绿盟科技互联网安全威胁周报NSFOCUS-19-13

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-13, 绿盟科技漏洞库 本周新增40条,其中高危19条。本次周报建议大家关注Bash 任意命令执行安全漏洞,由于rbash未阻止shell用户修改BASH_CMDS,可使攻击者以shell权限执行任意命令。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

焦点漏洞

  • Bash 任意命令执行安全漏洞
  • CVE ID
    • CVE-2019-9924
  • NSFOCUS ID
    • 43041
  • 受影响版本
    • GNU Bash < 4.4-beta2
  • 漏洞点评
    • Bash是一款为GNU计划而编写的、运行于类Unix操作系统中的Shell(命令语言解释器)。Bash 4.4-beta2之前版本,由于rbash未阻止shell用户修改BASH_CMDS,可使攻击者以shell权限执行任意命令。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

(数据来源:绿盟威胁情报中心)

 

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:华硕计算机被黑客安装后门程序 超百万用户受影响
    • 时间:2019-03-26
    • 简介:2019年1月发现了一项新的高级持续威胁(APT)活动,利用华硕 Live Update 软件更新的供应链攻击,华硕 Live Update 是一种预装在大多数华硕电脑上的实用程序,用于自动更新某些组件,如 BIOS,UEFI,驱动程序和应用程序等,据称影响了超过 100 万在其计算机上下载了华硕 Live Update 应用程序的用户,此恶意活动命名为Operation ShadowHammer。
    • 链接:https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/
  • 标题:IE和Edge浏览器0-day漏洞
    • 时间:2019-03-31
    • 简介:近日,国外研究员公布了关于Microsoft Edge和Internet Explorer浏览器的0-day漏洞。攻击者可以利用该漏洞绕过这2款浏览器的同源策略(Same-Origin Policy),在用户点击了攻击者提供的恶意链接后,造成通用型跨站脚本攻击(UXSS),盗取用户的敏感信息。
    • 链接:http://blog.nsfocus.net/edge-0-day-uxss/
  • 标题:Apache Tomcat DoS漏洞
    • 时间:2019-03-26
    • 简介:近日,官方公开了Apache Tomcat HTTP/2拒绝服务漏洞,该漏洞是由于应用服务允许接收大量的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽,攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。
    • 链接:http://blog.nsfocus.net/apache-tomcat-cve-2019-0199/
  • 标题:Elfin威胁组织瞄准沙特阿拉伯和美国
    • 时间:2019-03-28
    • 简介:Elfin威胁组织组织针对沙特阿拉伯、美国和伊朗的关键基础设施发起攻击,这些攻击目标包括政府、工程、化学、研究、能源咨询、金融、IT和医疗保健领域等;还利用WinRAR最近披露的关键漏洞(CVE-2018-20250)安装密码窃取程序、特洛伊木马和其他恶意软件。
    • 链接:https://thehackernews.com/2019/03/apt33-cyber-espionage-hacking.html
  • 标题:Gustuff Android银行木马目标是125+银行和32个加密货币应用程序
    • 时间:2019-03-29
    • 简介:最近,安全研究人员检测到Gustuff恶意软件 ,其主要目标是国际银行和电子商务网站等。安全专家对Gustuff样本的分析显示该特洛伊木马具备网络欺骗,针对顶级国际银行的Android应用程序用户,包括美国银行,苏格兰银行,摩根大通,富国银行,Capital One,TD银行,PNC银行和比特币钱包,BitPay,Cryptopay,Coinbase等加密服务。Gustuff大概会针对100多个银行应用程序,包括美国27个,波兰16个,澳大利亚10个,德国9个,在印度和8个加密货币应用程序。
    • 链接:https://securityaffairs.co/wordpress/83005/malware/android-trojan-gustuff.html
  • 标题:前NSA员工窃取50TB机密国防数据
    • 时间:2019-03-29
    • 简介:来自Glen Burnie的54岁海军退伍军人Harold Thomas Martin III滥用他的绝密安全许可,在政府计算机上偷走了至少50TB的机密国防数据,该员工1996年到2016年期间为多个NSA部门工作。
    • 链接:https://thehackernews.com/2019/03/nsa-classified-material.html
  • 标题:UC浏览器潜在中间人攻击漏洞
    • 时间:2019-03-26
    • 简介:近日,国外研究员发现了UC浏览器潜在的一个漏洞,可能会影响全球范围内上亿用户。研究人员发现UC浏览器中存在一个隐藏功能,该功能绕过了一些应用商店限制,可以从网上下载一些备用组件并执行。该功能用于给客户端添加新功能或者升级,但是也可以被中间人攻击利用。例如,当用户使用UC浏览器下载一份PDF文件并尝试打开浏览时,攻击者可以利用中间人攻击使浏览器下载一个恶意的文件并最终执行。
    • 链接:https://thehackernews.com/2019/03/uc-browser-android-hacking.html
  • 标题:LUCKY ELEPHANT攻击南亚政府
    • 时间:2019-03-25
    • 简介:在2019年3月初,研究人员发现了一项主要针对南亚政府的攻击活动,并将其命名为LUCKY ELEPHANT。LUCKY ELEPHANT伪造网页来模仿外国政府,电信和军队等合法机构来进行钓鱼攻击以窃取登陆凭证等信息。其中包括巴基斯坦的九个政府部门、孟加拉国的4个军队相关的部门、斯里兰卡空军、马尔代夫国防军、缅甸外交部、尼泊尔的军队和外交部和上海合作组织(欧亚政治,经济和安全联盟)。
    • 链接:https://www.netscout.com/blog/asert/lucky-elephant-campaign-masquerading
  • 标题:Grandstream IP电话等会议设备爆RCE漏洞
    • 时间:2019-03-26
    • 简介:在针对中小型企业的各种Grandstream产品中发现了一系列未经身份验证和认证的远程代码执行漏洞,包括音频和视频会议单元,IP视频电话,路由器和IP PBX。攻击者通过视频和音频功能安装恶意软件和窃听。安全研究人员建议确保所有设备都运行最新的固件; 打开自动更新; 更改所有帐户的设备上的所有默认凭据; 在与访问敏感信息的网络不同的网络上运行设备; 禁止访问设备上不需要的所有服务; 并更新不再接收安全更新的任何报废设备。
    • 链接:https://threatpost.com/grandstream-bugs-smbs-attacks/143141/
  • 标题:数百万的丰田客户数据泄露
    • 时间:2019-03-29
    • 简介:丰田汽车公司(TMC)销售子公司及其附属公司遭受数据泄露的消息告终,该公司披露了属于日本数百万客户的个人信息,8家丰田和雷克萨斯销售公司受此事件的影响。3月21日,在包含310万客户数据的服务器上检测到了未经授权的访问,暴露的记录包括姓名,地址,出生日期,职业和其他信息,好消息是事件中没有暴露财务数据。
    • 链接:https://securityaffairs.co/wordpress/83056/data-breach/toyota-data-breach.html

