悬镜安全 | 第五期 全球一周安全情报(0820-0826)
纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。
1、JS程序易受ReDoS攻击
JavaScript网络应用程序和服务器很容易受到名为“正则表达式拒绝服务”的漏洞攻击。如果攻击者向基于JavaScript的web服务器或app发送大量复杂的文本,而服务器或app又未能处理各种边界条件,就可以导致DoS攻击:整个app或服务器受阻,数秒或数分钟,因为服务器要进行分析和模式匹配。
这种漏洞早在2012年就已被发现,不过那时JavaScript,尤其是Node.js尚未像今日这般流行。2017年的研究表明 ,Node.js库和应用程序的漏洞中有5%是ReDos漏洞。而在上周的USENIX安全会议上,来自德国技术大学的两名安全研究人员对该问题进行了深度分析,展示了流行Node.js模块中的25种以前未知的漏洞,并且展示了他们设计的一种不会引发ReDoS攻击的漏洞检测方法。
利用该方法,他们对2846个流行的基于Node.js的网站进行了扫描,结果显示,有近12%具有至少1个ReDos漏洞。
原文链接:https://www.bleepingcomputer.com/news/security/javascript-web-apps-and-servers-vulnerable-to-redos-attacks/
2、飞利浦医疗数据产品爆出漏洞
根据本周发布的ICS-CERT警报称,飞利浦IntelliSpace心血管(ISCV)系列医疗数据管理产品中的漏洞(CVE-2018-14787)将允许攻击者升级特权和执行任意代码。
具有本地访问ISCV / Xcelera服务器的攻击者可以使用该漏洞获取管理访问权限,打开包含经过身份验证的用户具有写入权限的可执行文件的文件夹,执行泄露恶意软件、后门程序、勒索软件或任何其它类型的错误代码,以吸取各种机密的患者信息,包括医疗图像和完整的诊断细节。
如果系统未正确分区,也可进入网络的其它部分。受影响的产品是ISCV 3.1、Xcelera 4.1或更早版本。飞利浦称,补丁计划于2018年10月与ISCV版本3.2一起发布。
原文链接:https://threatpost.com/philips-vulnerability-exposes-sensitive-cardiac-patient-information/136669/
3、Ryuk勒索软件袭击全球
安全公司checkpoint称,Ryuk勒索软件在过去两周袭击了全球多个组织。Ryuk技术能力相对较低,但目前全球至少有三家公司受到该活动的严重打击,受感染公司已被加密了的数百台PC,存储和数据中心。一些组织支付了大金额赎金以便检索他们的文件,攻击者目前已经获得了超过640,000美元的赎金。
研究人员分析发现,Ryuk与HERMES有很多相似之处,包括加密单个文件的功能,加密文件使用的文件标记,文件标记的检查,白名单相似的文件夹,同一路径中编写window.bat的批处理脚本,使用类似的脚本来删除影子卷和备份文件,文件丢弃到磁盘上在名称和目的上类似。
这说明攻击者与朝鲜有关,但也可能是获得HERMES源代码。Ryuk专门用于定制攻击,加密方案设计为小规模的操作,只有关键的资产和资源在每个目标网络中被感染,并且由攻击者手动执行。
赎金票据有一高一低的两个支付金额范围的版本,这说明攻击者有不同级别的攻击。Ryuk采用AES-RSA进行加密,目前Ryuk无法解密。
原文链接:https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
4、智能电源插头爆出新loT漏洞
McAfee ATR团队在物联网设备Wemo Insight智能插头中存在漏洞,Wemo Insight是Wi-Fi连接的电源插座。研究人员对Wemo Insight Smart Plug的研究导致在libUPnPHndlr.so库中发现了未报告的缓冲区溢出,该漏洞为CVE-2018-6692,允许攻击者执行远程代码以关闭或超载交换机。
该漏洞为潜在的攻击者创建了一个网关,可以危及整个家庭Wi-Fi网络。安全研究人员利用此发现的漏洞,控制了智能电视开启和关闭。并且已经向厂家Belkin报告了此漏洞。
原文链接:https://securingtomorrow.mcafee.com/mcafee-labs/insight-into-home-automation-reveals-vulnerability-in-simple-iot-product/
5、Ghostscript存在RCE漏洞
Google Project Zero的安全研究人员在Ghostscript中发现了一个关键的远程代码执行(RCE)漏洞,Ghostscript完全用C语言编写,是一个用于Adobe Systems的PostScript和PDF页面描述语言的开源解释器和在不同平台上运行的软件包,软件能够将PostScript语言文件转换为PDF,XPS,PCL,PXL等多种格式。
安全人员发现Ghostscript中存在可以绕过内置防止执行不安全或恶意的PostScript操作的dSAFER沙箱的漏洞。攻击者可以利用此漏洞向受害者发送恶意文件,一旦受害者用易受攻击的Ghostscript的应用程序打开,攻击者将完全接管目标系统,远程执行未经身份验证的任意命令。
US-CERT发布报告称,像ImageMagick图像处理库这样的应用程序会受到漏洞的影响,RedHat和Ubuntu在内的主要Linux发行版已确认它们也受到了影响。目前Ghostscript管理者Artifex Software尚未发布任何补丁来修复漏洞。
原文链接:https://thehackernews.com/2018/08/ghostscript-postscript-vulnerability.html
6、售卖个人信息牟利案件逐年上升
据中国之声《新闻纵横》报道,侵犯公民个人信息的案件数量逐年上升,形成了非法获取、加工、交易再用于实施犯罪的一条“黑灰产”链条。警方的统计数据显示,两年多来,各地查获的公民个人信息超过1400亿条,平均全国每个人有100多条信息泄露。 来自法院系统的统计数据也显示,侵犯公民个人信息的案件数量逐年上升。
侵犯公民个人信息罪在2015年11月1日开始实施的《刑法修正案(九)》中首次出现,2015年最后两个月,全国各级法院一审审结的侵犯公民个人信息刑事案件有7件,2016年全年326件,2017年1299件,是前一年的将近四倍,今年上半年已经一审审结887件,预计全年超过1600件。
原文链接:http://china.cnr.cn/yaowen/20180823/t20180823_524339396.shtml
悬镜,北京安普诺信息技术有限公司旗下基于DevSecOps【云+端】一站式安全加固解决方案的云主机安全品牌,由北京大学白帽黑客团队“Xmirror”主导创立,核心业务主要包括悬镜云卫士、云鉴漏洞扫描云平台等自主创新产品与政企安全服务,专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应主机安全综合解决方案。