信息安全周报-2018年第26周
发布时间 2018-07-02一、本周安全态势综述
2018年06月25日至29日共收录安全漏洞55个,值得关注的是Schneider Electric U.motion Builder栈缓冲区溢出漏洞;Delta Industrial Automation COMMGR AHSIM_5x0 Simulator栈缓冲区溢出漏洞;Adobe Reader DC越界读任意代码执行漏洞;Microsoft OneDrive DLL处理任意代码执行漏洞;Apache HBase安全限制绕过漏洞。
本周值得关注的网络安全事件是研究人员警告称使用TLS认证网站的Netflix钓鱼活动不断增长;英国税务机关HMRC涉嫌违法收集约510万用户的语音记录;Wi-Fi联盟正式发布新一代安全标准WPA3,可进一步提高网络安全性;FastBooking遭黑客入侵,数百家酒店的用户数据泄露;Facebook第三方应用导致约1.2亿用户的数据面临泄露风险。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、Schneider Electric U.motion Builder栈缓冲区溢出漏洞
Schneider Electric U.motion Builder存在栈的缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.schneiderelectric.com/en/download/document/Umotion_Server_update/
2、Delta Industrial Automation COMMGR AHSIM_5x0 Simulator栈缓冲区溢出漏洞
Delta Industrial Automation COMMGR AHSIM_5x0 Simulator处理TCP报文存在栈溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以COMMGR进程上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.deltaww.com/Products/PluginWebUserControl/downloadCenterCounter.aspx?DID=2093&DocPath=1&hl=en-US
3、Adobe Reader DC越界读任意代码执行漏洞
Adobe Reader DC存在越界读漏洞,允许远程攻击者利用漏洞提交特殊的PDF文件,诱使用户解析,可执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://helpx.adobe.com/security/products/acrobat/apsb18-02.html
4、Microsoft OneDrive DLL处理任意代码执行漏洞
Microsoft OneDrive处理搜索路径存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的DLL,诱使用户解析,可执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://blogs.technet.microsoft.com/srd/2018/04/04/triaging-a-dll-planting-vulnerability/
5、Apache HBase安全限制绕过漏洞
Apache HBase存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,绕过安全限制,执行未授权的操作。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://lists.apache.org/thread.html/a919e38f587c714c386a01d40fc8f45bd4219a65aaf2dc0bb4eccc96@%3Cdev.hbase.apache.org%3E
三、重要安全事件综述
1、研究人员警告称使用TLS认证网站的Netflix钓鱼活动不断增长
SANS技术研究院院长Johannes Ullrich称使用TLS认证网站的Netflix钓鱼活动不断增长。攻击者首先入侵WordPress或Drupal等CMS构建的网站,然后创建Netflix钓鱼网站并获取与Netflix名称相关的TLS证书,如netflix.domain.com或netflix.login.domain.com,这使其看起来更加可信。虽然Netflix账户价值并不高,但这种攻击易于实现自动化且难以让受害者发现。
原文链接:https://threatpost.com/new-phishing-scam-reels-in-netflix-users-to-tls-certified-sites/132976/
2、英国税务机关HMRC涉嫌违法收集约510万用户的语音记录
隐私保护组织Big Brother Watch发现英国的税务机关HMRC涉嫌违法收集约510万英国公民的语音记录。HMRC通过2017年1月推出的一项语音识别服务收集了这些记录,该服务允许用户在呼叫HMRC时通过语音进行身份验证。但Big Brother Watch发现用户无法选择不使用该服务,所有拨打HMRC热线的用户都被迫录制了语音记录,并且用户无法选择从HMRC的数据库中删除其语音记录。该组织认为HMRC此举明显违反了GDPR,英国信息专员办公室(ICO)已对此事展开正式的调查。
3、Wi-Fi联盟正式发布新一代安全标准WPA3,可进一步提高网络安全性
本周一Wi-Fi联盟正式发布新一代安全标准WPA3,WPA3是用于Wi-Fi连接的用户身份验证技术的最新版本。WPA3有两种安全模式,WPA3-Personal和WPA3-Enterprise,这两种安全模式的主要区别在于身份验证阶段。对于企业、政府和金融网络中使用的设备,建议使用WPA3-Enterprise安全模式,WPA3-Personal则是面向普通个人用户。Wi-Fi联盟表示WPA3的SAE算法能够抵御暴力攻击,WPA3将在多次失败尝试后阻止认证请求。
原文链接:https://www.bleepingcomputer.com/news/security/new-wpa3-wi-fi-standard-released/
4、FastBooking遭黑客入侵,数百家酒店的用户数据泄露
巴黎酒店预订公司FastBooking遭黑客入侵,数百家酒店的用户数据泄露。FastBooking称攻击者在6月14日利用其服务器上一个软件的漏洞安装了恶意软件,并窃取了酒店用户的姓名、国籍、地址、电子邮件地址和酒店预定相关信息(酒店名称、入住和退房)等数据,窃取的数据还包括部分用户的银行卡信息,如卡号、过期日期等。FastBooking称该事件影响了日本的380家酒店,Bleeping Computer认为这一数字在全球范围内可能超过了1000。
5、Facebook第三方应用导致约1.2亿用户的数据面临泄露风险
研究人员Inti De Ceukelaire发现第三方智力竞赛应用Nametests.com使约1.2亿Facebook用户的数据面临泄露风险。只要Facebook用户在NameTests网站上注册,该公司将可以获取用户的个人数据。但研究人员发现NameTests网站错误地将其“Access-Control-Allow-Origin”策略配置成通配符*,这允许任何网站访问其资源,包括这些用户的个人数据。NameTests已经修复了该问题。
原文链接:https://thehackernews.com/2018/06/facebook-users-data-leak.html
©ADLab 启明星辰积极防御实验室 2016