TP-Link WiFi中继器存在安全漏洞 Linux和FreeBSD多个DoS漏洞曝光

本周安全资讯

20 June 2019

TP-Link WiFi中继器存在安全漏洞，允许黑客远程执行任意命令；

Oracle Weblogic远程代码执行漏洞遭非法利用，官方发布紧急补丁修复；

Linux和FreeBSD多个DoS漏洞曝光……

一、信息泄露

1.Eatstreet发生数据泄露事件，大量客户财务数据被泄露

据外媒报道，在线食品订购服务公司Eatstreet发生数据泄露事件，其合作伙伴详细信息及大量客户财务数据被泄露。泄露数据包含客户姓名、地址、电话号码、电子邮件地址等隐私信息，以及银行账户、路由号码、信用卡号码、到期日期、卡验证码、账单地址等财务数据。事件发生后，Eatstreet聘请了安全公司协助调查，并采取了一系列措施改善其系统安全性。

2.广告公司数据库在线曝光，伤员伤势情况被泄露

据外媒报道，研究人员发现广告公司X Social Media数据库在互联网曝光，超过15万条广告活动回复信息被泄露。据悉，该公司总部位于美国佛罗里达州，数据库内容涉及医疗事故案件信息及伤员伤势情况，包括用户全名、电子邮件地址、家庭住址、电话号码以及其他医疗损伤案件详细信息等。截至目前，该数据库已下线。

二、恶意软件

1.新恶意软件Plurox曝光，同时具备后门木马、自传病毒、密码挖掘器等功能

近日，卡巴斯基研究人员检测到新恶意软件Plurox，可作为受感染企业网络的后门木马，横向扩散破坏更多系统，并使用八种插件中的一种挖掘加密货币。据悉，Plurox仍处于早期测试阶段，围绕模块化结构设计，核心包含一个主要组件，允许Plurox机器人（受感染主机）与命令和控制（C&C）服务器通信。截至目前，暂不清楚Plurox团队如何传播该恶意软件。

三、漏洞曝光

1.TP-Link WiFi中继器存在安全漏洞，允许黑客远程执行任意命令

据报道，研究人员发布警告称TP-Link WiFi中继器存在严重远程代码执行漏洞，允许黑客接管设备执行任意命令，家庭用户和企业用户均受影响。据悉，该漏洞被追踪为CVE-2019-7406，允许未经身份验证的远程攻击者通过HTTP标头中的特制用户代理字段提权执行任意shell命令。截至目前，TP-Link已针对受影响型号设备发布固件更新。

2.Linux和FreeBSD多个DoS漏洞曝光

据报道，Netflix工程师在Linux和FreeBSD内核中发现了多个TCP网络漏洞，允许未经身份验证的黑客远程发起拒绝服务（DoS）攻击。据悉，这些漏洞与最小分段大小（MSS）和TCP Selective Acknowledgement（SACK）有关，其中最严重的漏洞名为SACK Panic，可被黑客远程触发，导致Linux内核崩溃。截至目前，官方已发布修复补丁保护用户免受潜在攻击。

3.Oracle Weblogic远程代码执行漏洞遭非法利用，官方发布紧急补丁修复

据报道，研究人员检测到有黑客非法利用Oracle Weblogic远程代码执行漏洞，在未经授权的情况下远程接管用户设备。据悉，该漏洞被追踪为CVE-2019-2729，允许黑客绕过此前发布的修复补丁推送恶意HTTP请求，并在未经授权的情况下远程执行恶意代码，获取用户敏感数据。截至目前，Oracle已发布紧急补丁修复该漏洞，专家建议用户及时更新以保护设备。

4.Vim和Neovim任意代码执行漏洞曝光，允许黑客接管设备

研究人员发现，Vim和Neovim中存在任意代码执行漏洞，当用户打开恶意文本文件时，黑客可接管用户设备，Vim8.1.1365、Neovim0.3.6之前的版本均受影响。据悉，该漏洞被追踪为CVE-2019-12735，位于编辑器modeline（模式行）功能中。截至目前，官方已发布该漏洞修复补丁，研究人员也公开了2个概念验证PoC代码，专家建议用户尽快更新以保护设备。

5.输液治疗设备存在安全漏洞，允许黑客远程控制设备

研究人员发现，由医疗设备制造商Becton Dickinson开发的Alaris网关工作站存在2个安全漏洞，允许黑客在输液泵的机载电脑上安装恶意固件，在某些版本设备上调整输液泵输液速率等特定命令，甚至远程控制机载电脑，让输液泵离线。据悉，黑客需按特定顺序发动攻击方能利用该漏洞，因此发生患者伤害的可能性极低，目前暂未发现利用实例。

四、安全资讯

1.BitDefender发布GandCrab勒索软件解密工具

据外媒报道，安全公司BitDefender与相关机构合作，发布了3款解密工具，帮助被勒索软件感染的用户免费获取其加密数据。据悉，这些解密工具主要用于解密由GandCrab系列勒索软件加密的文件，适用于GandCrab版本1、4及版本5到5.2，用户可登录NoMoreRansom进行下载。截至目前，该解密工具已帮助数万受感染用户节省约5000万美元的未付赎金。