首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2018年第49周

宣布时间 2018-12-10

本周清静态势综述

2018年12月03日09日共收录清静误差55个，值得关注的是Adobe Flash Player释放后使用代码执行误差；FreeBSD bhyve恣意代码执行误差；NUUO NVRMini2 upgrade_handle.php下令注入误差；HPE Intelligent Management Center PLAT dbman.exe缓冲区溢出误差；Rockwell Automation Allen-Bradley PowerMonitor 1000 会见控制过失误差。

本周值得关注的网络清静事务是Quora遭黑客入侵，约1亿用户数据被窃；M2M协议被曝保存误差，可用于攻击工业物联网系统；万豪旅馆因数据库泄露遭整体诉讼，被索赔125亿美元；APT组织Tropic Trooper新恶意运动，针对亚洲能源及食物行业；数据库不设密码，Urban公司凌驾30万用户信息泄露。

凭证以上综述，本周清静威胁为中。

主要清静误差列表

1. Adobe Flash Player释放后使用代码执行误差

Adobe Flash Player保存释放后使用误差，允许远程攻击者使用误差提交特殊的文件请求，可以应用程序上下文执行恣意代码。

https://helpx.adobe.com/security/products/flash-player/apsb18-42.html

2. FreeBSD bhyve恣意代码执行误差

FreeBSD对bhyve提供的装备�？橹腥鄙僮既返慕缦呒觳�，允许外地攻击者使用误差提交特殊的请求，bhyve历程崩�；蛞詒oot权限在主机上执行恣意代码。

https://www.freebsd.org/security/advisories/FreeBSD-SA-18:14.bhyve.asc

3. NUUO NVRMini2 upgrade_handle.php下令注入误差

NUUO NVRMini2 upgrade_handle.php保存输入验证误差，允许远程攻击者使用误差提交特殊的请求，以ROOT上下文执行恣意代码。

https://github.com/tenable/poc/tree/master/nuuo/nvrmini2/cve_2018_15716

4. HPE Intelligent Management Center PLAT dbman.exe缓冲区溢出误差

HPE Intelligent Management Center PLAT保存缓冲区溢出，允许远程攻击者使用误差提交特殊的请求，举行拒绝服务攻击或执行恣意代码。

https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03906en_us

5. Rockwell Automation Allen-Bradley PowerMonitor 1000 会见控制过失误差

Rockwell Automation Allen-Bradley PowerMonitor 1000 WEB页面保存会见控制误差，允许远程攻击者可以使用误差提交特殊的请求，添加具有治理员权限的新账户。

http://packetstormsecurity.com/files/150619/Rockwell-Automation-Allen-Bradley-PowerMonitor-1000-Authentication-Bypass.html

主要清静事务综述

1、Quora遭黑客入侵，约1亿用户数据被窃

颇受接待的问答网站Quora宣布遭黑客入侵，约1亿用户的数据被窃-险些是其客户群体的一半。泄露的信息包括用户的账户信息，例如姓名、电子邮件地点、哈希密码以及从Facebook、Twitter等社交媒体导入的数据；用户的果真内容，例如提问、回覆、点赞和谈论；用户的非果真内容，例如回覆约请、私人新闻等。Quora于周一晚间披露了此次事务，现在该事务还在进一步的视察之中。

原文链接：
https://thehackernews.com/2018/12/quora-hack.html

2、M2M协议被曝保存误差，可用于攻击工业物联网系统

趋势科技研究团队发明主流的两个M2M（机械对机械）协议保存清静误差，可用于攻击IoT和IIoT装备。凭证该《工业物联网数据主干中的懦弱性》报告，这两个协议划分是新闻行列遥测传输协议（MQTT）和约束应用协议（CoAP）。研究职员剖析了这两个协议的设计和实现上保存的误差，并发明了数十万台设置不当的服务器，这些服务器袒露了相关凭证、敏感信息以及工业流程相关的数据。这些误差可能导致DoS、恣意代码执行以及DDoS放大攻击等。

原文链接：
https://blog.trendmicro.com/trendlabs-security-intelligence/machine-to-machine-m2m-technology-design-issues-and-implementation-vulnerabilities/

3、万豪旅馆因数据库泄露遭整体诉讼，被索赔125亿美元

万豪国际旅馆集团(Marriott International)克日因客户数据库泄露而遭遇整体诉讼，索赔金额高达125亿美元。上周五万豪宣布旗下喜达屋旅馆(Starwood Hotel)的一个客户预订数据库被黑客入侵，约5亿客户的信息可能泄露。据悉，黑客入侵早在2014年就已经最先。随后，美国Geragos&Geragos状师事务所的状师本·梅塞拉斯(Ben Meiselas)和Underdog Law执法照料迈克尔·富勒(Michael Fuller)代表两名原告大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris)对万豪国际旅馆提起整体诉讼，索赔125亿美元。虽然这一金额看起来十分重大，但也仅相当于5亿潜在受害客户每人获得25美元的赔偿。

原文链接：
http://tech.sina.com.cn/i/2018-12-03/doc-ihprknvs8439051.shtml

4、APT组织Tropic Trooper新恶意运动，针对亚洲能源及食物行业

Windows Defender ATP团队发明一个针对亚洲能源、食物和饮料行业的新恶意攻击运动，基于对该运动的目的选择、攻击链以及工具集的剖析，研究团队以为该运动是由APT组织Tropic Trooper提倡的。攻击的初始向量是一个使用了Office公式编辑器误差CVE-2018-0802的恶意文档，攻击者随后使用bitsadmin.exe从远程服务器下载并执行随机命名的payload。研究职员以为这些payload的主要目的是窃取数据。

原文链接：
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/

5、数据库不设密码，Urban公司凌驾30万用户信息泄露

Urban是一家英国的推拿创业公司，其数据库因未设密码导致凌驾30万客户信息泄露。研究职员Oliver Hough通过Shodan发明了该数据库，现在该数据库已下线，但不知道该数据库袒露了多长时间。该数据库中包括凌驾30.9万用户纪录，包括姓名、电子邮件地点、电话号码等。别的，数据库中还存储了凌驾35.1万个服务预定纪录，以及凌驾2000个推拿师的相关信息。

原文链接：
https://techcrunch.com/2018/11/27/urban-massage-data-exposed-customers-creepy-clients/

声明：本资讯由尊龙凯时维他命清静小组翻译和整理

7*24小时服务热线

400-624-3900

官方微信

官方微博

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静团队

售后服务

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

信息清静周报-2018年第49周

关于尊龙凯时

解决计划

联系尊龙凯时

7*24小时服务热线