信息安全周报-2018年第22周
发布时间 2018-06-04
一、本周安全态势综述
2018年05月28日至06月01日共收录安全漏洞53个,值得关注的是多款TP-LINK产品远程代码执行漏洞;Git 'git clone –recurse-submodules'远程代码执行漏洞;Huawei 1288H V5和2288H V5 CVE-2018-7904权限提升漏洞;strongSwan CVE-2018-5388缓冲区溢出漏洞;BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞。
本周值得关注的网络安全事件是研究团队发现利用Android原生web视图的新钓鱼活动;研究团队发现利用RIG EK分发木马Grobios的攻击活动;加拿大的两家银行遭黑客攻击,部分客户的数据泄露;研究人员称可通过声波攻击破坏HDD和导致系统崩溃;本田汽车印度分公司的AWS S3配置错误,导致5万多名用户的信息泄露。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、多款TP-LINK产品远程代码执行漏洞
多款TP-LINK产品中的/usr/lib/lua/luci/torchlight/validator.lua文件存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的JSON请求,以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://github.com/yough3rt/IOT-pwn-for-fun/blob/master/TP-LINK-websys-Authenticated-RCE
2、Git 'git clone –recurse-submodules'远程代码执行漏洞
Git 在用git clone时没有对submodule的文件夹命名做足够的验证,允许远程攻击者利用漏洞提交恶意的.gitmodules文件,以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://git-scm.com
3、Huawei 1288H V5和2288H V5 CVE-2018-7904权限提升漏洞
Huawei 1288H V5和2288H V5存在JSON注入漏洞,允许本地攻击者利用漏洞提交特殊的请求,修改管理员密码,获取系统的管理权限。
用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180523-01-json-en
4、strongSwan CVE-2018-5388缓冲区溢出漏洞
strongSwan存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可耗尽资源,进行拒绝服务攻击。
用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.strongswan.org/blog
5、BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞
BeaconMedaes TotalAlert Scroll Medical Air Systems WEB服务器存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取敏感信息。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://ics-cert.us-cert.gov/advisories/ICSMA-18-144-01
三、重要安全事件综述
1、研究团队发现利用Android原生web视图的新钓鱼活动
RiskIQ研究团队发现针对MyEtherWallet的一个新钓鱼活动。攻击者通过建立一个伪装成MyEtherWallet支持团队的Telegram聊天群组来分发恶意MyEtherWallet客户端。该恶意程序通过GoNative.io将Web应用作为本地应用发布,用于窃取用户的凭据。研究人员发布了相关IoC。
原文链接:https://www.riskiq.com/blog/labs/myetherwallet-android/
2、研究团队发现利用RIG EK分发木马Grobios的攻击活动
FireEye研究团队发现利用RIG Exploit Kit(EK)传播木马Grobios的恶意攻击活动,该活动从2018年3月10日开始。Grobios使用了多种逃避检测技术,并通过多个备份和创建自动运行注册表项及计划任务来实现持久性。
原文链接:https://securityaffairs.co/wordpress/72954/malware/rig-exploit-kit-grobios-campaign.html
3、加拿大的两家银行遭黑客攻击,部分客户的数据泄露
加拿大的两家银行Simplii Financial和蒙特利尔银行在周一发表声明称发生网络安全事件,Simplii Financial表示,它在上周末发现攻击者访问了约4万名Simplii客户的账户信息。但是Simplii Financial承诺100%返还所受影响的账户的损失。在Simplii发表声明一小时后,蒙特利尔银行也发布了类似的声明。该银行表示,黑客自己在上周日联系了他们,声称拥有客户数据。蒙特利尔银行没有透露有多少客户的信息泄露,但表示他们相信已经关闭了黑客进入其系统的入口点。
原文链接:https://www.bleepingcomputer.com/news/security/two-canadian-banks-announce-hacks-over-the-weekend/
4、研究人员称可通过声波攻击破坏HDD和导致系统崩溃
来自密歇根大学和浙江大学的一个研究小组称可通过声波/超声波攻击来破坏硬盘(HDD)的读取、写入和存储功能以及导致操作系统崩溃。研究人员表示这种攻击可以通过便宜的台式电脑或笔记本电脑的扬声器进行,一种可能的攻击场景是,用户访问了恶意网站并播放了具有破坏性的恶意声波。
原文链接:https://threatpost.com/sonic-tone-attacks-damage-hard-disk-drives-crashes-os/132343/
5、本田汽车印度分公司的AWS S3配置错误,导致5万多名用户的信息泄露
根据Kromtech Security的报告,本田汽车印度分公司的2个Amazon S3可公开访问,导致超过5万名用户的信息泄露。这2个AWS bucket包含本田移动应用Honda Connect的用户的详细信息,例如姓名、性别、用户及其可信联系人的电话号码和电子邮件地址、账户密码、汽车VIN码和汽车Connect ID等。