信息安全周报-2019年第34周

发布时间 2019-09-02

>本周安全态势综述



2019年8月26日至9月01日共收录安全漏洞49个,值得关注的是Cisco REST API Container验证绕过漏洞;BloodHound components/Modals/HelpModal.jsx任意命令实行漏洞;Datalogic AV7000 Linear Barcode Scanner身份验证绕过漏洞;Delta Controls enteliBUS Controllers缓冲区溢出漏洞;Linux kernel net/wireless/marvell/mwifiex缓冲区溢出漏洞。


本周值得关注的网络安全事件是托管服务商Hostinger近1400万用户信息被拖库;2019年上半年报告的漏洞中国足球协会超级联赛过34%未修复;Android恶意应用CamScanner下载量超1亿;2024年全球数据泄露成本预计将达5万亿美金;美国数百家牙科诊所遭勒索AppSodinokibi攻击。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表



1. Cisco REST API Container验证绕过漏洞


Cisco REST API Container REST API验证实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取用户的令牌ID,绕过安全限制,未授权访问。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

2. BloodHound components/Modals/HelpModal.jsx任意命令实行漏洞


BloodHound components/Modals/HelpModal.jsx存在安全漏洞,允许远程攻击者可以利用漏洞通过创建带JS代码名称的GPO,触发search-autocomplete功能,可实行任意OS命令。
https://github.com/BloodHoundAD/BloodHound

3. Datalogic AV7000 Linear Barcode Scanner身份验证绕过漏洞


Datalogic AV7000 Linear Barcode Scanner实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,绕过身份验证实行任意代码。
https://www.us-cert.gov/ics/advisories/icsa-19-239-02

4. Delta Controls enteliBUS Controllers缓冲区溢出漏洞


Delta Controls enteliBUS Controllers实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,触发缓冲区溢出实行任意代码。
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9569

5. Linux kernel net/wireless/marvell/mwifiex缓冲区溢出漏洞


Linux kernel net/wireless/marvell/mwifiex存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使服务程序崩溃或实行任意代码。
https://vigilance.fr/vulnerability/Linux-kernel-buffer-overflow-via-net-wireless-marvell-mwifiex-30180



>重要安全事件综述



1、托管服务商Hostinger近1400万用户信息被拖库


托管服务商Hostinger发布公告称近1400万用户信息被拖库。该事件于8月23日星期五被发现,该企业表示攻击者获取了内部服务器的访问权限,然后找到了内部API的授权令牌,调用API窃取了用户信息。泄露的用户信息包括用户名、IP地址、姓名、电话号码、电子邮件地址和家庭地址等,还包括SHA1算法加密的哈希密码。该企业表示没有财务信息受到损害,但未透露受影响的具体人数。该企业还表示决定强制重置所有受影响帐户的密码。

原文链接:
https://www.zdnet.com/article/hostinger-resets-customer-passwords-after-security-incident/

2、2019年上半年报告的漏洞中国足球协会超级联赛过34%未修复


根据Risk Based Security发布的《2019年年中漏洞回顾报告》,2019年上半年报告的所有漏洞中国足球协会超级联赛过34%(3771个)的漏洞未修复。此外,在报告的总共11092个漏洞中,14.7%(1630个)的漏洞CVSS V2得分超过9.0,54.5%(6045个)的漏洞与Web有关,约53%(5878个)的漏洞可以远程利用,66%的漏洞与SQL注入攻击有关,约2.8%的漏洞与SCADA有关。

原文链接:
https://pages.riskbasedsecurity.com/2019-midyear-vulnerability-quickview-report

3、Android恶意应用CamScanner下载量超1亿



卡巴斯基研究人员发现CamScanner的免费版存在一个隐藏的Trojan Dropper模块,可允许远程攻击者在用户不知情的情况下下载和安装恶意程序。CamScanner是一款受欢迎的手机PDF创建APP,它在谷歌 Play商店的下载量超过1亿。恶意模块实际上并不存在于CamScanner本身的代码中,而是在第三方广告库中,因此可以推断这是App开发者和不道德的广告商合作的结果。该模块可以通过多种方式利用受感染的设备,从显示侵入性广告到付费订阅窃取话费等。应该注意的是,CamScanner的付费版本不包含第三方广告库。谷歌已经从官方Play商店中删除了该APP。

原文链接:
https://thehackernews.com/2019/08/android-camscanner-malware.html

4、2024年全球数据泄露成本预计将达5万亿美金


根据瞻博网络的最新预测,随着监管罚款的实施以及企业更加依赖于数字系统,到2024年全球数据泄露的成本预计将增加到5万亿美金以上。这一数据来自于该企业发布的最新报告《网络犯罪和安全的未来:2019-2024威胁分析、影响评估和缓解策略报告》。该企业声称,在报告期间内预计数据泄露成本将从2019年的3万亿美金每年增长11%。报告中还称虽然大规模的数据泄露可能成为头条资讯,但它们并不一定会直接影响成本,因为罚款和业务损失与数据泄露的规模并不紧密相关。


原文链接:
https://www.infosecurity-magazine.com/news/breach-costs-trillion/

5、美国数百家牙科诊所遭勒索AppSodinokibi攻击



8月26日美国数百家牙科诊所遭勒索AppSodinokibi攻击,患者信息被加密。这是攻击者通过入侵App供应商并利用其产品在客户系统上植入勒索App的另一个案例。在本起事件中,App供应商是The Digital Dental Record和PerCSoft,他们合作开发了医疗记录保存和备份AppDDS Safe。上周末黑客团伙入侵了该App背后的基础设施,并利用它在数百个牙医诊所的计算机上部署了勒索AppSodinokibi。这两家企业选择支付赎金获取解密器,但目前恢复进度缓慢,一些牙科诊所声称解密器要么不起作用,要么没有恢复所有数据。

原文链接:
https://www.zdnet.com/article/ransomware-hits-hundreds-of-dentist-offices-in-the-us/