首页 > 安全钻研 > 安全传递 > 安全简讯

维他命2019大盘点之安全事务/缝隙篇

颁布功夫 2020-01-01

导读

2019年，数据泄露、DDoS攻击和安全缝隙事务频发：

大规模的数据泄露事务成为当前一个巨大的难题，加强监管和立法火烧眉毛；随着云安全的急剧发展，同时伴随互联网宽带提速、物联网、IPV6的发展使DDoS攻击峰值流量持续攀升；缝隙作为攻击的最常用伎俩，高危缝隙需沉点关注。本篇将回溯2019年的一些沉大数据泄露、DDOS攻击事务及安全缝隙。

数据泄露

数据治理公司Rubrik数据泄露

1月29日，IT安全和云数据治理公司Rubrik遭逢大规模数据泄露，遭到泄露的数据库托管在 Amazon Elasticsearch 服务器上，拥罕见十亿字节的数据，泄露信息蕴含每个企业客户的客户名称、联系信息和工作信息等敏感信息。Rubrik没有泄漏是否会通知其客户或国度监管机构，但是由于这次数据泄露事务蕴含了欧洲企业，所以可能会晤对GDPR有关的�？�。凭据功夫戳，这些数据可追忆至2018年10月。经过调查，Rubrik称这一事务是由报答谬误导致的。

Verifications.io泄露8.09亿用户数据

2月25日，安全钻研人员发现了一个属于Verifications.io的可公开接见的MongoDB数据库，纪录蕴含了一些尺度信息，如姓名、电子邮件地址、电话号码和居住地址。但其中也蕴含性别、诞生日期、幼我抵押贷款金额、利率、Facebook、LinkedIn和Instagram账户与电子邮件地址有关的事项，以及人们的信誉评分等级（好比均匀、高于均匀，等等）。与此同时，该数据库中的其他纪录似乎与企业销售行为有关，蕴含公司名称、年收入、传真号码、公司网站，以及分类公司时所用的“SIC” 和“NAIC”之类的行业标识符。Verifications.io网站已将该内容全数下线，至今尚未复原。

Facebook 5.4亿用户纪录泄露

4月03日，钻研团队发现两个第三方利用的亚马逊S3存储库可公开接见，其中一个属于墨西哥媒体公司Cultura Colectiva，该数据库名为cc-datalake，大幼为146GB，蕴含约5.4亿用户纪录，纪录蕴含邮箱地址与登录信息，而登录信息这部门甚至直接席卷了密码、账号、鉴别码、用户评论和互动，。另一个属于第三方利用At the Pool，只蕴含2.2万用户纪录。Cultura Colectiva与At the Pool数据库之间的共通点，是它们都存放了与Facebook用户有关的数据，从他们的兴致、关系到互动等；受到表界严格检视的Facebook在收缩第三要领式所能接见的用户数据。

JustDial 泄露1.56亿印杜酌户信息

4月17日，钻研人员发现印度本地搜索引擎公司JustDial的一个API缝隙，这导致黑客能够登录该APP1.56亿用户的账户。泄露的数据蕴含JustDial用户的姓名、电子邮件、手机号码、地址、性别、诞生日期、照片和职业信息。该API缝隙至少从2015年起头就存在了，但目前尚不明显是否有人滥用它来网络JustDial用户的幼我信息。据称，黑客除了能够通过该缝隙接见用户姓名、电话号码和电子邮件地址等信息以表，还能查看账户支付信息。

Evite泄露1.01亿账户信息

5月14日，Evite颁布数据泄露通知，暗示其服务器从2月22日起头遭未授权接见，约1000万用户信息泄露。但凭据Have I Been Pwned网站收录的数据数据，这一数字要大得多，共有1.01亿用户信息泄露。这些数据最早可追忆至2013年，泄露的信息蕴含姓名、电话号码、现实地址、诞生日期、性别、明文密码和电子邮件地址。最初被泄露的数据库在Dream Market上销售，但该网站已被警方关关，因而目前尚不明显这个更大的数据库是否也在销售。

FAFC泄露8.85亿条抵押贷款纪录

5月24日，据纽约时报报路，美国金融公司First American Financial Corporation官网上的一个缝隙泄露了16年来与抵押贷款有关的8.85亿笔纪录。纪录蕴含银行帐号和对帐单，抵押和税务纪录，社会保险号，电汇收条和驾驶牌照图像。该公司暗示在评估此事务对客户信息安全性的影响，在内部审核实现之前，将不会颁发任何评论。目前，美国证券买卖委员会和纽约州都在进行调查。美国证券买卖委员会回绝对此事颁发评论.

