信息安全周报-2019年第18周

发布时间 2019-05-05

本周安全态势综述



2019年4月29日至5月05日共收录安全漏洞46个,值得关注的是Apache Archiva CVE-2019-0214任意文件写漏洞;Oracle WebLogic Server wls9_async_response反序列化命令实行漏洞; 微软 Visual Studio asm内存代码代码实行漏洞;Apple macOS Mojave APFS组件释放后使用特权提升漏洞;Foxit Reader AcroForm removeField CVE-2019-6768释放后使用代码实行漏洞。


本周值得关注的网络安全事件是Malwarebytes Labs发布2019年Q1网络犯罪策略和技术报告;新报告表明2018年基于社交媒体的欺诈活动增长43%;卡巴斯基发布2019年Q1 APT攻击趋势报告;美国招聘网站Ladders意外泄露近1300万求职者的个人资料;欧洲刑警组织捣毁暗网市场Wall Street Market和Silkkitie。


根据以上综述,本周安全威胁为中。



重要安全漏洞列表



1. Apache Archiva CVE-2019-0214任意文件写漏洞


Apache Archiva artifact上传机制存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,未授权写任意文件到系统。
https://seclists.org/bugtraq/2019/Apr/48

2. Oracle WebLogic Server wls9_async_response反序列化命令实行漏洞
Oracle Weblogic Server wls9_async_response存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

3. 微软 Visual Studio asm内存代码代码实行漏洞
微软 Visual Studio __asm块编译存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或实行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-19-448/

4. Apple macOS Mojave APFS组件释放后使用特权提升漏洞
Apple macOS Mojave APFS组件存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以内核上下文实行,提升权限。
https://www.zerodayinitiative.com/advisories/ZDI-19-422/

5. Foxit Reader AcroForm removeField CVE-2019-6768释放后使用代码实行漏洞
Foxit Reader处理AcroForm的removeField方法存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或实行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-19-442/


重要安全事件综述



1、Malwarebytes Labs发布2019年Q1网络犯罪策略和技术报告


Malwarebytes Labs发布2019年第一季度的网络犯罪策略与技术报告,该报告指出企业在第一季度遭受的威胁增长了235%,尤其是Emotet等木马和勒索App威胁。针对个人消费者的恶意App威胁下降了近40%。移动设备和Mac设备越来越成为广告App的目标,Mac恶意App从2018年Q4到2019年Q1增长了60%,广告App则增长了200%。在全球威胁检测率中美国最高,为47%,印度尼西亚为9%,巴西为8%。

原文链接:
https://blog.malwarebytes.com/cybercrime/2019/04/labs-cybercrime-tactics-and-techniques-report-finds-businesses-hit-with-235-percent-more-threats-in-q1/

2、新报告表明2018年基于社交媒体的欺诈活动增长43%



根据RSA Security发布的《2019年网络犯罪现状白皮书》,网络犯罪分子越来越依赖脸书、Instagram、WhatsApp等社交媒体和聊天平台进行沟通、销售被盗凭据和信用卡信息等犯罪行为。基于社交媒体的欺诈活动在2018年增长43%。此外,2015年至2018年移动APP的欺诈行为增长了680%。2018年RSA在各大主流应用程序商店中平均每天发现82个恶意APP。

原文链接:
https://telecom.economictimes.indiatimes.com/news/social-media-fraud-increased-43-in-2018-report/69089489

3、卡巴斯基发布2019年Q1 APT攻击趋势报告



近年来,针对目标的供应链攻击已经证明非常成功 - ShadowPad,CCleaner和ExPetr就是很好的例子。在大家对2019年的威胁预测中,大家将此标记为可能持续的攻击向量; 大家没有必要等很长时间才能看到这个预测成真。1月份,大家发现了涉及华硕Live Update Utility的复杂供应链攻击,用于向华硕笔记本电脑和台式机提供BIOS,UEFI和App更新的机制。“ShadowHammer操作”背后的攻击者为该实用程序添加了一个后门,然后通过官方渠道将其分发给用户。攻击的目标是精确定位由其网络适配器MAC地址标识的未知用户池。发现攻击者已将一系列MAC地址硬编码到特洛伊木马化样本中,代表了这一大规模行动的真正目标。大家能够从这次攻击中发现的200多个样本中提取600多个唯一的MAC地址,尽管存在针对不同MAC地址的其它样本。

原文链接:
https://securelist.com/apt-trends-report-q1-2019/90643/

4、美国招聘网站Ladders意外泄露近1300万求职者的个人资料



安全研究人员Sanyam Jain发现了一个未受保护的AWS托管的Elasticsearch数据库,该数据库属于招聘网站Ladders,由于缺乏身份验证,该数据库暴露了近1300万求职者的数据。包含求职者的个人信息,如姓名,电子邮件地址,电话号码以及基于IP地址的大致地理位置。它还包括其它敏感信息,如就业历史,工作描述,工作补偿,他们正在寻找工作的行业,他们是美国公民还是签证,如H1-B ,和其它。

原文链接:
https://cyware.com/news/job-portal-ladders-exposed-profiles-of-13-million-job-seekers-thanks-to-an-unprotected-aws-elasticsearch-database-1b7d7474

5、欧洲刑警组织捣毁暗网市场Wall Street Market和Silkkitie



执法机构称,德国警方关闭Wall Street Market,据称这是世界上第二大暗网络市场,而今年早些时候,芬兰关闭Silkkitie。据透露,德国警方逮捕了3名嫌疑人并扣押了55万欧元的现金,以及六位数的加密货币,车辆,计算机,存储设备和其他证据。美国当局逮捕了两名据称在该网站上运营的主要毒贩。这两项调查显示了国际层面执法合作的重要性,并证明暗网上的非法活动并不像罪犯所想的那样匿名。目前还不清楚执法活动是否与该网站管理员试图退出诈骗活动有关。

原文链接:
https://www.infosecurity-magazine.com/news/europol-two-more-dark-web-1/