开源路由器OPENWRT/LEDE RCE漏洞(CVE-2020-7982);libmicrodns库多个RCE和DoS漏洞

发布时间 2020-03-26

1.开源路由器发行版OPENWRT/LEDE RCE漏洞(CVE-2020-7982)



研究人员披露开源路由器发行版OPENWRT/LEDE中的关键RCE漏洞(CVE-2020-7982)的技术细节和PoC。该漏洞存在于OpenWrt的OPKG软件包管理器中,OPKG对下载的软件包执行完整性检查时,如果SHA-256校验和包含任何前导空格,OPKG会跳过完整性检查继续执行安装任务。该漏洞可能使远程MitM攻击者能够诱骗系统安装未经验证的恶意软件包或软件更新,从而拦截目标设备的通信和执行任意代码。OpenWrt版本18.06.0至18.06.6和19.07.0以及LEDE 17.01.0至17.01.7均受到影响。建议受影响的用户将其设备固件升级到最新OpenWrt版本18.06.7和19.07.1。


原文链接:

https://thehackernews.com/2020/03/openwrt-rce-vulnerability.html


2.Adobe带外Betway88更新,修复Creative Cloud中的任意文件删除漏洞



Adobe发布带外Betway88更新,修复Windows版Creative Cloud桌面应用程序中的一个严重漏洞。该漏洞(CVE-2020-3808)源自TOCTOU竞争条件,可允许攻击者删除目标系统上的任意文件。但Adobe并未提供有关攻击的更多详细信息,例如攻击者是否需要在本地还是可远程利用,或者是否需要身份验证。Adobe建议用户按照Betway88公告中的说明将其产品更新到最新版本。这是三月份Adobe发布的第二个带外更新。


原文链接:

https://threatpost.com/critical-adobe-flaw-out-of-band-security-update/154075/


3.思科Talos披露libmicrodns库中的多个RCE和DoS漏洞



思科Talos的Betway88研究人员披露Videolabs的libmicrodns库中的多个DoS和代码执行漏洞。Videolabs由VideoLAN成员创立,是VLC移动应用程序的当前编辑者,也是VLC媒体播放器的重要贡献者。libmicrodns是跨平台的mDNS解析器库,在VLC媒体播放器中用于mDNS服务发现。最严重的一个漏洞是远程代码执行漏洞(CVE-2020-6072),其CVSS分数为9.8。其余漏洞的CVSS评分均为7.5,但它们影响了库中的不同组件,包括资源记录解析功能中的DoS漏洞(CVE-2020-6071)、TXT记录解析功能中的DoS漏洞(CVE-2020-6073)、消息解析功能中的DoS漏洞(CVE-2020-6077)等。这些漏洞影响了libmicrodns库版本0.1.0,供应商于3月20日发布了修复版本0.1.1。


原文链接:

https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html


4.FireEye发布APT41攻击活动报告,利用多种漏洞入侵全球企业



在1月20日至3月11日之间,FireEye观察到APT41试图利用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central中的漏洞攻击超过75个客户。其目标行业包括银行/金融、建筑、国防工业基地、政府、医疗、高科技、高等教育、法律、制造业、媒体、非营利、石油和天然气、石化、制药、房地产、电信、运输、旅游和公用事业。目标国家包括澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国和美国。目前尚不清楚APT41是扫描互联网并试图发起大规模攻击活动还是仅针对特定组织的子集,但看起来更像是针对性攻击。


原文链接:

https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html


5.TrickBot团伙利用恶意APP TrickMo绕过银行双因素认证



IBM X-Force研究人员发现TrickBot团伙正在使用恶意APP TrickMo绕过银行的双因素身份验证(2FA)保护。在受害者将TrickMo安装到他们的Android设备上之后,该APP可以拦截各种交易验证码(TAN),包括一次性验证码(OTP)、移动TAN(mTAN)和pushTAN验证码,并转发给TrickBot攻击者,后者随后可以利用它们进行欺诈性交易。研究人员解释,TrickMo旨在突破最新的OTP方法,尤其是打破德国经常使用的TAN验证码。除此之外,TrickMo的主要功能还包括窃取个人设备信息、拦截SMS消息、锁定手机、窃取设备中的图片和自毁/删除机制。


原文链接:

https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/


6.美国特百惠官网遭黑客入侵并感染Magecart脚本



黑客攻击了美国特百惠公司(Tupperware)的官网,并植入了用于窃取客户信用卡信息的恶意脚本(被称为skimmer或Magecart)。根据Malwarebytes的一份报告,该恶意代码已经在Tupperware主页上运行了至少五天。目前Tupperware已经从其服务器上删除了恶意脚本,但尚未发布正式的回应或声明。Malwarebytes表示该恶意代码在每次用户付款时创建一个漂浮的iframe,并显示一个模仿VISA CyberSource付款形式的表单,该表单会收集用户输入的数据,例如姓名、账单地址、电话号码、信用卡号码、到期日期和CVV码,然后将其发送到远程服务器。Tupperware的本地化页面也感染了该脚本,但很容易识别出来,因为本地页面显示的都是本地语言,而恶意表单是英语。


原文链接:

https://www.zdnet.com/article/tupperware-website-hacked-and-infected-with-payment-card-skimmer/