绿盟科技互联网安全威胁周报NSFOCUS-19-14

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-14, 绿盟科技漏洞库 本周新增30条,其中高危13条。本次周报建议大家关注Apache HTTP Server本地权限提升安全漏洞,通过该漏洞,拥有MPM事件,worker或prefork,或在权限较低的子进程或线程(包括由进程内脚本解释器执行的脚本)中执行代码等低权限时,可以通过操作计分板(Scoreboard)来获取其父进程(通常为Root)权限并执行代码。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

焦点漏洞

  • Apache HTTP Server本地权限提升安全漏洞
  • CVE ID
    • CVE-2019-0211
  • NSFOCUS ID
    • 43092
  • 受影响版本
    • Apache Group HTTP Server 2.4.17 – 2.4.38
  • 漏洞点评
    • Apache HTTP Server是一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Unix系统下的Apache HTTP Server组件2.4.17 – 2.4.38版本,在实现中存在的提权漏洞。通过该漏洞,拥有MPM事件,worker或prefork,或在权限较低的子进程或线程(包括由进程内脚本解释器执行的脚本)中执行代码等低权限时,可以通过操作计分板(Scoreboard)来获取其父进程(通常为Root)权限并执行代码。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

(数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比较为平稳。

1.2 威胁信息回顾

  • 标题:超过200万个Apache HTTP服务器受到CVE-2019-0211漏洞的影响
    • 时间:2019-04-05
    • 简介:影响Apache HTTP服务器的重要权限提升漏洞(CVE-2019-0211)可能被具有编写和运行脚本权利的用户利用,以通过记分板操作在Unix系统上获得root权限。这个漏洞是由Charles Fol发现的,影响了从2.4.17到2.4.38的所有Apache HTTP Server版本。随着Apache httpd 2.4.39的发布,它已得到解决。
    • 链接:https://securityaffairs.co/wordpress/83358/hacking/cve-2019-0211-apache-flaw.html
  • 标题:OceanLotus APT小组利用基于隐写术的装载机来提供后门
    • 时间:2019-04-03
    • 简介: OceanLotus(也称为APT32或Cobalt Kitty)自2013年以来一直活跃,据称它是一个由国家赞助的黑客组织。安全研究人员发现OceanLotus组织正在使用装载机利用隐写技术来提供Denes和Remy后门的更新版本。攻击目标针对为多个行业的实体和外国政府、持不同政见者和记者等。
    • 链接:https://securityaffairs.co/wordpress/83246/breaking-news/oceanlotus-steganography-backdoors.html
  • 标题:JS-sniffers感染了全球2440个网站
    • 时间:2019-04-03
    • 简介:JS-sniffer是一种旨在网上商店窃取客户支付数据的恶意软件。研究人员分析了2440个受感染的电子商务网站,每日访问量约为150万,其数据已被入侵,并对JS-sniffers的暗网市场的整个基础设施和货币化方法进行了深入分析,已为开发人员带来了数百万美元。
    • 链接:https://securityaffairs.co/wordpress/83283/cyber-crime/js-sniffers-infections.html
  • 标题:26k + Kibana实例在线公开Elasticsearch数据库
    • 时间:2019-04-02
    • 简介:Kibana 是 Elasticsearch的开源数据可视化插件。它在Elasticsearch集群上索引的内容之上提供可视化功能。用户可以在大量数据之上创建条形图,折线图和散点图,或饼图和贴图。研究人员发现在互联网上暴露了超过26,000个Kibana安装,其中大部分安装在美国和中国。大多数暴露的Kibana实例都托管在来自亚马逊,阿里巴巴,Microsoft Azure和Google Cloud的云服务上。