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年3月29日,绿盟科技漏洞库已收录总条目达到43066条。本周新增漏洞记录40条,其中高危漏洞数量19条,中危漏洞数量6条,低危漏洞数量15条。

  • McAfee Network Security Manager 信息泄露安全漏洞 (CVE-2019-3606)
    • 危险等级:高
    • cve编号:CVE-2019-3606
  • Ghostscript 安全限制绕过安全漏洞 (CVE-2019-3838)
    • 危险等级:高
    • BID:107520
    • cve编号:CVE-2019-3838
  • Ghostscript 安全限制绕过安全漏洞 (CVE-2019-3835)
    • 危险等级:高
    • cve编号:CVE-2019-3835
  • McAfee Network Security Manager 身份验证绕过安全漏洞 (CVE-2019-3597)
    • 危险等级:中
    • cve编号:CVE-2019-3597
  • GetSimpleCMS 开放重定向安全漏洞 (CVE-2019-9915)
    • 危险等级:中
    • cve编号:CVE-2019-9915
  • Mozilla Firefox/Firefox ESR远程内存破坏及缓冲区溢出安全漏洞 (CVE-2019-9810)
    • 危险等级:高
    • BID:107548
    • cve编号:CVE-2019-9810
  • Mozilla Firefox/Firefox ESR远程内存破坏及缓冲区溢出安全漏洞 (CVE-2019-9813)
    • 危险等级:高
    • BID:107548
    • cve编号:CVE-2019-9813
  • IBM API Connect 信息泄露安全漏洞 (CVE-2019-4052)
    • 危险等级:高
    • cve编号:CVE-2019-4052
  • PHPCMS 跨站脚本漏洞 (CVE-2019-10027)
    • 危险等级:低
    • cve编号:CVE-2019-10027
  • Desdev DedeCMS任意用户密码重置安全漏洞 (CVE-2019-10014)
    • 危险等级:中
    • cve编号:CVE-2019-10014
  • CMS Made Simple 跨站脚本漏洞 (CVE-2019-10017)
    • 危险等级:低
    • cve编号:CVE-2019-10017
  • WordPress social-warfare插件跨站脚本漏洞 (CVE-2019-9978)
    • 危险等级:高
    • cve编号:CVE-2019-9978
  • XnView MP 拒绝服务安全漏洞 (CVE-2019-9962)
    • 危险等级:低
    • cve编号:CVE-2019-9962
  • IBM WebSphere Application Server 拒绝服务安全漏洞 (CVE-2019-4046)
    • 危险等级:中
    • cve编号:CVE-2019-4046
  • Bash 任意命令执行安全漏洞 (CVE-2019-9924)
    • 危险等级:中
    • cve编号:CVE-2019-9924
  • XnView MP 拒绝服务安全漏洞 (CVE-2019-9963)
    • 危险等级:低
    • cve编号:CVE-2019-9963
  • XnView MP 拒绝服务安全漏洞 (CVE-2019-9964)
    • 危险等级:低
    • cve编号:CVE-2019-9964
  • XnView MP 拒绝服务安全漏洞 (CVE-2019-9965)
    • 危险等级:低
    • cve编号:CVE-2019-9965
  • XnView Classic 拒绝服务安全漏洞 (CVE-2019-9966)
    • 危险等级:低
    • cve编号:CVE-2019-9966
  • XnView Classic 拒绝服务安全漏洞 (CVE-2019-9967)
    • 危险等级:低
    • cve编号:CVE-2019-9967
  • ImageMagick 栈缓冲区溢出漏洞 (CVE-2019-9956)
    • 危险等级:中
    • BID:107546
    • cve编号:CVE-2019-9956