Orvibo泄露超过20亿条用户纪录

6月16日，钻研幼组发现了一个与Orvibo智能家居产品有关的可肆意接见的数据库。该数据库蕴含20多亿条日志，纪录了用户名、电子邮件地址、密码和精确定位信息，其中密码为未加盐的MD5哈希体式。并且数据量还在每天持续增长中。除此之表，数据库中还蕴含家庭ID、家庭名称、关联智能设备信息和打算工作等。在泄露的 20 亿条日志中已经找到了来自日本、泰国、美国、英国、墨西哥、法国、澳大利亚、巴西等多个国度和地域的用户。

Capital One泄露1.06亿用户信息

7月19日，美国金融公司Capital One确认其系统于3月22日至23日期间遭未授权接见，导致1.06亿用户的信息泄露，蕴含买卖数据、信誉评分、支付汗青、余额以及关联的银行账户和社会安全号码。受影响的用户蕴含1亿美国人和600万加拿大人。凭据有关证据，FBI已经扣留了嫌疑人Paige Thompson。Capital One暗示由于客户通知、免费的信誉监控服务、安全改进成本以及司法用度，这一事务将产生约1亿至1.5亿美元的成本。Capital One也宣称他们占有网络安全保险。

12亿社交数据泄露，数据超4TB

10月16日，钻研人员发现了一个可公开接见的Elasticsearch服务器，无需密码或任何大局的身份验证即可接见或下载所罕见据。该数据库蕴含40亿个用户帐户超4TB的数据。其中所罕见据集中的存在唯一身份ID的人员总数达到了12亿，这是有史以来单一起源组织最大的数据泄露事务之一。泄漏的数据蕴含姓名，电子邮件地址，电话号码，LinkedIN和Facebook幼我资料信息。导致此数据泄漏异乎寻常的原因在于，它蕴含似乎来自两个分歧的数据公司的数据集People Data Labs和OxyData.Io。

黑客公开开曼银行2.21TB数据

11月15日，黑客从开曼银行窃取了2.21TB的数据并颁布在网上，据称这些数据是由黑客Phineas Fisher窃取的。数据蕴含超过3800家公司、信任和幼我账户的具体财政信息，涉及的1400多个客户帐户地位，蕴含马恩岛780个，塞浦路斯272个，英国153个，开曼群岛107个，英属维尔京群岛51个，塞舌尔12个，美国11个，伯利兹7个，爱尔兰7个，以及涉及离岸银行业务的其他司法管辖区，蕴含直布罗陀，泽西岛，圣基茨和尼维斯，巴巴多斯，根西岛，马耳他和毛里求斯。针对这次严沉数据泄露事务，随后开曼银行公开颁布一份申明，证实其遭到入侵。

TrueDialog泄露10亿笔纪录

11月26日，安全钻研团队发现美国短信运营商TrueDialog的Elasticsearch数据库未授权接见缝隙，导致数据库泄露604GB的数据，其中蕴含10亿个高度敏感的数据信息，这些数据和TrueDialog业务模型的很多方面都有关联，这可能会引发潜在的垂钓攻击。其中罕见百万个账号是明文密码和base64编码的密码。凭据公开信息，该公司目前与990多家手机运营商合作，占有超过50亿用户。

Elasticsearch27亿数据泄露

12月10日，钻研人员在云存储桶中发现了27亿个电子邮件地址、10亿个电子邮件账户密码和一个近80万份诞生证明副本的利用法式。大无数邮件域名都来自中国的邮件运营商，好比腾讯、新浪、搜狐和网易。雅虎gmail和一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与2017年数据泄露事务有关，其时有黑客直接将它们放在暗网上售卖。该ElasticSearch服务器属于美国的一个托管服务中心，后者在Diachenko颁布数据库存储安全汇报后于12月9日关关。但即便如此，它已经盛开了至少一周，并且允许任何人在无密码的情况下进行接见。

