信息安全周报-2019年第22周

发布时间 2019-06-10

本周安全态势综述



2019年6月03日至09日共收录安全漏洞51个,值得关注的是Vim和Neovim OS命令注入漏洞;Exim deliver_message() 代码执行漏洞; Citrix Workspace app and Receiver for Windows远程代码执行漏洞;PHP php_jpg_get16堆溢出漏洞;NETGEAR Insight post-authentication命令注入漏洞。本周值得关注的网络安全事件是GandCrab停止运营,攻击者宣布关闭RaaS服务;AMCA遭黑客入侵,导致1190万Quest Diagnostics患者信息泄露;Westpac银行遭黑客攻击,约10万名客户信息泄露;Windows RDP新0day,可劫持远程桌面会话;AMCA数据泄露还波及约770万LabCorp客户。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表



1. Vim和Neovim OS命令注入漏洞
Vim和Neovim getchar.c文件存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可以应用程序上下文执行任意OS命令。
https://github.com/vim/vim/commit/53575521406739cf20bbe4e384d88e7dca11f040

2. Exim deliver_message() 代码执行漏洞
Exim deliver_message()不正确验证接收入地址漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文执行任意代码。
https://exim.org/static/doc/security/CVE-2019-10149.txt

3. Citrix Workspace app and Receiver for Windows远程代码执行漏洞
Citrix Workspace app and Receiver for Windows存在安全漏洞,由于未强制执行本地驱动器访问首选项,攻击者可以对客户端本地驱动器进行读/写访问,进而在客户端设备上的代码执行。
https://support.citrix.com/article/CTX251986

4. PHP php_jpg_get16堆溢出漏洞
PHP php_jpg_get16存在堆溢出漏洞,允许远程攻击者可以利用漏洞可提交特殊的请求,可使应用程序崩溃或执行任意代码。
https://bugs.php.net/bug.php?id=77988

5. NETGEAR Insight post-authentication命令注入漏洞
NETGEAR Insight Cloud post-authentication存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意命令。
https://kb.netgear.com/000060977/Security-Advisory-for-Post-Authentication-Command-Injection-on-Insight-Cloud-PSV-2018-0366


 重要安全事件综述



1、GandCrab停止运营,攻击者宣布关闭RaaS服务


勒索软件GandCrab的开发者在黑客论坛上宣布将在一个月内关闭其RaaS(勒索软件即服务)业务,自2018年1月正式推出以来,GandCrab RaaS一直在该论坛上宣传自己的服务。攻击者表示他们已经靠该勒索软件赚取了超过20亿美元的赎金,因此决定“退休”,但这一数字的真实性存疑。攻击者还表示将删除所有的解密密钥,使得受害者无法恢复文件。

原文链接:
https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-down/

2、AMCA遭黑客入侵,导致1190万Quest Diagnostics患者信息泄露



美国账单服务公司AMCA遭黑客入侵,该事件导致血液检测公司Quest Diagnostics的1190万患者信息泄露。根据AMCA的公告,该事件发生在2018年8月1日至2019年3月30日期间,未经授权的攻击者访问了AMCA的系统,该系统包含Quest Diagnostics的患者信息。泄露的信息包括银行账户数据和信用卡号等财务信息以及医疗信息和社会安全号码等个人信息。Quest和AMCA正在对此事件进行调查。

原文链接:
https://www.bleepingcomputer.com/news/security/billing-details-for-119m-quest-diagnostics-clients-exposed/

3、Westpac银行遭黑客攻击,约10万名客户信息泄露


根据悉尼先驱晨报的报道,Westpac银行遭到黑客攻击,导致近10万澳大利亚用户的个人信息泄露。攻击者来自于海外,对该银行的PayID平台进行了“枚举攻击”。据称攻击者进行了大约60万次查询,成功获取了约9.8万客户的姓名。Westpac表示客户的财务信息没有受到损害,该银行的PayID平台只存储了客户的姓名和手机号码。

原文链接:
https://au.finance.yahoo.com/news/100-000-australians-reportedly-risk-232227017.html

4、Windows RDP新0day,可劫持远程桌面会话



卡内基梅隆CERT/CC披露Windows RDP服务中的一个未修复的0day(CVE-2019-9510),该漏洞可允许攻击者绕过远程桌面会话中的屏幕锁定并劫持会话。该漏洞与RDP的网络身份验证NLA有关,CERT描述的攻击场景为:用户使用RDP连接到Windows 10 1803或Server 2019或更新的系统,然后锁定远程桌面会话并离开客户端,此时攻击者可中断RDP网络连接,这将导致它自动重连并绕过Windows屏幕锁定,从而进行非法访问。

原文链接:
https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/

5、AMCA数据泄露还波及约770万LabCorp客户



LabCorp也受到第三方供应商AMCA数据泄露事件的影响,约770万客户信息泄露。泄露的信息包括姓名、出生日期、地址、电话号码、服务日期以及信用卡和银行信息等。该事件发生在2018年8月1日至2019年3月30日之间,此前外媒报道Quest Diagnostics的客户信息在该事件中泄露。LabCorp表示客户的社会安全号码并未泄露,此外客户的检测结果、医疗诊断信息也未泄露。

原文链接:
https://cyware.com/news/around-77-million-labcorp-customers-impacted-from-amca-data-breach-c3edd754