信息安全周报-2019年第29周

发布时间 2019-07-29

>  本周安全态势综述



2019年7月22日至28日共收录安全漏洞49个,值得关注的是ProFTPD SITE CPFR/CPTO任意读写漏洞;Apple Webkit 多个内存破坏代码执行漏洞;Zeroshell http参数命令注入漏洞;Apache Storm反序列化代码执行漏洞;McAfee Data Loss Prevention Endpoint ePO扩展命令注入漏洞。


本周值得关注的网络安全事件是俄罗斯联邦安全局承包商遭黑客入侵,机密项目曝光;ProFTPD RCE漏洞,超过100万台服务器受影响;印度小额信贷银行Jana Cash意外泄露260万用户交易信息;RiskIQ发布2019互联网犯罪报告,每分钟损失290万美元;前西门子合同工承认在公司电子表格中植入逻辑炸弹。


根据以上综述,本周安全威胁为中。



>  重要安全漏洞列表



1. ProFTPD SITE CPFR/CPTO任意读写漏洞


ProFTPD SITE CPFR/CPTO没有正确处理配置,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意读写操作。

http://bugs.proftpd.org/show_bug.cgi?id=4372

2. Apple Webkit CVE-2019-8644内存破坏代码执行漏洞


Apple iOS包含的WebKit存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或执行任意代码。

https://support.apple.com/zh-cn/HT210356

3. Zeroshell http参数命令注入漏洞


Zeroshell处理http参数存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://www.tarlogic.com/advisories/zeroshell-rce-root.txt

4. Apache Storm反序列化代码执行漏洞


Apache Storm处理不可信数据存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://lists.apache.org/thread.html/3e4f704c4bd9296405a07a0290b8cbb6cbf5046e277efe6d93280a98@%3Cuser.storm.apache.org%3E

5. McAfee Data Loss Prevention Endpoint ePO扩展命令注入漏洞


McAfee Data Loss Prevention Endpoint ePO扩展存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意OS命令。
https://kc.mcafee.com/corporate/index?page=content&id=SB10289



 重要安全事件综述



1、俄罗斯联邦安全局承包商遭黑客入侵,机密项目曝光



俄罗斯联邦安全局(FSB)的承包商SyTech遭黑客入侵,该公司为FSB开发的机密项目被曝光。该攻击事件发生在7月13日,黑客团伙0v1ru$入侵了SyTech的服务器,并窃取了7.5TB的数据。这些数据随后被分享给黑客团伙DigitalRevolution,后者向媒体进行了曝光。这些机密项目包括旨在隔离俄罗斯互联网的Nadezhda项目、旨在收集社交媒体用户信息的Nautilus项目以及旨在对Tor网络用户进行去匿名化的Nautilus-S项目等。

原文链接:https://www.bleepingcomputer.com/news/security/russian-fsb-intel-agency-contractor-hacked-secret-projects-exposed/

2、ProFTPD RCE漏洞,超过100万台服务器受影响




ProFTPD发布新版本1.3.6,修复一个可导致RCE的漏洞。该漏洞(CVE-2019- 12815)与ProFTPD的mod_copy模块有关,漏洞原因是mod_copy模块的自定义SITE CPFR和SITE CPTO命令没有按预期配置工作。管理员可通过禁用mod_copy模块来缓解该漏洞。根据Shodan的搜索结果,目前有超过100万个ProFTPd服务器尚未升级修复补丁。德国CERT-Bund也针对该漏洞向用户发出警报。

原文链接:https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/

3、印度小额信贷银行Jana Cash意外泄露260万用户交易信息



研究人员发现印度小额信贷银行Jana Cash的一个数据库未受密码保护,导致数百万用户的交易信息可被公开访问。泄露的敏感信息包括260万用户的交易记录,以及他们的KYC PII信息,例如钱包ID、用户名、电子邮件、IP地址和端口号等。在研究人员通报该公司后,该公司已对Elastic数据库进行保护。目前尚不清楚该数据库暴露了多长时间以及是否已被其他人访问。

原文链接:https://securitydiscovery.com/jana-bank-data-leak/

4、RiskIQ发布2019互联网犯罪报告,每分钟损失290万美元



根据RiskIQ的数据,去年网络犯罪分子每分钟给全球经济造成290万美元的损失,全年总计造成1.5万亿美元的损失。其它数据包括,加密货币交易所每分钟的损失达1930美元;钓鱼攻击每分钟造成的损失达17700美元;2019年全球勒索软件事件的预计成本为每分钟22184美元;每分钟泄露的身份数据条数为8100条;每分钟检测到的恶意重定向为7个等。

原文链接:https://www.riskiq.com/blog/external-threat-management/2019-evil-internet-minute/

5、前西门子合同工承认在公司电子表格中植入逻辑炸弹



前西门子合同工David Tinley承认在为公司创建的电子表格中植入逻辑炸弹,他将面临最高10年的监禁以及25万美元的罚款。根据相关法庭文件,Tinley为西门子的Monroeville PA办事处提供了近十年的软件服务,他在给公司创建用于管理设备订单的电子表格时植入了逻辑炸弹,这些炸弹会在特定日期触发,导致文件崩溃。每次崩溃时Tinley都会收取费用来修复该文件,直到两年后西门子发现了逻辑炸弹并提出了指控。

原文链接:https://www.zdnet.com/article/siemens-contractor-pleads-guilty-to-planting-logic-bomb-in-company-spreadsheets/