DDoS攻击

菲律宾NUJP遭到DDoS攻击

2月11日，菲律宾全国新闻工作者同盟网站遭到DDoS攻击，导致网站两次下线，该站点的总流量为615 GB，峰值为468GB。其分支机构Bulatlat，Kodao Productions，AlterMidya和Pinoy Weekly也是该攻击活动的指标。

奥尔巴尼大学遭到DDoS攻击

2月19日起，奥尔巴尼大学的UA系统遭到17次DDoS攻击，这些攻击影响了多个UA IT系统（尤其是Blackboard）的可用性和职能。UA网络中的推算机不受DDoS攻击的影响。但是使用自己的设备的学生和老师无法接见Blackboard。

厄瓜多尔遭到4000万次黑客攻击

4月11日，自维基解密首创人朱利安·阿桑奇被捕后，厄瓜多尔称遭逢了来自多国大规模的网络攻击，高达4000万次，这些攻击重要来自美国、巴西、荷兰、德国、罗马尼亚、法国、奥地利、英国和厄瓜多尔。受网络攻击最严沉的是表交部、央杏注总统办公室、税务局以及一些部委和大学。厄瓜多尔暗示，这些机构的资料并没有被窃取或删除。

Ubisoft遭到DDoS攻击

6月18日，Ubisoft称已解决今天因DDoS攻击引发的问题，所有服务已复原。大量的流量导致Web服务器不不变且无法使用。固然目前尚不明显是谁对这次攻击掌管，去年Ubisoft也遭到DDoS攻击，该公司花了约莫10个幼时才复原。

Mirai DDoS攻击流媒体服务长达13天

7月26日，提议这次攻击的僵尸网络Mirai是2016年初次发现的IoT恶意软件，Mirai的源代码于2016年10月被公开，尔后产生了很多变体，蕴含Echobot，Wicked，Satori，Okiru，Masuta和其它。该僵尸网使用了402,000个分歧的IP，其中大无数显然位于巴西，它利用的物联网（IoT）设备盛开了端口2000和7547，这些端口从来与被Mirai恶意软件习染的设备有关联。为了覆盖他们的攻击，攻击者使用了合法的User-Agent，该代理类似于服务自己的利用法式。

维基百科遭DDoS攻击，数幼时后复原

9月8日凌晨2点左右，维基百科遭逢恶意网络攻击导致多个国度的分站宕机下线，重要受到影响的是欧洲和中东用户。维基百科基金会证实了这次攻击并通知用户其专家已经在致力复原正常运营。维基百科没有将攻击归因于特定的攻击者，并暗示不能排除它可能是测试可供出租的DDoS僵尸网络攻击力的示范性攻击。凭据来自分歧国度的用户的说法，数幼时后已根基复原了正常服务，但维基百科尚未正式确认齐全解除该问题，事务似乎仍在调查中。

AWS DNS遭逢DDoS攻击，瘫痪15个幼时

10月23日，亚马逊AWS DNS服务器遭到DDoS攻击，即攻击者试图通过垃圾网络流量梗塞系统，造成服务无法接见的后果。亚马逊的 DNS 系统遭大量数据包阻塞，其中一些合法的域名要求被开释以缓解问题。也就是说网站和利用尝试联系后端亚马逊托管的系统如 S3存储桶可能会失败，导致用户看到犯错信息或空缺页面，这次DDoS攻击事务持续了15个幼时。

南非互联网服务商遭大规模DDoS攻击

11月23日，南非Afrihost和其它的Internet服务提供商遭到大规模DDoS攻击。RSAWEB是第一个遭逢攻击的提供商。Cool Ideas在11月23日遭逢该攻击，该提供商暗示，这次攻击规模超过300Gbps，攻击流量数据来自伦敦的Cogent Communications和Hurricane Electric，并且有约莫40Gbps是合法的。在23日晚上Afrihost、Axxess和Webafrica也均遭到DDoS攻击。Afrihost周日忠告客户称其网络遇到间歇性的衔接问题。近期南非银行也成为DDoS攻击的指标，在10月23日Standard Bank等本地银行的在线和移动服务都受到攻击，但大无数服务已经复原正常。

