1月22日全球信安资讯

信源:securityaffairs

由于开源关系数据库管理系统(RDBMS)中的设计缺陷, MySQL服务器可用于从客户端窃取文件。

该漏洞存在于客户端主机和MySQL服务器之间的文件传输过程中,它可能被运行恶意MySQL服务器的攻击者利用来访问客户端可以读取的任何数据。

该问题与LOCAL修饰符使用的LOAD DATA语句相关联。 LOAD DATA语句可以加载位于服务器上的文件,如果请求中使用了LOCAL关键字,则可以加载客户端主机上的文件。

从客户端主机到MySQL服务器主机的文件传输由服务器启动。客户端根据它在LOAD DATA语句中提供的信息从MySQL服务器接收文件传输请求。流氓服务器可以向客户端发送LOAD DATA LOCAL语句,以访问客户端具有读取权限的任何文件。

“从理论上讲,可以构建一个补丁服务器,告诉客户端程序传输服务器选择的文件,而不是LOAD DATA语句中客户端命名的文件。”官方文档中写道。

“这样的服务器可以访问客户端用户具有读访问权限的客户端主机上的任何文件。”

专家指出,该问题还会影响充当客户端连接到MySQL服务器的Web服务器。在这种情况下,攻击者可以触发漏洞来窃取敏感文件,包括/ etc / passwd文件。

攻击者可以通过了解其完整路径来访问文件,该路径可以使用“/ proc / self / environ”文件获取,该文件提供正在运行的进程的环境变量。

攻击者可以利用这个漏洞窃取加密货币钱包SSH密钥。

欧姆龙修正CX-Supervisor产品缺陷

信源:bleepingcomputer

欧姆龙电子公司发布了一项安全更新,以解决其CX-Supervisor产品中的漏洞,这些漏洞可以利用DoS攻击和远程代码执行。

由于具有大量预定义功能和库,CX-Supervisor可以快速创建用于监控和数据采集(SCADA)系统的人机界面(HMI)。该软件广泛应用于多个行业,主要是能源行业。

这些漏洞是通过趋势科技的Zero Day Initiative(ZDI)报告的。来自Source Incite的安全专家Esteban Ruiz。其中一个漏洞,跟踪为CVE-2018-19027,获得了“高”严重等级。

CVE-2018-19027缺陷影响CX-One产品,该缺陷在2018-07-02报告给供应商,而在2019-01-14公开披露。

“此漏洞允许远程攻击者在易受攻击的OMRON CX-One CX协议安装上执行任意代码。用户交互是利用此漏洞所必需的,因为目标必须访问恶意页面或打开恶意文件。“ZDI发布的咨询报告称。

“处理PSW文件时存在特定缺陷。该问题是由于缺乏对用户提供的数据的适当验证,这可能导致类型混淆情况。攻击者可以利用此漏洞在当前进程的上下文中执行代码。“

伊朗开发商推广BlackRouter RaaS

信源: bleepingcomputer

一名伊朗开发商正在Telegram上宣传一项名为BlackRouter的勒索软件即服务。该专家宣传其他恶意软件,并被认为是另一个名为Blackheart的勒索软件的作者。

BlackRouter于2018年5月首次被发现,当时TrendMicro的专家发现捆绑了勒索软件的合法应用程序AnyDesk。

根据Bleeping Computer的说法,安全研究员Petrovic在1月份发现了BlackRouter Ransomware的一个新版本,但MalwareHunterTeam表示,这个版本与之前版本之间的差异只是改进的GUI和计时器的实现。

思科重大缺陷可完全破坏小企业网络

信源:bleepingcomputer

CVE-2018-15439 cisco soho

该漏洞已获得9.8的关键基准CVSS严重等级,它与包含默认特权用户帐户的设备上的默认配置相关联。

此帐户是为初始登录创建的,无法从思科小型企业交换机设备中删除。

“思科小型企业交换机软件中的漏洞可能允许未经身份验证的远程攻击者绕过受影响设备的用户身份验证机制。”思科发布的安全通报中写道。

“存在漏洞是因为在特定情况下,受影响的软件会启用特权用户帐户,而不会通知系统管理员。攻击者可以通过使用此帐户登录受影响的设备并使用完全管理权限执行命令来利用此漏洞。“

该通报还包括一种解决方法,其中包括通过在设备配置中添加至少一个访问权限设置为级别15的用户帐户来禁用此帐户。

用户可以“使用admin作为用户ID配置帐户,将访问权限设置为15级,并通过将<strong_password>替换为用户选择的复杂密码来定义密码”。

“但是,如果从设备配置中删除了所有用户配置的权限级别15帐户,则受影响的软件版本会重新启用默认的特权用户帐户,而不会通知系统管理员。”

“在这种情况下,攻击者可以使用此帐户登录受影响的设备并执行具有完全管理权限的命令。”

专家指出,成功的攻击可能允许远程攻击者破坏整个网络。

DNC:俄罗斯黑客影响中期选举

信源:securityweek

民主党全国委员会(DNC)声称,在2018年中期选举后的几天内,俄罗斯的一个黑客团体泄漏敏感信息。

在周末提交的法庭文件中,DNC表示,被称为Cozy Bear(又名APT29 / The Dukes)的团体在向数十名员工发送的鱼叉式网络钓鱼电子邮件中扮演国务院官员的角色。

这些电子邮件被一个带有恶意软件的PDF文件陷入困境,旨在提供对受害者机器的访问。

该文件指出:“2018年11月,数十个DNC电子邮件地址成为鱼叉式网络钓鱼活动的目标,但没有证据表明攻击是成功的。”

“这些电子邮件的内容及其时间戳与鱼叉式网络钓鱼活动一致,该网络钓鱼活动引领网络安全专家与俄罗斯情报联系在一起。因此,俄罗斯情报部门很可能在2018年11月再次试图非法渗透DNC计算机。“

本文内容由国外媒体发布,不代表聚锋实验室立场和观点。