    • 链接:https://securityaffairs.co/wordpress/83215/breaking-news/exposed-kibana-installs.html
  • 标题:在Facebook上发现大约38.5万名成员的网络犯罪市场
    • 时间:2019-04-05
    • 简介:在Facebook上发现了一个提供网络犯罪商品和服务的在线黑市,共有74个团体,总计约385,000名成员这些群体中的大多数都使用相当明显的群组名称,包括’垃圾邮件专业版’,’垃圾邮件发送者和黑客专业版’,’购买Cvv,这是由BTC支付的商店付款’和’Facebook黑客(网络钓鱼)’。这些Facebook群组的成员通过帐户凭据和网络钓鱼工具以及服务信用卡信息和虚假ID来销售、购买和交换任何内容。
    • 链接:https://www.bleepingcomputer.com/news/security/cybercrime-market-with-roughly-385-000-members-found-on-facebook/
  • 标题:新的XLoader变种利用Twitter来隐藏C2地址
    • 时间:2019-04-04
    • 简介:研究人员发现一种新的XLoader木马变体,它通过伪装成安全应用程序来定位Android设备,该恶意软件还试图通过恶意iOS配置文件感染Apple设备(iPhone和iPad)。XLoader自2018年以来一直被观察到,但专家追溯到2015年1月,并将威胁与FakeSpy恶意软件联系起来。新的XLoader木马变体具有更新的部署技术,并包含与以前的变体不同的代码更改。
    • 链接:https://securityaffairs.co/wordpress/83317/breaking-news/xloader-6-twitter.html
  • 标题:5.4亿条Facebook用户数据暴漏在AWS云服务器上
    • 时间:2019-04-04
    • 简介:今年早些时候,安全研究人员发现了两台亚马逊云服务器,上面存储着5.4亿条与Facebook相关的记录,该记录包含用户帐户名、Facebook ID、评论、喜好以及用于分析社交媒体供稿和用户交互的其他数据。
    • 链接:https://www.zdnet.com/article/over-540-million-facebook-records-found-on-exposed-aws-servers
  • 标题:London Blue组织针对亚洲用户进行BEC攻击
    • 时间:2019-04-04
    • 简介:London Blue网络犯罪组织针对美国、澳大利亚和欧洲的公司在亚洲办公的员工进行企业电子邮件泄密(BEC)诈骗,并依靠一个收录了全球近7,800家不同公司(其中大多数在美国)的约8,500名财务高管详细信息的数据库。该组织采用的方法:将攻击重点放在亚洲的目标并欺骗域名,使电子邮件看起来不那么可疑。
    • 链接:https://www.bleepingcomputer.com/news/security/london-blue-scammers-extend-operation-attack-targets-in-asia/
  • 标题:Xwo Malware扫描Internet以查看暴露服务
    • 时间:2019-04-05
    • 简介:研究人员发现了一种名为Xwo的恶意软件,它正在主动扫描互联网以获取暴露的Web服务和默认密码。Xwo代码类似于MongoLock,这是一个勒索MongoDB服务器的勒索软件,然后要求支付赎金来恢复数据;Xwo和MongoLock都使用类似的命令和控制(C&C)域命名,并在C&C基础设施中显示重叠。
    • 链接:https://securityaffairs.co/wordpress/83402/malware/xwo-malware.html
  • 标题:小米预安装的安全应用程序易受MiTM攻击
    • 时间:2019-04-05
    • 简介:研究人员近期发现由全球最大移动供应商之一小米制造的超过1.5亿台设备预装的安全应用程序存在安全隐患,可让黑客远程破坏小米智能手机。小米在预安装的安全应用程序Guard Provider中修补了一个漏洞,将用户暴露给中间人(MiTM)攻击;安全漏洞是由Guard Provider应用程序使用的各种SDK之间的通信问题引起的,这使得潜在的攻击者可以“注入他选择的任何恶意代码,例如密码窃取,勒索软件,跟踪或任何其他类型的恶意软件。
    • 链接:https://thehackernews.com/2019/04/xiaomi-antivirus-app.html