假意Fancy Bear DDoS攻击金融机构

10月24日，在从前一周的功夫里，假意俄罗斯APT组织Fancy Bear的网络犯罪分子一向在对金融行业的国际公司提议了大规模的DDoS攻击，并要求支付赎金，重要针对位于新加坡、南非的金融公司。目前三个安全公司Link11，Radware和Group-IB确认了该攻击活动。

格鲁吉亚遭到大规模的DDoS攻击

10月28日，格鲁吉亚遭逢史上最大规模的网络攻击，在此期间超过1.5万个网站受到攻击并离线，各类当局机构、银杏注法院、本地报纸和电视台的网站都受到影响。该事务与本地网络托管服务提供商Pro-Service被黑客入侵有关，攻击产生在本地早晨，到晚上8点时工作人员已经复原了受损站点的一半以上。黑客在被入侵的网站上颁布了被放逐的前总统Mikheil Saakashvili的照片，并写上“我会回来！”的信息。本地法律机构在对此事务进行调查。

安全缝隙

Linux apt远程代码执行缝隙（CVE-2019-3462）

1月25日，钻研人员发现Linux包治理器apt/apt-get存在远程代码执行缝隙（CVE-2019-3462），该缝隙可导致攻击者进行中央人攻击并获取root权限执行肆意代码。原因是apt默认使用HTTP通讯，而其transport步骤中处置HTTP沉定向的代码没有正确查抄某些参数，攻击者可通过中央人攻击使用伪造署名骗过该查抄，进而在用户主机上装置肆意法式。由于apt自身已经获取了root权限，该恶意法式可在root权限下执行。该缝隙影响领域极为宽泛，所有使用老版本apt的主机都受到影响。apt开发人员已在版本1.4.9中建复了该缝隙。

Windows RDP远程代码执行缝隙（CVE-2019-0708）

5月14日，微软颁布5月份Windows安全更新，建复79个缝隙。其中蕴含RDP服务中的远程代码执行缝隙（CVE-2019-0708），由于该缝隙存在于RDP和谈的预身份验证阶段，因而缝隙利用无需进行用户交互操作。成功利用此缝隙的攻击者能够在指标系统上执行肆意代码。该缝隙影响Windows XP、Windows2003、Windows2008、Windows2008R2和Windows7，但Windows 8和Windows 10及之后版本的用户不受此缝隙影响。

Oracle WebLogic Server远程代码执行缝隙（CNNVD-201906-596）

6月17日，CNNVD颁布关于Oracle WebLogic Server远程代码执行缝隙（CNNVD-201906-596）的传递。攻击者可利用该缝隙在未授权的情况下发送攻击数据，实现肆意代码执行。该缝隙是由于Oracle一个汗青缝隙（CNNVD-201904-961，CVE-2019-2725）建补不美满导致，只管4月26日Oracle颁布了补丁，但近日发现该缝隙仍可被新的攻击方式利用。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受缝隙影响。目前， Oracle官方暂未颁布该缝隙补丁，但能够通过一时建补措施缓解缝隙带来的风险。

ProFTPD远程代码执行缝隙（CVE-2019-12815）

7月23日，ProFTPD颁布新版本1.3.6，建复一个可导致RCE的缝隙。该缝隙（CVE-2019- 12815）与ProFTPD的mod_copy�？橛泄�，缝隙原因是mod_copy�？榈淖越缢礢ITE CPFR和SITE CPTO号令没有按预期配置工作。治理员可通过禁用mod_copy�？槔椿航飧梅煜�。凭据Shodan的搜索了局，目前有超过100万个ProFTPd服务器尚未升级建复补丁。德国CERT-Bund也针对该缝隙向用户发出传递。

