist.com/operation-shadowhammer/89992/


3、TP-Link SR20路由器0day,可导致任意代码实行



GOOGLE开发人员Garret披露了TP-Link SR20智能家居路由器中的0day,该漏洞允许同一网络中的潜在攻击者实行任意代码。Garret向TP-Link报告了该漏洞,但在90天内并未得到TP-Link的回复,因此他公布了这一漏洞。该漏洞允许攻击者以root身份实行任意命令,Garret还发布了相关PoC。截至目前TP-Link尚未进行回应。


原文链接:
https://www.bleepingcomputer.com/news/security/zero-day-tp-link-sr20-router-vulnerability-disclosed-by-google-dev/


4、Norsk Hydro因勒索App攻击损失超4100万美金



在上周遭到勒索AppLockerGoga攻击之后,挪威铝生产商Norsk Hydro仍在恢复其IT系统。该企业称基于高层评估,初步估计网络攻击造成的损失约为3-3.5亿挪威克朗(合3500-4100万美金),主要损失来源于利润和铝材挤压业务的损失。该企业称铝材挤压解决方案已经恢复了70-80%,但建筑系统业务仍未恢复。


原文链接:
https://www.infosecurity-magazine.com/news/norsk-hydro-ransomware-costs-hit-1-1/


5、黑客入侵德州龙卷风警报系统,发布30多个虚假警报



3月12日凌晨2:30左右,黑客入侵了德克萨斯州的龙卷风警报系统,并向两个城镇(DeSoto和Lancaster)发布了至少30个虚假龙卷风警报,引起了当地居民的恐慌。其中20个虚假警报是在Lancaster发布的,其余的则是在DeSoto。之后这些系统一直处于脱机状态,直至3月17日才恢复正常服务。警方正在对这些入侵行为进行调查。


原文链接:

https://securityaffairs.co/wordpress/82854/cyber-crime/emergency-tornado-alarms-hack.html