信息安全周报-2018年第16周
发布时间 2018-04-25
一、本周安全态势综述
2018年04月16日至20日共收录安全漏洞47个,值得关注的是Belkin N750栈缓冲区溢出漏洞;Discuz! DiscuzX CVE-2018-10298跨站脚本漏洞;Spring Data Commons远程代码执行漏洞;Oracle WebLogic Server反序列化远程代码执行漏洞;Adobe Flash Player越界写任意代码漏洞。
本周值得关注的网络安全事件是泰国运营商TrueMove H的用户数据泄露,约4.6万用户受到影响;最新的研究显示大量Android应用违规采集儿童的隐私信息;研究人员称数百万个APP通过广告SDK泄露用户数据;CCleaner APT调查后续:攻击者通过TeamViewer进入Piriform的网络;研究人员发现数据公司LocalBlox的约4800万用户数据可公开访问。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、Belkin N750栈缓冲区溢出漏洞
Belkin N750存在基于栈的缓冲区溢出漏洞,允许远程攻击者利用漏洞向proxy.cgi发送HTTP请求,可使应用程序崩溃或执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站脚本漏洞
Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制内容,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行漏洞
Spring Data Commons处理SPEL表达式存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,以WEB权限执行任意命令。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行漏洞
Oracle WebLogic Server存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊请求,以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写任意代码漏洞
Adobe Flash Player存在越界写漏洞,允许远程攻击者利用漏洞提交特殊文件,诱使用户解析,可以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb18-08.html
三、重要安全事件综述
1、泰国运营商TrueMove H的用户数据泄露,约4.6万用户受到影响
安全研究人员Niall Merrigan发现泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可公开访问,泄露的数据包含用户的驾驶执照和护照等身份证件的扫描,数据总量为约4.6万条记录,共32GB。该数据库直到4月12日还可继续访问,随后该公司限制了其访问权限。TrueMove H声明称数据泄露事件影响的是其子公司I True Mart。
原文链接:https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html
2、最新的研究显示大量Android应用违规采集儿童的隐私信息
来自美国多所大学的隐私专家分析了Google Play商店的“为家庭而设计”(DFF)计划的5855个Android app,发现超过57%的app可能违反了儿童在线隐私保护法案(COPPA)。约5%的app未经许可收集用户的位置和联系人信息,约19%的app与第三方共享敏感信息,约40%的app违反了旨在保护儿童隐私的Google服务条款。主要原因是大多数app使用的SDK通常自动收集用户信息。
3、研究人员称数百万个APP通过广告SDK泄露用户数据
卡巴斯基实验室安全研究员Roman Unuchek表示,数百万个APP使用了第三方的SDK,但并没有保护这些广告SDK传输给第三方广告商的用户数据。这些数据包括用户的个人身份信息如姓名、年龄、收入甚至电话号码和电子邮件地址等,这些数据通过HTTP以未加密的方式传输,很容易被拦截和修改,导致恶意软件感染和勒索等。
原文链接:https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/
4、CCleaner APT调查后续:攻击者通过TeamViewer进入Piriform的网络
Avast研究人员发布CCleaner APT的后续调查结果。攻击者首先在2017年3月11日通过一个开发人员工作站上的TeamViewer进入Piriform公司的网络,其如何获取有效的登录凭据还不得而知。根据日志文件,攻击者在当地时间凌晨5点进行渗透,其使用的有效荷载是为此次攻击而定制的ShadowPad。
原文链接:https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer
5、研究人员发现数据公司LocalBlox的约4800万用户数据可公开访问
UpGuard的研究人员发现数据公司LocalBlox的一个AWS S3可公开访问,里面存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上收集的约4800万用户的公开资料。这些数据包括用户的姓名、出生日期、实际地址、(LinkedIn)工作历史记录、部分用户的IP和电子邮件地址以及部分用户的个人净资产等信息。
京公网安备11010802024551号