信息安全周报-2019年第26周

发布时间 2019-07-08

本周安全态势综述



2019年7月01日至07日共收录安全漏洞46个,值得关注的是Apache Mesos 远程代码实行漏洞;TRENDnet TEW-827DRU apply.cgi命令注入漏洞;NLnet Labs Name Server Daemon CVE-2019-13207缓冲区溢出漏洞;Nortek Security&Control Linear eMerge E3-Series CVE-2019-7253目录遍历漏洞;NetApp AFF A700s Baseboard Management Controller CVE-2019-5497命令注入漏洞。


本周值得关注的网络安全事件是Android广告AppHiddenAd,下载量达930万次;Cloudflare再次爆发故障,大量网站宕机;智能家居厂商Orvibo意外泄露超过20亿条用户记录;研究人员发现首个滥用DNS over HTTPS协议的恶意AppGodlua;超过30个VMware产品受到Linux SACK漏洞影响。


根据以上综述,本周安全威胁为中。



重要安全漏洞列表



1. Apache Mesos 远程代码实行漏洞


Apache Mesos组件存在覆盖漏洞,允许远程攻击者可以利用漏洞提交特殊的Docker映像,可覆盖init helper以应用程序上下文实行任意代码。

https://lists.apache.org/thread.html/b162dd624dc088cd634292f0402282a1d1d0ce853baeae8205bc033c@%3Cdev.mesos.apache.org%3E


2. TRENDnet TEW-827DRU apply.cgi命令注入漏洞


TRENDnet TEW-827DRU apply.cgi实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的畸形请求,可以应用程序上下文实行任意OS命令。
https://github.com/TeamSeri0us/pocs/blob/master/iot/trendnet/cmdinject678.jpg

3. NLnet Labs Name Server Daemon CVE-2019-13207缓冲区溢出漏洞


NLnet Labs Name Server Daemon dname.c文件的‘dname_concatenate()’函数存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的畸形请求,可进行拒绝服务攻击或实行任意代码。
https://github.com/NLnetLabs/nsd/issues/20

4. Nortek Security&Control Linear eMerge E3-Series CVE-2019-7253目录遍历漏洞


Nortek Security&Control Linear eMerge E3-Series存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的畸形请求,以应用程序上下文读取任意文件。
https://www.applied-risk.com/resources/ar-2019-005

5. NetApp AFF A700s Baseboard Management Controller CVE-2019-5497命令注入漏洞


NetApp AFF A700s Baseboard Management Controller存在输入安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,实行任意OS命令。
https://security.netapp.com/advisory/ntap-20190627-0001/


 重要安全事件综述



1、Android广告AppHiddenAd,下载量达930万次


趋势科技观察到一个活跃的广告App活动(AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA),该广告App隐藏在182个可以免费下载的游戏和相机APP中,其中111个可在谷歌 Play商店中找到,其它恶意APP则在9Apps和PP Assistant等第三方应用商店中出现。在被下架之前,这些恶意APP的总下载量达934.9万次。该广告App可以隐藏恶意APP的图标,向用户推送无法马上关闭或退出的全屏广告,还可以逃避沙盒的检测。


原文链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-campaign-identified-from-182-game-and-camera-apps-on-google-play-and-third-party-stores-like-9apps/

2、Cloudflare再次爆发故障,大量网站宕机



CDN加速服务商Cloudflare在北京时间7月2日晚间出现大面积宕机,用户访问使用了Cloudflare的网站出现502错误。此次宕机原因是Cloudflare在新的Web应用层防火墙(WAF)中部署了一个配置错误的规则,且这些规则一次性在所有节点上部署,从而导致了全球大面积宕机。该错误的规则包含一个替换后,导致Cloudflare服务器上的CPU占用飙升至100%。随后Cloudflare回滚了错误的规则,目前相关服务已恢复正常。这已经是Cloundflare本月第二次出现宕机事件。

原文链接:
https://blog.cloudflare.com/cloudflare-outage/

3、智能家居厂商Orvibo意外泄露超过20亿条用户记录



vpnMentor研究人员发现智能家居厂商Orvibo的一个Elasticsearch数据库可公开访问,其中泄露了超过20亿条用户记录。根据用户日志,信息被泄露的用户来自中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西。泄露的信息包括电子邮件地址、密码、帐户重置代码、精确的地理位置、IP地址、用户名和用户ID。其中密码为未加盐的MD5哈希格式。除此之外,数据库中还包含家庭ID、家庭名称、关联智能设备信息和计划任务等。这些信息可能被用来永久锁定用户的账户。

原文链接:
https://cyware.com/news/unprotected-database-of-smart-home-vendor-exposes-billions-of-records-23f3a56b

4、研究人员发现首个滥用DNS over HTTPS协议的恶意AppGodlua



研究人员发现首个滥用DNS over HTTPS(DoH)协议的恶意AppGodlua,该恶意App是一个用Lua编写的恶意App,其作用类似于后门。攻击者利用漏洞(CVE-2019-3396)来感染Linux服务器。研究人员发现的两个Godlua样本都使用DNS over HTTPS请求来获取域名TXT,其中存储了C&C服务器的URL。这种从DNS文本记录中检索第二/第三阶段C&C服务器URL地址的技术并不新鲜,但使用DoH请求而不是传统的DNS请求为首次出现。DoH(DNS)请求对第三方观察者加密且不可见,这包括依赖被动DNS监控来阻止对已知恶意域请求的网络安全App。

原文链接:
https://www.zdnet.com/article/first-ever-malware-strain-spotted-abusing-new-doh-dns-over-https-protocol/

5、超过30个VMware产品受到Linux SACK漏洞影响


VMware确认SACK Panic和SACK Slowness漏洞影响其多个产品。该企业已将SACK Panic评级为重要并赋予7.5的CVSS评分,SACK Slowness为中等和CVSS评分5.3。根据VMware发布的安全公告,成功利用这些漏洞可能会导致目标系统崩溃或严重降低性能。受影响的产品包括vCenter Server Appliance、vCloud、vRealize和vSphere等。VMware正在为每个受影响的产品开发补丁,但到目前为止它仅发布了SD-WANApp、Unified Access Gateway和vCenter Server Appliance的更新。

原文链接:
https://www.securityweek.com/many-vmware-products-affected-sack-linux-vulnerabilities