VxWorks多个远程代码执行缝隙（URGENT/11）

7月30日,VxWorks官方颁布安全更新，建复VxWorks中11个缝隙，其中6个缝隙可导致远程代码执行，而剩下的缝隙可能会导致回绝服务，信息泄露或逻辑缝隙。VxWorks是嵌入式设备中使用最宽泛的实时操作系统（RTOS）之一，宽泛利用于航空航天，国防，工业，医疗，汽车等领域，全球至少20亿台设备使用使用VxWorks。URGENT/11缝隙影响自6.5版以上的所有VxWorks版本。显然在从前13年中颁布的所有VxWorks版本都容易受到攻击。攻击者能够利用其中缝隙实现无需用户交互及认证实现远程攻击，最终在齐全节造有关设备。

IE浏览器远程代码执行缝隙(CVE-2019-1367)

9月23日，微软颁布安全更新建复了Internet Explorer中的一个远程代码执行缝隙（CVE-2019-1367），缝隙存在于IE剧本引擎处置内存中对象的方式中。该缝隙可能以一种攻击者能够在当前用户的高低文中执行肆意代码的方式败坏内存。成功利用该缝隙的攻击者能够获得与当前用户一样的用户权限。若是当前用户使用治理用户权限登录，成功利用此缝隙的攻击者便可节造受影响的系统。攻击者可随后装置法式；查看、更改或删除数据；或者创建占有齐全用户权限的新帐户。据表媒报路，该缝隙已被发现存在野表利用情况，但微软并未颁布更多关于攻击活动的细节。

PHP远程代码执行缝隙（CVE-2019-11043）

9月26日，PHP官方颁布缝隙公告，指出使用Nginx + php-fpm的服务器在部门配置下存在远程代码执行缝隙（CVE-2019-11043），该配置已被宽泛使用，风险较大。该缝隙的PoC在10月22日公开。受影响的PHP版本蕴含7.0、7.1、7.2、7.3以及5.6。PHP已于10月12号颁布建复补丁。

Windows UAC提权缝隙（CVE-2019-1388）

11月12日，钻研人员披露Windows中的一个提权缝隙的具体信息，该缝隙源自用户帐户节造（UAC）职能，通过与UAC的用户界面进行交互，无特权的攻击者能够利用该缝隙在通常桌面上启动高特权的Web浏览器，进而能够装置恶意代码或执行其它恶意活动。钻研人员暗示攻击者必须首先拥有指标系统上的低特权用户身份，并能够接见交互式桌面。该缝隙（CVE-2019-1388）的CVSS评分为7.8分，微软已颁布该缝隙的有关补丁。

VMWare OpenSLD远程代码执行缝隙（CVE-2019-5544）

12月06日，VMware在颁布最新安全布告建复OpenSLD远程执行代码缝隙（CVE-2019-5544），VMware将该缝隙定级为CVSS9.8分的垂危高危远程缝隙，目前VMware已颁布安全补丁，建议用户尽快升级建复。该缝隙是由于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题，攻击者利用此类缝隙能够突破虚构机的权限隔离，获得宿主机的系统权限，导致用户数据的机密性，齐全性和有效性失去保险。这意味着，在未经用户授权的情况下，攻击者可对用户信息进行肆意处置。而此类缝隙能够在其它虚构机和宿主机上实现肆意代码执行，并可能用于传布网络蠕虫。

Win32k特权提升缝隙（CVE-2019-1458）

12月10日，Microsoft颁布了针对36个CVE缝隙的两个布告和更新。在这些缝隙中，有7个被分类为严沉，27个被分类为沉要，1个被分类为中，1个被分类为低。并且CVE-2019-1458缝隙已被利用。近期卡巴斯基检测到的攻击事务称Operation Wizard在攻击过程中使用了Windows缝隙（CVE-2019-1458）和Google Chrome缝隙（CVE-2019-13720），将恶意软件下载并装置到接见韩语新闻门户的Windows推算机上。目前微软官方已经颁布该缝隙的补丁，建议用户更新到最新版本，以削减攻击的可能性。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

维他命2019大盘点之安全事务/缝隙篇

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线