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年4月5日,绿盟科技漏洞库已收录总条目达到43094条。本周新增漏洞记录30条,其中高危漏洞数量13条,中危漏洞数量12条,低危漏洞数量5条。

  • Cisco Firepower 9000 Series远程拒绝服务漏洞 (CVE-2019-1700)
    • 危险等级:中
    • BID:107105
    • cve编号:CVE-2019-1700
  • Adobe Acrobat/Reader信息泄露漏洞 (CVE-2019-7815)
    • 危险等级:高
    • BID:107114
    • cve编号:CVE-2019-7815
  • Cisco Prime Collaboration Assurance身份验证绕过漏洞 (CVE-2019-1662)
    • 危险等级:高
    • BID:107096
    • cve编号:CVE-2019-1662
  • Cisco SPA112/SPA525/SPA5X5 Series信息泄露漏洞 (CVE-2019-1683)
    • 危险等级:中
    • cve编号:CVE-2019-1683
  • Cisco Unity Connection 跨站脚本漏洞 (CVE-2019-1685)
    • 危险等级:中
    • BID:107102
    • cve编号:CVE-2019-1685
  • McAfee GetSusp 拒绝服务漏洞 (CVE-2018-6687)
    • 危险等级:中
    • cve编号:CVE-2018-6687
  • Cisco HyperFlex Software 远程命令注入漏洞 (CVE-2018-15380)
    • 危险等级:中
    • BID:107095
    • cve编号:CVE-2018-15380
  • IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1950)
    • 危险等级:低
    • cve编号:CVE-2018-1950
  • IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1944)
    • 危险等级:中
    • cve编号:CVE-2018-1944
  • IBM BigFix Platform 信息泄露安全漏洞 (CVE-2019-4061)
    • 危险等级:中
    • cve编号:CVE-2019-4061
  • IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1949)
    • 危险等级:低
    • cve编号:CVE-2018-1949
  • IBM Security Identity Governance and Intelligence 信息泄露漏洞 (CVE-2018-1948)
    • 危险等级:低
    • cve编号:CVE-2018-1948
  • IBM Security Identity Governance and Intelligence 跨站脚本漏洞 (CVE-2018-1947)
    • 危险等级:低
    • cve编号:CVE-2018-1947
  • IBM Content Navigator 信息泄露漏洞 (CVE-2018-1979)
    • 危险等级:低
    • cve编号:CVE-2018-1979
  • PHP 内存泄露漏洞 (CVE-2019-9024)
    • 危险等级:中
    • cve编号:CVE-2019-9024
  • MAT File I/O Library 内存破坏漏洞 (CVE-2019-9038)
    • 危险等级:中
    • cve编号:CVE-2019-9038
  • GNU Binutils 拒绝服务安全漏洞 (CVE-2019-9072)
    • 危险等级:低
    • cve编号:CVE-2019-9072
  • 多款IBM产品任意文件下载漏洞 (CVE-2018-1775)
    • 危险等级:中
    • cve编号:CVE-2018-1775
  • GNU C Library 堆缓冲区溢出漏洞 (CVE-2019-9169)
    • 危险等级:中
    • cve编号:CVE-2019-9169
  • GNU C Library 拒绝服务漏洞 (CVE-2018-20796)
    • 危险等级:中
    • cve编号:CVE-2018-20796
  • D-Link DIR-825 任意命令执行漏洞 (CVE-2019-9122)
    • 危险等级:中
    • cve编号:CVE-2019-9122
  • Linux kernel 越界读写漏洞(CVE-2019-9162)
    • 危险等级:中
    • cve编号:CVE-2019-9162
  • D-Link DIR-825 空白密码安全漏洞 (CVE-2019-9123)
    • 危险等级:中
    • cve编号:CVE-2019-9123
  • D-Link DIR-825 信息泄露安全漏洞 (CVE-2019-9126)
    • 危险等级:中
    • cve编号:CVE-2019-9126
  • D-Link DIR-878缓冲区溢出漏洞 (CVE-2019-9125)
    • 危险等级:中
    • cve编号:CVE-2019-9125
  • Cisco多个产品本地命令注入安全漏洞 (CVE-2019-1674)
    • 危险等级:高
    • BID:107184
    • cve编号:CVE-2019-1674
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5666)
    • 危险等级:高
    • cve编号:CVE-2019-5666
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5667)
    • 危险等级:高
    • cve编号:CVE-2019-5667
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5670)
    • 危险等级:高
    • cve编号:CVE-2019-5670
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5668)
    • 危险等级:高
    • cve编号:CVE-2019-5668
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5671)
    • 危险等级:中
    • cve编号:CVE-2019-5671
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5669)
    • 危险等级:高
    • cve编号:CVE-2019-5669
  • Cisco RV110W/RV130W/RV215W Routers 远程命令执行漏洞(CVE-2019-1663)
    • 危险等级:高
    • BID:107185
    • cve编号:CVE-2019-1663
  • NVIDIA Windows GPU Display Driver 拒绝服务安全漏洞 (CVE-2019-5665)
    • 危险等级:高
    • cve编号:CVE-2019-5665
  • OpenSSL 信息泄露安全漏洞 (CVE-2019-1559)
    • 危险等级:中
    • BID:107174
    • cve编号:CVE-2019-1559
  • Joomla! J2Store SQL注入漏洞 (CVE-2019-9184)
    • 危险等级:中
    • cve编号:CVE-2019-9184
  • F5 BIG-IP远程拒绝服务漏洞 (CVE-2019-6592)
    • 危险等级:高
    • BID:107176
    • cve编号:CVE-2019-6592
  • Apache Airflow 任意代码执行安全漏洞 (CVE-2018-20244)
    • 危险等级:中
    • cve编号:CVE-2018-20244
  • SchoolCMS 任意代码执行安全漏洞 (CVE-2019-9181)
    • 危险等级:中
    • cve编号:CVE-2019-9181

(数据来源:绿盟威胁情报中心)

 

Spread the word. Share this post!

Meet The Author

Leave Comment