信息安全周报-2018年第18周
发布时间 2018-05-07
一、本周安全态势综述
2018年04月30日至05月06日共收录安全漏洞45个,值得关注的是F5 BIG-IP http/2请求拒绝服务安全漏洞;Xen 'x86/x86_64/entry.S'拒绝服务漏洞;Apache Ambari CVE-2018-8003目录遍历漏洞;TP-Link EAP Controller和Omada Controller权限提升漏洞;Microsoft Windows Host Compute Service Shim代码执行漏洞。
本周值得关注的网络安全事件是研究人员发现GPON路由器存在RCE漏洞,超过100万用户受影响;美ICS-CERT称BD公司的多个医疗设备易受KRACK漏洞的影响;GitHub内部日志出现bug,部分用户的密码暴露;研究团队发现朝鲜反病毒软件SiliVaccine包含恶意软件JAKU;随着WebStresser网站被关闭,整个欧洲的DDoS攻击下降60%。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、F5 BIG-IP http/2请求拒绝服务安全漏洞
F5 BIG-IP处理特殊的http/2请求存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,进行拒绝服务攻击。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://support.f5.com/csp/article/K45320419
2、Xen 'x86/x86_64/entry.S'拒绝服务漏洞
Xen 'x86/x86_64/entry.S' x86 PV guest OS用户处理INT 80存在安全漏洞,允许本地攻击者利用漏洞提交特殊的请求,使系统崩溃。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://xenbits.xen.org/xsa/advisory-259.html
3、Apache Ambari CVE-2018-8003目录遍历漏洞
Apache Ambari存在目录遍历请求漏洞,允许远程攻击者利用漏洞特殊的请求,未授权访问系统文件。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-CVE-2018-8003
4、TP-Link EAP Controller和Omada Controller权限提升漏洞
TP-Link EAP Controller和Omada Controller没有控制Web API的使用权限,允许远程攻击者利用漏洞特殊的请求,以管理员身份发送请求。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.coresecurity.com/advisories/tp-link-eap-controller-multiple-vulnerabilities
5、Microsoft Windows Host Compute Service Shim代码执行漏洞
Microsoft Windows Host Compute Service Shim存在安全漏洞,允许远程攻击者利用漏洞特殊的请求,执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8115
三、重要安全事件综述
1、研究人员发现GPON路由器存在RCE漏洞,超过100万用户受影响
VPNMentor的安全研究人员发现GPON家用路由器存在RCE漏洞,超过100万用户受影响。研究人员将身份认证绕过漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)相结合,可导致远程代码执行和接管设备。研究人员披露了相关PoC视频。
原文链接:https://securityaffairs.co/wordpress/71987/hacking/gpon-home-routers-hack.html
2、美ICS-CERT称BD公司的多个医疗设备易受KRACK漏洞的影响
美ICS-CERT称医疗技术公司BD的药物和供应管理系统BD Pyxis的多个版本受到KRACK漏洞的影响,包括BD Pyxis Anesthesia ES、BD Pyxis SupplyStation和BD Pyxis Parx手持设备等12个版本。这意味着患者的信息可能通过Wi-Fi泄露。BD公司表示其已为大多数设备实施了第三方供应商补丁,并正在督促用户进行部署。
原文链接:https://threatpost.com/krack-vulnerability-puts-medical-devices-at-risk/131552/
3、GitHub内部日志出现bug,部分用户的密码暴露
GitHub向部分用户警告称其一个bug导致用户的明文密码被记录在公司的内部日志中。只有少数的GitHub员工具有这些日志的访问权限。GitHub预计受影响的用户数量很低,但并没有公布具体数字。
4、研究团队发现朝鲜反病毒软件SiliVaccine包含恶意软件JAKU
Check Point的研究人员分析了朝鲜反病毒软件SiliVaccine的一个样本,发现SiliVaccine是基于日本趋势科技公司10年前开发的反恶意软件引擎。趋势科技证实SiliVaccine包含属于趋势科技的大量10多年前的防病毒引擎代码。研究人员还发现SiliVaccine将特定恶意软件的签名加入白名单,并且还捆绑了恶意软件JAKU。JAKU是一个感染了约1.9万个系统的僵尸网络,主要针对韩国和日本。
原文链接:https://research.checkpoint.com/silivaccine-a-look-inside-north-koreas-anti-virus/
5、随着WebStresser网站被关闭,整个欧洲的DDoS攻击下降60%
DDoS防护公司Link11指出,WebStresser网站的关闭对DDoS攻击活动有重大的影响,特别是在欧洲。Link11发言人称随着该网站的关闭,欧洲的DDoS攻击下降了约60%,相比峰值下降了64%。但DDoS攻击的缓和可能只是暂时的,随着新的DDoS服务将填补WebStresser的空缺,预计DDoS攻击将会再次增加。
京公网安备11010802024551号