信息安全周报-2018年第21周
发布时间 2018-05-28
一、本周安全态势综述
2018年05月21日至27日共收录安全漏洞47个,值得关注的是GNU glibc本地缓冲区溢出漏洞;Foxit Reader U3D图形多个任意代码执行漏洞;Trend Micro Email Encryption Gateway命令注入漏洞;Intel多个CPU硬件CVE-2018-3640信息泄露漏洞;D-Link DIR-550A和DIR-604M远程代码执行漏洞。
本周值得关注的网络安全事件是研究团队发现利用Google Play和Fackbook的APT攻击活动RedDawn;研究团队发现犯罪团伙Chrysene针对中东和英国ICS网络的攻击活动;研究人员发现僵尸网络Brain Food在一周内感染约2400个网站;安全研究人员发现D-Link DIR-620路由器中存在后门账户;研究团队发现针对巴基斯坦的APT组织Confucius与Patchwork存在关联。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、GNU glibc本地缓冲区溢出漏洞
GNU C Library mempcpy函数在AVX-512-optimized实现中存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的文件,诱使用户解析,可使应用程序崩溃。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://sourceware.org/bugzilla/show_bug.cgi?id=23196
2、Foxit Reader U3D图形多个任意代码执行漏洞
Foxit Reader处理PDF中的U3D图形存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的文件,诱使用户解析,可使应用程序崩溃或执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://srcincite.io/advisories/src-2018-0016/
3、Trend Micro Email Encryption Gateway命令注入漏洞
Trend Micro Encryption for Email LauncherServer存在命令注入漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.zerodayinitiative.com/advisories/ZDI-18-416/
4、Intel多个CPU硬件CVE-2018-3640信息泄露漏洞
Intel CPU若利用推测执行且执行推测读取系统寄存器的情况下存在安全漏洞,允许本地攻击者可以利用漏洞通过侧信道分析获取敏感信息。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.kb.cert.org/vuls/id/180049
5、D-Link DIR-550A和DIR-604M远程代码执行漏洞
D-Link DIR-550A和DIR-604M处理伪造HTTP请求存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文执行操作系统命令。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://fortiguard.com/zeroday/FG-VD-18-060
三、重要安全事件综述
1、研究团队发现利用Google Play和Fackbook的APT攻击活动RedDawn
研究人员发现针对朝鲜叛逃者的一项复杂的间谍活动。该APT组织被称为Sun Team,主要使用Google Play和Facebook作为攻击媒介,它显示了移动威胁形势发展的速度有多快,因为该APT将策略转移到专注于此部分。据观察它的研究人员称,它在Google Play中发布了三个“未发布”的测试版应用程序,其目标是讲韩语的用户。他们伪装成Food Ingredients Info、ast AppLock和AppLockFree。Food Ingredients Info和Fast AppLock用于偷偷窃取敏感数据,如联系人、信息、通话录音和照片,并且还能够从C2服务器接收命令和其他可执行文件(.dex),AppLockFree似乎是侦察工作的一部分,为未来的一轮攻击奠定基础。
原文链接:https://threatpost.com/reddawn-espionage-campaign-shows-mobile-apts-on-the-rise/132081/
2、研究团队发现犯罪团伙Chrysene针对中东和英国ICS网络的攻击活动
研究团队发现犯罪团伙Chrysene一直以来都针对中东和英国组织的工业网络。工业网络安全公司Dragos称其为“Chrysene”,该团伙与OilRig和Greenbug有关,主要集中在阿拉伯海湾地区,并且参与了Shamoon和Shamoon 2攻击。根据Dragos的说法,Chrysene从之前的OilRig和Greenbug的间谍活动演变而来,他们的工具、技术和程序重叠,但与这些其他团体相比,Chrysene在技术能力方面有着显着的进步。
原文链接:https://www.securityweek.com/chrysene-group-targets-ics-networks-middle-east-uk
3、研究人员发现僵尸网络Brain Food在一周内感染约2400个网站
僵尸网络Brain Food通过恶意PHP脚本感染合法网站,并发布假冒减肥药和补脑药的广告。Proofpoint研究人员称该僵尸网络已经感染了约5000个网站,域名托管服务商GoDaddy受到的影响最大,约占5000个网站的40%,其次依序是DreamHost、UnitedLayer和CyrusOne。
原文链接:https://threatpost.com/malicious-php-script-infects-2400-websites-in-the-past-week/132161/
4、安全研究人员发现D-Link DIR-620路由器中存在后门账户
卡巴斯基实验室的安全研究人员发现D-Link DIR-620路由器固件中存在一个后门账户(CVE-2018-6213),可导致攻击者通过互联网接管该设备。出于安全考虑研究人员没有披露该后门账户的用户名和密码,研究人员表示设备所有者无法禁用该后门账户。
原文链接:https://www.bleepingcomputer.com/news/security/backdoor-account-found-in-d-link-dir-620-routers/
5、研究团队发现针对巴基斯坦的APT组织Confucius与Patchwork存在关联
趋势科技研究团队发现APT组织Confucius针对巴基斯坦的新攻击活动,该活动通过2个新的网站和有效荷载攻击目标,包括Android恶意应用Fuddi Duniya以及一个恶意聊天应用。研究人员发现Confucius和Patchwork使用的恶意软件中包含更多的共享代码。
京公网安备11010802024551号