維他命安全周報2018年第22周

本周安全態勢綜述

2018年05月28日至06月01日共收錄安全漏洞53個，值得關注的是多款TP-LINK產品遠程代碼執行漏洞；Git "git clone –recurse-submodules"遠程代碼執行漏洞；Huawei 1288H V5和2288H V5 CVE-2018-7904許可權提升漏洞；strongSwan CVE-2018-5388緩衝區溢出漏洞；BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞。

本周值得關注的網路安全事件是研究團隊發現利用Android原生web視圖的新釣魚活動；研究團隊發現利用RIG EK分發木馬Grobios的攻擊活動；加拿大的兩家銀行遭黑客攻擊，部分客戶的數據泄露；研究人員稱可通過聲波攻擊破壞HDD和導致系統崩潰；本田汽車印度分公司的AWS S3配置錯誤，導致5萬多名用戶的信息泄露。

根據以上綜述，本周安全威脅為中。

重要安全漏洞列表

1.多款TP-LINK產品遠程代碼執行漏洞

多款TP-LINK產品中的/usr/lib/lua/luci/torchlight/validator.lua文件存在輸入驗證漏洞，允許遠程攻擊者利用漏洞提交特殊的JSON請求，以應用程序上下文執行任意代碼。

https://github.com/yough3rt/IOT-pwn-for-fun/blob/master/TP-LINK-websys-Authenticated-RCE

2.Git "git clone –recurse-submodules"遠程代碼執行漏洞

Git 在用git clone時沒有對submodule的文件夾命名做足夠的驗證，允許遠程攻擊者利用漏洞提交惡意的.gitmodules文件，以應用程序上下文執行任意代碼。

https://git-scm.com

3.Huawei 1288H V5和2288H V5 CVE-2018-7904許可權提升漏洞

Huawei 1288H V5和2288H V5存在JSON注入漏洞，允許本地攻擊者利用漏洞提交特殊的請求，修改管理員密碼，獲取系統的管理許可權。

http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180523-01-json-en

4.strongSwan CVE-2018-5388緩衝區溢出漏洞

strongSwan存在緩衝區溢出漏洞，允許遠程攻擊者利用漏洞提交特殊的請求，可耗盡資源，進行拒絕服務攻擊。

http://www.strongswan.org/blog

5.BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞

BeaconMedaes TotalAlert Scroll Medical Air Systems WEB伺服器存在安全漏洞，允許遠程攻擊者可以利用漏洞提交特殊的請求，可獲取敏感信息。

https://ics-cert.us-cert.gov/advisories/ICSMA-18-144-01

重要安全事件綜述

1、研究團隊發現利用Android原生web視圖的新釣魚活動

RiskIQ研究團隊發現針對MyEtherWallet的一個新釣魚活動。攻擊者通過建立一個偽裝成MyEtherWallet支持團隊的Telegram聊天群組來分發惡意MyEtherWallet客戶端。該惡意程序通過GoNative.io將Web應用作為本地應用發布，用於竊取用戶的憑據。研究人員發布了相關IoC。

原文鏈接：

https://www.riskiq.com/blog/labs/myetherwallet-android/

2、研究團隊發現利用RIG EK分發木馬Grobios的攻擊活動

FireEye研究團隊發現利用RIG Exploit Kit（EK）傳播木馬Grobios的惡意攻擊活動，該活動從2018年3月10日開始。Grobios使用了多種逃避檢測技術，並通過多個備份和創建自動運行註冊表項及計劃任務來實現持久性。

原文鏈接：

https://securityaffairs.co/wordpress/72954/malware/rig-exploit-kit-grobios-campaign.html

3、加拿大的兩家銀行遭黑客攻擊，部分客戶的數據泄露

加拿大的兩家銀行Simplii Financial和蒙特利爾銀行在周一發表聲明稱發生網路安全事件，Simplii Financial表示，它在上周末發現攻擊者訪問了約4萬名Simplii客戶的賬戶信息。但是Simplii Financial承諾100％返還所受影響的賬戶的損失。在Simplii發表聲明一小時後，蒙特利爾銀行也發布了類似的聲明。該銀行表示，黑客自己在上周日聯繫了他們，聲稱擁有客戶數據。蒙特利爾銀行沒有透露有多少客戶的信息泄露，但表示他們相信已經關閉了黑客進入其系統的入口點。

原文鏈接：

https://www.bleepingcomputer.com/news/security/two-canadian-banks-announce-hacks-over-the-weekend/

4、研究人員稱可通過聲波攻擊破壞HDD和導致系統崩潰

來自密歇根大學和浙江大學的一個研究小組稱可通過聲波/超聲波攻擊來破壞硬碟（HDD）的讀取、寫入和存儲功能以及導致操作系統崩潰。研究人員表示這種攻擊可以通過便宜的台式電腦或筆記本電腦的揚聲器進行，一種可能的攻擊場景是，用戶訪問了惡意網站並播放了具有破壞性的惡意聲波。

原文鏈接：

https://threatpost.com/sonic-tone-attacks-damage-hard-disk-drives-crashes-os/132343/

5、本田汽車印度分公司的AWS S3配置錯誤，導致5萬多名用戶的信息泄露

根據Kromtech Security的報告，本田汽車印度分公司的2個Amazon S3可公開訪問，導致超過5萬名用戶的信息泄露。這2個AWS bucket包含本田移動應用Honda Connect的用戶的詳細信息，例如姓名、性別、用戶及其可信聯繫人的電話號碼和電子郵件地址、賬戶密碼、汽車VIN碼和汽車Connect ID等。

原文鏈接：

https://www.bleepingcomputer.com/news/security/honda-india-left-details-of-50-000-customers-exposed-on-an-aws-s3-server/

聲明：本資訊由啟明星辰維他命安全小組編譯和整理

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！