信息安全周报-2019年第34周

发布时间 2019-09-02

>本周安全态势综述



2019年8月26日至9月01日共收录安全漏洞49个,值得关注的是Cisco REST API Container验证绕过漏洞;BloodHound components/Modals/HelpModal.jsx任意命令执行漏洞;Datalogic AV7000 Linear Barcode Scanner身份验证绕过漏洞;Delta Controls enteliBUS Controllers缓冲区溢出漏洞;Linux kernel net/wireless/marvell/mwifiex缓冲区溢出漏洞。


本周值得关注的网络安全事件是托管服务商Hostinger近1400万用户信息被拖库;2019年上半年报告的漏洞中超过34%未修复;Android恶意应用CamScanner下载量超1亿;2024年全球数据泄露成本预计将达5万亿美元;美国数百家牙科诊所遭勒索软件Sodinokibi攻击。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表



1. Cisco REST API Container验证绕过漏洞


Cisco REST API Container REST API验证实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取用户的令牌ID,绕过安全限制,未授权访问。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

2. BloodHound components/Modals/HelpModal.jsx任意命令执行漏洞


BloodHound components/Modals/HelpModal.jsx存在安全漏洞,允许远程攻击者可以利用漏洞通过创建带JS代码名称的GPO,触发search-autocomplete功能,可执行任意OS命令。
https://github.com/BloodHoundAD/BloodHound

3. Datalogic AV7000 Linear Barcode Scanner身份验证绕过漏洞


Datalogic AV7000 Linear Barcode Scanner实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,绕过身份验证执行任意代码。
https://www.us-cert.gov/ics/advisories/icsa-19-239-02

4. Delta Controls enteliBUS Controllers缓冲区溢出漏洞


Delta Controls enteliBUS Controllers实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,触发缓冲区溢出执行任意代码。
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9569

5. Linux kernel net/wireless/marvell/mwifiex缓冲区溢出漏洞


Linux kernel net/wireless/marvell/mwifiex存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使服务程序崩溃或执行任意代码。
https://vigilance.fr/vulnerability/Linux-kernel-buffer-overflow-via-net-wireless-marvell-mwifiex-30180



>重要安全事件综述



1、托管服务商Hostinger近1400万用户信息被拖库


托管服务商Hostinger发布公告称近1400万用户信息被拖库。该事件于8月23日星期五被发现,该公司表示攻击者获取了内部服务器的访问权限,然后找到了内部API的授权令牌,调用API窃取了用户信息。泄露的用户信息包括用户名、IP地址、姓名、电话号码、电子邮件地址和家庭地址等,还包括SHA1算法加密的哈希密码。该公司表示没有财务信息受到损害,但未透露受影响的具体人数。该公司还表示决定强制重置所有受影响帐户的密码。

原文链接:
https://www.zdnet.com/article/hostinger-resets-customer-passwords-after-security-incident/

2、2019年上半年报告的漏洞中超过34%未修复


根据Risk Based Security发布的《2019年年中漏洞回顾报告》,2019年上半年报告的所有漏洞中超过34%(3771个)的漏洞未修复。此外,在报告的总共11092个漏洞中,14.7%(1630个)的漏洞CVSS V2得分超过9.0,54.5%(6045个)的漏洞与Web有关,约53%(5878个)的漏洞可以远程利用,66%的漏洞与SQL注入攻击有关,约2.8%的漏洞与SCADA有关。

原文链接:
https://pages.riskbasedsecurity.com/2019-midyear-vulnerability-quickview-report

3、Android恶意应用CamScanner下载量超1亿



卡巴斯基研究人员发现CamScanner的免费版存在一个隐藏的Trojan Dropper模块,可允许远程攻击者在用户不知情的情况下下载和安装恶意程序。CamScanner是一款受欢迎的手机PDF创建APP,它在Google Play商店的下载量超过1亿。恶意模块实际上并不存在于CamScanner本身的代码中,而是在第三方广告库中,因此可以推断这是软件开发者和不道德的广告商合作的结果。该模块可以通过多种方式利用受感染的设备,从显示侵入性广告到付费订阅窃取话费等。应该注意的是,CamScanner的付费版本不包含第三方广告库。Google已经从官方Play商店中删除了该APP。

原文链接:
https://thehackernews.com/2019/08/android-camscanner-malware.html

4、2024年全球数据泄露成本预计将达5万亿美元


根据瞻博网络的最新预测,随着监管罚款的实施以及企业更加依赖于数字系统,到2024年全球数据泄露的成本预计将增加到5万亿美元以上。这一数据来自于该公司发布的最新报告《网络犯罪和安全的未来:2019-2024威胁分析、影响评估和缓解策略报告》。该公司声称,在报告期间内预计数据泄露成本将从2019年的3万亿美元每年增长11%。报告中还称虽然大规模的数据泄露可能成为头条新闻,但它们并不一定会直接影响成本,因为罚款和业务损失与数据泄露的规模并不紧密相关。


原文链接:
https://www.infosecurity-magazine.com/news/breach-costs-trillion/

5、美国数百家牙科诊所遭勒索软件Sodinokibi攻击



8月26日美国数百家牙科诊所遭勒索软件Sodinokibi攻击,患者信息被加密。这是攻击者通过入侵软件供应商并利用其产品在客户系统上植入勒索软件的另一个案例。在本起事件中,软件供应商是The Digital Dental Record和PerCSoft,他们合作开发了医疗记录保存和备份软件DDS Safe。上周末黑客团伙入侵了该软件背后的基础设施,并利用它在数百个牙医诊所的计算机上部署了勒索软件Sodinokibi。这两家公司选择支付赎金获取解密器,但目前恢复进度缓慢,一些牙科诊所声称解密器要么不起作用,要么没有恢复所有数据。

原文链接:
https://www.zdnet.com/article/ransomware-hits-hundreds-of-dentist-offices-in-the-us/