首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第16周

发布时间 2019-04-22

本周安全态势综述



2019年4月15日至21日本周

共收录安全漏洞46个,值得关注的是Atlassian Confluence Server和Atlassian Data Center目录遍历漏洞;Sangfor Sundray WLAN Controller权限提升漏洞; GitLab CVE-2019-9485用户权限提升漏洞;Delta Electronics Delta Industrial Automation CNCSoft CVE-2019-10949缓冲区溢出漏洞;Cloud Foundry Cloud Controller API验证漏洞。


本周值得关注的网络安全事件是微软遭黑客攻击,部分用户的OutLook帐户信息泄露;Gnosticplayers出售第五批用户数据,包含6500多万个账号;超大规模恶意广告活动,劫持5亿iOS用户会话;JustDial API泄露超过1亿印度用户的个人信息;Facebook新数据丑闻,未经用户许可上传150万用户邮件联系人。
根据以上综述,本周安全威胁为中。



重要安全漏洞列表



1. Atlassian Confluence Server和Atlassian Data Center目录遍历漏
Atlassian Confluence Server和Atlassian Data Center downloadallattachments资源存在路径遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文查看系统文件内容。
https://jira.atlassian.com/browse/CONFSERVER-58102

2. Sangfor Sundray WLAN Controller权限提升漏洞
Sundray WLAN Controller nginx_webconsole.php存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可读取admin密码,获取权限。
https://nvd.nist.gov/vuln/detail/CVE-2019-9161

3. GitLab CVE-2019-9485用户权限提升漏洞
GitLab impersonate user功能存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,提升用户权限。
https://about.gitlab.com/2019/03/04/security-release-gitlab-11-dot-8-dot-1-released/

4. Delta Electronics Delta Industrial Automation CNCSoft CVE-2019-10949缓冲区溢出漏洞
Delta Electronics Delta Industrial Automation CNCSoft存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意代码或进行拒绝服务攻击。

https://ics-cert.us-cert.gov/advisories/ICSA-19-106-01


5. Cloud Foundry Cloud Controller API验证漏洞
Cloud Foundry Cloud Controller API验证实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可提升权限。
https://www.cloudfoundry.org/blog/cve-2019-3798


 重要安全事件综述



1、微软遭黑客攻击,部分用户的OutLook帐户信息泄露


微软证实1月1日至3月29日期间攻击者入侵了一个客户支持代理账户,并利用该账户访问了客户支持门户网站及部分OutLook用户的相关信息。这些信息包括电子邮件地址、文件夹名称、邮件主题及联系人电子邮件地址,但不包括邮件及附件的内容。目前尚不清楚攻击的具体细节,但微软表示已经禁用了该代理账户的凭据,并通知所有受影响的用户。微软也没有透露受影响的用户总数。

原文链接:
https://thehackernews.com/2019/04/microsoft-outlook-email-hack.html

2、Gnosticplayers出售第五批用户数据,包含6500多万个账号


黑客Gnosticplayers在暗网论坛DreamMarket上出售第五批被盗的用户数据,这批数据包含超过6500万个用户账户,售价为0.8463比特币(4350美元)。这批被盗的用户记录属于六家新公司,包括游戏平台Mindjolt(2800万)、在线购物社区Wanelo(2300万)、苹果维修中心iCracked(150万)、旅游公司Yanolja(150万)、电子邀请服务Evite(1000万)和女子时装店Moda Operandi(150万)。目前为止Gnosticplayers出售的被盗用户记录总数已达9.32亿条。

原文链接:
https://cyware.com/news/gnosticplayers-hacker-returns-with-fifth-dataset-containing-over-65-million-user-accounts-for-sale-95450e99

3、超大规模恶意广告活动,劫持5亿iOS用户会话



安全厂商Confiant发现犯罪团伙eGobbler发起针对iOS用户的超大规模恶意广告活动,已劫持5亿iOS用户的会话。该攻击活动从4月6日开始,持续了6天的时间,攻击者使用了8个不同的恶意广告系列和30多个虚假广告,每个虚假广告系列的生命周期为24-48小时之间。攻击者主要针对美国和欧盟的iOS用户,并在攻击中利用了Chrome浏览器中的漏洞以绕过沙盒检测。攻击者使用了.world域名托管的钓鱼网站,经过短暂的停顿之后,又转向.site域名的钓鱼网站。自4月14日以来,这些钓鱼网站一直处于活跃状态。

原文链接:
https://www.bleepingcomputer.com/news/security/malvertising-campaign-abused-chrome-to-hijack-500-million-ios-user-sessions/

4、JustDial API泄露超过1亿印度用户的个人信息


安全研究员Rajshekhar Rajaharia发现印度本地搜索服务公司JustDial的一个API未受保护,可被任何人利用以检索超过100万用户的个人信息。泄露的数据包括用户的姓名、电子邮件地址、手机号码、居住地址、性别、出生日期、照片、就职公司等。虽然该API至少从2015年起就可公开访问,但尚不清楚是否已有人利用它来收集JustDial用户的个人信息。

原文链接:
https://thehackernews.com/2019/04/justdial-hacked-data-breach.html

5、Facebook新数据丑闻,未经用户许可上传150万用户邮件联系人



在周三发布的一份声明中,Facebook表示自2016年5月以来该公司“无意间”在未经用户许可的情况下向服务器上传了多达150万用户的电子邮件联系人。这是Facebook近期面临的一系列隐私相关问题和争议中的最新事件。Facebook表示已在一个月前停止了可疑的电子邮件验证过程,并向用户保证未分享这些联系人信息及已经开始删除这些联系人。

原文链接:
https://thehackernews.com/2019/04/facebook-email-database.html

上一篇 下一篇