首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第34周

宣布时间 2019-09-02

>本周清静态势综述

2019年8月26日至9月01日共收录清静误差49个，，，，，，值得关注的是Cisco REST API Container验证绕过误差；；；；；；BloodHound components/Modals/HelpModal.jsx恣意下令执行误差；；；；；；Datalogic AV7000 Linear Barcode Scanner身份验证绕过误差；；；；；；Delta Controls enteliBUS Controllers缓冲区溢出误差；；；；；；Linux kernel net/wireless/marvell/mwifiex缓冲区溢出误差。。。。。。。

本周值得关注的网络清静事务是托管效劳商Hostinger近1400万用户信息被拖库；；；；；；2019年上半年报告的误差中凌驾34%未修复；；；；；；Android恶意应用CamScanner下载量超1亿；；；；；；2024年全球数据泄露本钱预计将达5万亿美元；；；；；；美国数百家牙科诊所遭勒索软件Sodinokibi攻击。。。。。。。

凭证以上综述，，，，，，本周清静威胁为中。。。。。。。

>主要清静误差列表

1. Cisco REST API Container验证绕过误差

Cisco REST API Container REST API验证实现保存清静误差，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，可获取用户的令牌ID，，，，，，绕过清静限制，，，，，，未授权会见。。。。。。。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

2. BloodHound components/Modals/HelpModal.jsx恣意下令执行误差

BloodHound components/Modals/HelpModal.jsx保存清静误差，，，，，，允许远程攻击者可以使用误差通过建设带JS代码名称的GPO，，，，，，触发search-autocomplete功效，，，，，，可执行恣意OS下令。。。。。。。
https://github.com/BloodHoundAD/BloodHound

3. Datalogic AV7000 Linear Barcode Scanner身份验证绕过误差

Datalogic AV7000 Linear Barcode Scanner实现保存清静误差，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，绕过身份验证执行恣意代码。。。。。。。
https://www.us-cert.gov/ics/advisories/icsa-19-239-02

4. Delta Controls enteliBUS Controllers缓冲区溢出误差

Delta Controls enteliBUS Controllers实现保存清静误差，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，触发缓冲区溢出执行恣意代码。。。。。。。
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9569

5. Linux kernel net/wireless/marvell/mwifiex缓冲区溢出误差

Linux kernel net/wireless/marvell/mwifiex保存缓冲区溢出误差，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，可使效劳程序瓦解�；；；；；蛑葱许б獯搿�。。。。。。
https://vigilance.fr/vulnerability/Linux-kernel-buffer-overflow-via-net-wireless-marvell-mwifiex-30180

>主要清静事务综述

1、托管效劳商Hostinger近1400万用户信息被拖库

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

托管效劳商Hostinger宣布通告称近1400万用户信息被拖库。。。。。。。该事务于8月23日星期五被发明，，，，，，该公司体现攻击者获取了内部效劳器的会见权限，，，，，，然后找到了内部API的授权令牌，，，，，，挪用API窃取了用户信息。。。。。。。泄露的用户信息包括用户名、IP地点、姓名、电话号码、电子邮件地点和家庭地点等，，，，，，还包括SHA1算法加密的哈希密码。。。。。。。该公司体现没有财务信息受到损害，，，，，，但未透露受影响的详细人数。。。。。。。该公司还体现决议强制重置所有受影响帐户的密码。。。。。。。

原文链接：
https://www.zdnet.com/article/hostinger-resets-customer-passwords-after-security-incident/

2、2019年上半年报告的误差中凌驾34%未修复

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

凭证Risk Based Security宣布的《2019年年中误差回首报告》，，，，，，2019年上半年报告的所有误差中凌驾34％（3771个）的误差未修复。。。。。。。别的，，，，，，在报告的总共11092个误差中，，，，，，14.7%（1630个）的误差CVSS V2得分凌驾9.0，，，，，，54.5％（6045个）的误差与Web有关，，，，，，约53%（5878个）的误差可以远程使用，，，，，，66%的误差与SQL注入攻击有关，，，，，，约2.8%的误差与SCADA有关。。。。。。。

原文链接：
https://pages.riskbasedsecurity.com/2019-midyear-vulnerability-quickview-report

3、Android恶意应用CamScanner下载量超1亿

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

卡巴斯基研究职员发明CamScanner的免费版保存一个隐藏的Trojan Dropper�？？？�，，，，，，可允许远程攻击者在用户不知情的情形下下载和装置恶意程序。。。。。。。CamScanner是一款受接待的手机PDF建设APP，，，，，，它在Google Play市肆的下载量凌驾1亿。。。。。。。恶意�？？？橄质瞪喜⒉槐４嬗贑amScanner自己的代码中，，，，，，而是在第三方广告库中，，，，，，因此可以推断这是软件开发者和不品德的广告商相助的效果。。。。。。。该�？？？榭梢酝ü嘀址椒ㄊ褂檬苎镜淖氨�，，，，，，从显示侵入性广告到付费订阅窃取话费等。。。。。。。应该注重的是，，，，，，CamScanner的付费版本不包括第三方广告库。。。。。。。Google已经从官方Play市肆中删除了该APP。。。。。。。

原文链接：
https://thehackernews.com/2019/08/android-camscanner-malware.html

4、2024年全球数据泄露本钱预计将达5万亿美元

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

凭证瞻博网络的最新展望，，，，，，随着羁系�？？？畹氖笛橐约捌笠翟椒⒁览涤谑窒低�，，，，，，到2024年全球数据泄露的本钱预计将增添到5万亿美元以上。。。。。。。这一数据来自于该公司宣布的最新报告《网络犯法和清静的未来：2019-2024威胁剖析、影响评估缓和解战略报告》。。。。。。。该公司声称，，，，，，在报告时代内预计数据泄露本钱将从2019年的3万亿美元每年增添11%。。。。。。。报告中还称虽然大规模的数据泄露可能成为头条新闻，，，，，，但它们并纷歧定会直接影响本钱，，，，，，由于�？？？詈陀邓鹗в胧菪孤兜墓婺２⒉幌该芟喙亍�。。。。。。

原文链接：
https://www.infosecurity-magazine.com/news/breach-costs-trillion/

5、美国数百家牙科诊所遭勒索软件Sodinokibi攻击

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

8月26日美国数百家牙科诊所遭勒索软件Sodinokibi攻击，，，，，，患者信息被加密。。。。。。。这是攻击者通过入侵软件供应商并使用其产品在客户系统上植入勒索软件的另一个案例。。。。。。。在本起事务中，，，，，，软件供应商是The Digital Dental Record和PerCSoft，，，，，，他们相助开发了医疗纪录生涯和备份软件DDS Safe。。。。。。。上周末黑客团伙入侵了该软件背后的基础设施，，，，，，并使用它在数百个牙医诊所的盘算机上安排了勒索软件Sodinokibi。。。。。。。这两家公司选择支付赎金获取解密器，，，，，，但现在恢复进度缓慢，，，，，，一些牙科诊所声称解密器要么不起作用，，，，，，要么没有恢复所有数据。。。。。。。

原文链接：
https://www.zdnet.com/article/ransomware-hits-hundreds-of-dentist-offices-in-the-us/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

信息清静周报-2019年第34周

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线