信息安全周报-2019年第39周

发布时间 2019-10-08

> 本周安全态势综述



2019年9月30日至10月06日收录安全漏洞42个,值得关注的是Exim ‘string_vformat’函数缓冲区溢出漏洞; Linux kernel cfg80211_mgd_wext_giwessid缓冲区溢出漏洞;Liferay Portal JSON负载反序列化代码实行漏洞;Cisco Security Manager Java反序列化任意代码实行漏洞;WhatsApp DDGifSlurp内存错误引用漏洞。


本周值得关注的网络安全事件是黑客窃取超过2.18亿Words With Friends玩家数据;丹麦企业Demant遭到勒索App攻击损失9500万美金;eGobbler新恶意广告活动劫持超过10亿用户会话;俄罗斯超过2000万公民的税收记录及PII在网上泄露;研究人员披露Android系统中的新LPE 0day。


根据以上综述,本周安全威胁为中。

> 重要安全漏洞列表


1. Exim ‘string_vformat’函数缓冲区溢出漏洞


Exim ‘string_vformat’函数存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
https://lists.exim.org/lurker/message/20190927.032457.c1044d4c.en.html

2. Linux kernel cfg80211_mgd_wext_giwessid缓冲区溢出漏洞


Linux kernel net/wireless/wext-sme.c cfg80211_mgd_wext_giwessid处理超长SSID IE存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使系统崩溃或实行任意代码。
https://marc.info/?l=linux-wireless&m=157018270915487&w=2

3. Liferay Portal JSON负载反序列化代码实行漏洞


Liferay Portal处理JSON负载存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可实行任意代码。
https://sec.vnpt.vn/2019/09/liferay-deserialization-json-deserialization-part-4/

4. Cisco Security Manager Java反序列化任意代码实行漏洞


Cisco Security Manager Java反序列化函数存在安全漏洞,允许通过验证的远程攻击者可以利用漏洞提交特殊的请求,可实行任意命令。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-sm-java-deserial

5. WhatsApp DDGifSlurp内存错误引用漏洞


WhatsApp decoding.c中的DDGifSlurp存在两次释放漏洞,允许远程攻击者利用漏洞提交特殊的请求,可实行任意代码。
https://www.脸书.com/security/advisories/cve-2019-11932


> 重要安全事件综述



1、黑客窃取超过2.18亿Words With Friends玩家数据


黑客Gnosticplayers从移动社交游戏企业Zynga Inc开发的Words With Friends中窃取了超过2.18亿条玩家记录。Gnosticplayers曾在2月至4月期间出售了从45家企业窃取的近10亿条用户信息,这一次他瞄准了美国社交游戏开发商Zynga。根据Gnosticplayers分享的记录,该数据集包含用户的姓名、电子邮件地址、登录ID、加盐哈希密码、密码重置令牌、电话号码、脸书 ID以及Zynga帐户ID。受影响的用户为2019年9月2日之前安装并注册该游戏的Android和iOS玩家。Zynga确认了这一事件,但表示没有财务信息泄露。

原文链接:
https://securityaffairs.co/wordpress/91850/data-breach/zynga-game-data-breach.html

2、丹麦企业Demant遭到勒索App攻击损失9500万美金


作为全球最大的助听器制造商之一,Demant预计本月初感染勒索App之后,将遭受高达9500万美金的损失。当时在其网站上的简短声明中,该企业表示,在最初描述为“严重事件”之后,它将关闭其整个内部IT基础网络。其中包括该企业的ERP系统,在波兰的生产和销售设施,在墨西哥的生产和服务网站,在法国的耳蜗植入物生产基地,在丹麦的放大器生产基地以及整个亚太地区网络。

原文链接:
https://www.zdnet.com/article/ransomware-incident-to-cost-danish-company-a-whopping-95-million/

3、eGobbler新恶意广告活动劫持超过10亿用户会话



研究人员发现了由威胁组织eGobbler发起的新一波攻击活动,其中受害者被重定向到带有恶意的网站。安全专家认为,eGobbler是今年复活节多发性恶意攻击的幕后黑手。这次,使用Webkit浏览器引擎漏洞劫持了超过10亿个广告展示。最新的活动还表明,针对以前曾以移动设备为攻击目标的威胁参与者的步伐有所改变:在此期间,eGobbler对台式机的偏爱支撑了他们最新的WebKit利用。


原文链接:

https://threatpost.com/malvertising-attack-hijacks-1b-sessions-with-webkit-exploit/148795/

4、俄罗斯超过2000万公民的税收记录及PII在网上泄露


研究人员说,超过2000万份属于俄罗斯公民的税收记录没有受到保护,并通过一个可供公众访问的在线数据库进行公开。该服务器包含了从2009年到2016年的高度敏感的信息。大部分记录似乎与来自莫斯科及城市周边地区的公民有关。数据库包括姓名,地址,居住状态,护照号码,移动电话,税号,雇主名称和固定电话以及税值。 


原文链接:

https://www.zdnet.com/article/plaintext-tax-records-of-20-million-russians-leaked-online/

5、研究人员披露Android系统中的新LPE 0day


研究人员Maddie Stone发现一个未修复的Android 0day已经被利用,该漏洞可以使本地特权攻击者或应用程序升级其特权,以获得对易受攻击的设备的根访问权限,并有可能完全控制该设备。该漏洞在去年4月之前发布的Android内核版本中,该补丁已包含在2017年12月发布的4.14 LTS Linux内核中,但仅包含在AOSP Android内核版本3.18、4.4和4.9中。谷歌将在未来几天的10月《 Android安全公告》中发布此漏洞的补丁程序,并通知OEM。

原文链接:
https://thehackernews.com/2019/10/android-kernel-vulnerability.html