信息安全周报-2021年第41周

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2021年第41周

颁布功夫 2021-10-11

>本周安全态势综述

本周共收录安全缝隙49个，值得关注的是Apache HTTP Server HTTP/2解析空指针引用回绝服务缝隙；Zoho ManageEngine ADManager Plus CVE-2021-37931文件上传代码执行缝隙；Google Android框架CVE-2021-0652代码执行缝隙；Visual Tools DVR VX cgi-bin/slogin/login.py号令执行缝隙; Google chrome Safe Browsing内存谬误引用代码执行缝隙。

本周值得关注的网络安全事务是由于Firebase配置谬误14个利用可能泄露1.4亿用户信息；Facebook路由配置谬误导致全球领域内服务中断；英国逐日电讯报Elasticsearch配置谬误泄露10TB数据；Twitch因服务器配置谬误泄露125GB源代码等信息；Cyberint发现Vidar利用Mastodon的新一轮攻击活动。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Apache HTTP Server HTTP/2解析空指针引用回绝服务缝隙

Apache HTTP Server存在目录遍历缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文查看系统文件内容或者以利用法式高低文执行肆意代码。

https://httpd.apache.org/security/vulnerabilities_24.html

2. Zoho ManageEngine ADManager Plus CVE-2021-37931文件上传代码执行缝隙

Zoho ManageEngine ADManager Plus存在肆意文件上传缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可上传恶意文件，以利用法式高低文执行肆意代码。

https://www.manageengine.com/products/ad-manager/release-notes.html#7111

3. Google Android框架CVE-2021-0652代码执行缝隙

Google Android框架存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码，提升权限。

https://source.android.com/security/bulletin/2021-10-01

4. Visual Tools DVR VX cgi-bin/slogin/login.py号令执行缝隙

Visual Tools DVR VX16 cgi-bin/slogin/login.py Uaer-Agent HTTP处置存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。

https://www.exploit-db.com/exploits/50098

5. Google chrome Safe Browsing内存谬误引用代码执行缝隙

Google chrome Safe Browsing存在开释后使用缝隙，允许远程攻击者利用缝隙提交特殊的WEB页要求，诱使用户解析，能够利用法式高低文执行肆意代码或者使利用法式崩溃。

https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

>沉要安全事务综述

1、由于Firebase配置谬误14个利用可能泄露1.4亿用户信息

9月30日， CyberNews 钻研员 Martynas Vareikis 颁布汇报称，由于 Firebase 数据库配置谬误，导致数以千计的 iOS / Android 利用法式泄露了超过1.4亿条信息。Firebase 是 Google 提供的“后端即服务”产品，其中蕴含了大量发服务，旨在方便移动开发人员创建基于这些服务的移动或 Web 利用。

原文链接：

https://cybernews.com/security/research-popular-android-apps-with-142-5-million-collective-downloads-are-leaking-user-data/

2、Facebook路由配置谬误导致全球领域内服务中断

10月4日，Facebook旗下多个平台和服务，蕴含 Facebook、Instagram、Messenger和 WhatsApp等，相继出现严沉服务中断。用户无法登入法式，法式无法联机和更新，没法收发信息，就连以 Facebook账号登入的法式和服务亦受到株连，不能正常登入。Facebook其后发申明指，内部路由器出现问题，连锁反映导致服务全面中断，固然服务已回复，但内部仍在全力改善系统，以回复正常工作状态。

原文链接：

https://www.bleepingcomputer.com/news/technology/facebook-outage-caused-by-faulty-routing-configuration-changes/

3、英国逐日电讯报Elasticsearch配置谬误泄露10TB数据

10月6日，钻研员 Bob Diachenko 发现了一个属于英国报纸“电讯报”的未受�；さ� 10 TB 数据库。不安全的数据库于9 月 14 日被发现，其中蕴含内部日志和订阅者信息。数据存储在露出的 Elasticsearch 集群上，大部门数据都经过加密，但至少 1,200 名 Telegraph 订阅者和注册者的幼我具体信息以及大量内部服务器日志都已经过明确测试。

原文链接：

https://securityaffairs.co/wordpress/123020/data-breach/the-telegraph-data-leak.html

4、Twitch因服务器配置谬误泄露125GB源代码等信息

10月6日，黑客在4chan公开了蕴含125GB数据的torrent链接，称这是从约莫6000个内部Twitch Git存储库中窃取的，蕴含源代码和支付纪录等信息。此表，攻击者还使用了标签#DoBetterTwitch，证明这次攻击事务可能旨在针对Twitch 8月份没有回应和招架对主播的攻击活动。Twitch在10月7日确认其数据泄露是由于服务器配置谬误导致的，没有登录痛处和信誉卡号泄露。

原文链接：

https://www.bleepingcomputer.com/news/security/twitch-no-credentials-or-card-numbers-exposed-in-data-breach/

5、Cyberint发现Vidar利用Mastodon的新一轮攻击活动

Cyberint发现恶意软件Vidar在新一轮攻击活动中回归。Vidar自2018年10月以来起头活跃，旨在从指标系统中窃取电子邮件痛处、谈天帐户具体信息、cookie等数据。这次活动中，攻击者首先成立Mastodon账号，并在幼我资料描述部门增长恶意软件使用的C2的IP。其还使用了另一种分发步骤，直接在社交媒体平台上发送新闻，或者是利用破解游戏的torrent。

原文链接：

https://www.bleepingcomputer.com/news/security/vidar-stealer-abuses-mastodon-to-silently-get-c2-configuration/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研