信息安全周报-2018年第29周
发布时间 2018-07-23一、本周安全态势综述
2018年07月16日至22日共收录安全漏洞44个,值得关注的是Pivotal Spring Framework远程代码执行漏洞;Cisco IP Phone 6800、7800和8800系列命令注入漏洞;ManageEngine Exchange Reporter Plus ‘ADSHACluster’远程代码执行漏洞;Adobe Flash Player CVE-2018-5007类型混淆代码执行漏洞;Dasan GPON命令注入漏洞。
本周值得关注的网络安全事件是银行木马Dorkbot卷土重来,占银行恶意软件市场的25%;俄罗斯在世界杯期间遭到约2500万次网络攻击;Telefonica官网漏洞可导致数百万用户的个人信息泄露;美血液检测实验室LabCorp遭黑客入侵,数百万用户疑受影响;俄罗斯PIR银行遭黑客攻击,损失约100万美元。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、Pivotal Spring Framework远程代码执行漏洞
Spring Framework使用spring-messaging模块来实现STOMP代理时存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的消息,可以应用程序上下文执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.exploit-db.com/exploits/44796/
2、Cisco IP Phone 6800、7800和8800系列命令注入漏洞
Cisco IP Phone 6800、7800和8800系列WEB UI存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,注入任意SHELL命令并执行。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-phone-webui-inject
3、ManageEngine Exchange Reporter Plus ‘ADSHACluster’远程代码执行漏洞
ManageEngine Exchange Reporter Plus Java servlet ‘ADSHACluster’在执行‘bcp.exe’文件存在安全漏洞,允许远程攻击者利用漏洞提交特殊‘BCP_EXE’参数请求,执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.manageengine.com/products/exchange-reports/release-notes.html
4、Adobe Flash Player CVE-2018-5007类型混淆代码执行漏洞
Adobe Flash Player处理SWF文件存在类型混淆漏洞,允许远程攻击者利用漏洞提交特殊文件请求,诱使用户解析,可执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb18-24.html
5、Dasan GPON命令注入漏洞
Dasan GPON GponForm/diag_Form URI存在设计漏洞,允许攻击者可以利用漏洞提交特殊的'dest_host’参数的diag_action=ping请求,可以应用程序上下文执行任意命令。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/
三、重要安全事件综述
1、银行木马Dorkbot卷土重来,占银行恶意软件市场的25%
根据Check Point的最新数据,银行木马Dorkbot在2018年卷土重来,成为一个严重的威胁。Dorkbot最早可以追溯到2012年,其主要用于窃取用户的银行登录凭据。在2018年上半年,全球银行恶意软件市场占据前三位的分别是Ramnit(27%)、Dorkbot(25%)和Zeus(13%)。Dorkbot已成为2018年第二大令人头疼的银行恶意软件。
原文链接:https://threatpost.com/threatlist-6-year-old-dorkbot-banking-malware-resurfaces-as-big-threat/133898/
2、俄罗斯在世界杯期间遭到约2500万次网络攻击
莫斯科时报报道称,俄罗斯总统普京高度赞扬了该国的网络安全部门,该部门在世界杯期间共阻止了约2500万次网络攻击和其它犯罪活动,确保了比赛的安全。FireEye南欧技术总监David Grout表示虽然这一数字很高,但并不出人意料。这些攻击可能包括在比赛前几周就开始的网络钓鱼攻击,例如低价机票、赢得俄罗斯之旅以及与世界杯主题相关的促销活动(如国家队球衣)等。
原文链接:https://www.infosecurity-magazine.com/news/russia-fends-off-25-million-world/
3、Telefonica官网漏洞可导致数百万用户的个人信息泄露
西班牙电信公司Telefonica的固话、宽带及付费电视业务Movistar的官网存在漏洞,可导致数百万用户的个人信息泄露。Movistar官网上用于查看发票的页面的URL中包含了发票的ID,任何用户都可以通过修改此ID来查看其它账户的数据。根据新的GDPR规定,该公司可能面临1000万~2000万欧元或相当于其年营业额2%~4%的罚款。
原文链接:https://www.bleepingcomputer.com/news/security/telefonica-spain-exposed-the-personal-details-of-millions-of-customers/
4、美血液检测实验室LabCorp遭黑客入侵,数百万用户疑受影响
本周一美国最大的血液检测实验室LabCorp宣布其在周末期间遭到黑客入侵。LabCorp关闭了部分系统以控制该入侵活动,目前各系统功能正在恢复中。该公司表示没有证据表明发生了对数据的未授权访问,但没有披露更多相关细节。有关当局正在进行调查之中。LabCorp在全球拥有近6万名员工,其每周测试的患者样本超过250万个,因此数据泄露的潜在后果可能是巨大的,数百万用户的敏感信息可能面临风险。
原文链接:https://www.bleepingcomputer.com/news/security/hackers-breach-network-of-labcorp-us-biggest-blood-testing-laboratories/
5、俄罗斯PIR银行遭黑客攻击,损失约100万美元
根据俄罗斯安全厂商Group-IB的报告,黑客团伙MoneyTaker通过路由器入侵了俄罗斯PIR银行的网络,并窃取了约100万美元的资金。Group-IB确认攻击始于2018年5月下旬,攻击者的入口是过时的路由器,该路由器有隧道,可允许攻击者直接访问银行的本地网络。攻击发生在7月3日,PIR银行的员工在一天后的7月4日发现了大笔未授权的交易,但为时已晚。
原文链接:https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/
京公网安备11010802024551号