信息安全周报-2019年第14周

发布时间 2019-04-08

 本周安全态势综述



2019年4月01日至07日共收录安全漏洞45个,值得关注的是D-Link DSL-3782 Acl.asp任意OS命令实行漏洞;VMware Workstation/Fusion CVE-2019-5524越界写代码实行漏洞; Fortinet FortiOS堆溢出漏洞;TONGDA Office Anywhere SQL注入漏洞;Advantech WebAccess/SCADA命令注入漏洞。


本周值得关注的网络安全事件是SonicWall新报告称2018年IoT攻击增长217.5%;银行木马Anubis,自2017年来已感染300多家金融机构;研究人员发现超过2.6万个Kibana实例在网上暴露;脸书 5.4亿用户记录在AMAZON云存储中曝光;JS-Sniffer感染全球2440个网站,主要窃取信用卡信息。

根据以上综述,本周安全威胁为中。


重要安全漏洞列表



1. D-Link DSL-3782 Acl.asp任意OS命令实行漏洞
D-Link DSL-3782 Acl.asp处理ScrIPaddrEndTXT参数存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以实行任意os命令。
https://c0mix.github.io/2019/D-Link-DIR-3782-SecAdvisory-OS-Command-Injection-and-Stored-XSS/

2. VMware Workstation/Fusion CVE-2019-5524越界写代码实行漏洞
VMware Workstation/Fusion e1000虚拟网卡实现存在越界写漏洞,允许本地攻击者利用漏洞提交特殊的请求,可提升权限。
https://www.vmware.com/security/advisories/VMSA-2019-0005.html

3. Fortinet FortiOS堆溢出漏洞
Fortinet FortiOS存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
https://fortiguard.com/psirt/FG-IR-18-388

4. TONGDA Office Anywhere SQL注入漏洞
TONGDA Office Anywhere存在sql注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。
http://expzh.com/TONGDA-OA-SQL-Injection.pdf

5. Advantech WebAccess/SCADA命令注入漏洞
Advantech WebAccess/SCADA存在外部输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可实行非法命令。
https://ics-cert.us-cert.gov/advisories/ICSA-19-092-01



 重要安全事件综述



1、SonicWall新报告称2018年IoT攻击增长217.5%



根据SonicWall的年度网络威胁报告(2019版),2018年SonicWall共检测到3270万次IoT攻击,比2017年的1030万次增长了217.5%。这一增长的原因是IoT设备制造商未能实施适当的安全控制。全球超过46%的IoT僵尸网络其IP地址源于美国,其次是中国(13%)。此外,2018年SonicWall共检测到2600万次钓鱼攻击,比2017年下降4.1%。

原文链接:
https://www.bleepingcomputer.com/news/security/iot-attacks-escalating-with-a-2175-percent-increase-in-volume/

2、银行木马Anubis,自2017年来已感染300多家金融机构



Android银行木马Anubis主要通过谷歌 Play Store分发,自2017年以来,Anubis已经感染了全球超过300家金融机构。Anubis通常伪装成手机游戏、邮件APP、实用小工具甚至是浏览器和聊天APP等,其主要针对欧洲、亚洲和美洲。2019年3月,一个名为Aldesa的攻击者在地下论坛上销售最新变体Anubis 3。

原文链接:
https://cyware.com/news/uncovering-the-capabilities-and-activities-of-anubis-android-banking-trojan-9e3d7e67

3、研究人员发现超过2.6万个Kibana实例在网上暴露



研究人员发现超过2.6万个Kibana实例在网上暴露。Kibana是一个开源的分析和可视化平台,旨在实时分析Elasticsearch数据库中的数据。大多数暴露的实例都没有受到保护,允许未经身份验证的用户访问仪表盘。这些实例属于电子学习平台、银行系统、停车管理系统、医院和大学等大型机构,美国(8311个)是暴露实例最多的国家,其次是中国(7282)、德国(1709)和法国(1152)。此外,许多实例都运行过时的App版本(存在任意文件包含漏洞)。

原文链接:
https://thehackernews.com/2019/04/kibana-data-security.html

4、脸书 5.4亿用户记录在AMAZON云存储中曝光


UpGuard研究团队发现两个第三方应用的AMAZONS3存储库可公开访问,其中存储了超过5.4亿脸书用户的记录。这些用户数据包括第三方应用的明文密码、脸书账户名称、用户ID、评论、兴趣、关系状态等。一个数据库属于墨西哥媒体企业Cultura Colectiva,该数据库名为cc-datalake,大小为146GB,包含约5.4亿用户记录。另一个数据库属于第三方应用At the Pool,只包含2.2万用户记录。

原文链接:
https://www.bleepingcomputer.com/news/security/540-mllion-脸书-records-leaked-by-public-amazon-s3-buckets/

5、JS-Sniffer感染全球2440个网站,主要窃取信用卡信息



根据安全厂商Group-IB的一份新报告,近38个不同的JS-Sniffer感染了全球2440个电子商务网站。JS-Sniffer是一种JavaScript恶意脚本,旨在拦截并窃取用户输入的银行卡号、姓名、地址、登录信息和密码等。根据估计,这些JS-sniffer开发者的收益可达每月数十万美金。在这些JS-Sniffer家族中,至少有8个之前从未被调查过。在受感染的网站中,超过一半的攻击是由JS-sniffer家族MagentoName发起的,而超过13%的攻击是由WebRank家族发起的。

原文链接:
https://thehackernews.com/2019/04/js-sniffers-credit-card-hacking.html