  • XnView Classic 拒绝服务安全漏洞 (CVE-2019-9969)
    • 危险等级:低
    • cve编号:CVE-2019-9969
  • XnView Classic 拒绝服务安全漏洞 (CVE-2019-9968)
    • 危险等级:低
    • cve编号:CVE-2019-9968
  • Caret 远程命令执行安全漏洞 (CVE-2019-9927)
    • 危险等级:高
    • cve编号:CVE-2019-9927
  • Apache Tomcat 拒绝服务漏洞 (CVE-2019-0199)
    • 危险等级:高
    • cve编号:CVE-2019-0199
  • PostgreSQL任意代码执行漏洞 (CVE-2019-9193)
    • 危险等级:高
    • cve编号:CVE-2019-9193
  • CMS Made Simple 跨站脚本漏洞 (CVE-2019-10107)
    • 危险等级:低
    • cve编号:CVE-2019-10107
  • CMS Made Simple 跨站脚本漏洞 (CVE-2019-10106)
    • 危险等级:低
    • cve编号:CVE-2019-10106
  • Palo Alto Networks Expedition Migration Tool跨站脚本安全漏洞 (CVE-2019-1569)
    • 危险等级:低
    • BID:107564
    • cve编号:CVE-2019-1569
  • IBM Sterling B2B Integrator XML外部实体注入安全漏洞 (CVE-2019-4043)
    • 危险等级:高
    • cve编号:CVE-2019-4043
  • Palo Alto Networks Expedition Migration Tool跨站脚本安全漏洞 (CVE-2019-1571)
    • 危险等级:低
    • BID:107564
    • cve编号:CVE-2019-1571
  • Palo Alto Networks Expedition Migration Tool跨站脚本安全漏洞 (CVE-2019-1570)
    • 危险等级:低
    • BID:107564
    • cve编号:CVE-2019-1570
  • Cisco IOS/IOS XE Software 拒绝服务安全漏洞 (CVE-2019-1747)
    • 危险等级:高
    • BID:107599
    • cve编号:CVE-2019-1747
  • Cisco IOS/IOS XE Software NBAR功能拒绝服务安全漏洞 (CVE-2019-1740)
    • 危险等级:高
    • BID:107597
    • cve编号:CVE-2019-1740
  • Cisco IOS/IOS XE Software NBAR功能拒绝服务安全漏洞 (CVE-2019-1739)
    • 危险等级:高
    • BID:107597
    • cve编号:CVE-2019-1739
  • Cisco IOS/IOS XE Software NBAR功能拒绝服务安全漏洞 (CVE-2019-1738)
    • 危险等级:高
    • BID:107597
    • cve编号:CVE-2019-1738
  • Cisco Aggregation Services Router 900 Route Switch Processor 3 OSPFv2拒绝服务漏洞 (CVE-2019-1749)
    • 危险等级:高
    • cve编号:CVE-2019-1749
  • Cisco IOS XE Software 本地命令注入安全漏洞 (CVE-2019-1745)
    • 危险等级:高
    • BID:107588
    • cve编号:CVE-2019-1745
  • Cisco IOS/IOS XE Software Network Plug-and-Play Agent证书验证漏洞 (CVE-2019-1748)
    • 危险等级:高
    • cve编号:CVE-2019-1748
  • Cisco IOS XE Software 信息泄露安全漏洞 (CVE-2019-1742)
    • 危险等级:高
    • BID:107600
    • cve编号:CVE-2019-1742

(数据来源:绿盟威胁情报中心)

 

发表评论