第十二期 全球一周安全情报

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

01

PHP存在任意代码执行漏洞

‍

美国多州信息共享和分析中心（MS-ISAC）警告使用PHP的用户，PHP中存在多个高风险漏洞，允许攻击者执行任意代码。此外，如果未成功利用PHP漏洞，攻击者仍然可以引起拒绝服务（DoS）条件，使探测服务器无法使用。PHP团队已经在PHP 7.1.23和7.2.11版本中发布了针对所有高风险错误的修复程序。MS-ISAC建议用户更新到最新版本的PHP，并在升级PHP安装之前检查是否有任何未经授权的修改其服务器的内容和配置。

‍02

3500万美国选民记录在黑客网站出售

Anomali Labs的情报提供商发现大量未经授权的美国选民登记数据库信息，正在黑客网站出售。这些数据涉及19个州，包括其中3个州的2300万条记录，记录包含选民数据，包括全名，电话号码，实际地址，投票历史和其它未指明的投票数据。每个州的销售价格均不同，从150美元到12,500美元不等。卖方表示每周都会通过州政府内的联系人，收到各州的选民登记数据更新，有些洲需要亲自前往，这表明泄露的信息不一定是技术上行为，有在网络犯罪论坛上重新分配可能合法获得的选民数据，用于有针对性的恶意活动。此种类型的事件增加了对美国选举过程可能造成的破坏性攻击的威胁，例如选民身份欺诈和选民压制。

03

RPCBIND上的服务器可受DDoS攻击

巴西安全公司XLabs的研究员MauricioCorrêa发现，存在于RPCBIND服务上的Oracle漏洞，可导致运行在此服务的230万台服务器遭受DDoS攻击。RPCBIND是一种软件，它为客户端程序提供有关网络上可用服务器程序所需的信息，该服务运行在端口111上。研究人员称仅在一台XLabs服务器上进行的概念验证（POC）就产生了每秒69千兆位的流量。在6月份，XLabs监测到来自其它国家的几台服务器的111端口中，DDoS攻击正在进行。Oracle已在16日的补丁更新中修复了该漏洞。

77181/hacking/oracle-flaw-ddos-attacks.html

04

APP过度索取用户信息导致企业被约谈

上海网信办发布消息，12日和15日，上海网信办分别约谈了当地23家企业，对于这些企业旗下App过度索取用户个人信息的问题，上海网信办要求企业进行整改。另外，上海网信办表示今后将会对上线的App进行定期抽检，并向公众公布抽检结果。根据上海网信办的消息，抽检的23款App累计共申请864项权限，其中“合理”权限444项，占比51.4%，“不合理”权限264项，占比30.6%，“合理但存在风险”权限156项，占比18%。

05

利用漏洞可以完全接管D-Link路由器

波兰西里西亚理工大学的BłażejAdamczyk在D-Link路由器中发现了5个漏洞，并提供了概念验证（PoC）代码。通过将其中的三个漏洞形成攻击链，攻击者可以完全接管D-Link路由器。第一个漏洞为CVE-2018-10822，Web界面中存在目录遍历漏洞，允许远程攻击者读取任意文件。第二个漏洞为CVE-2018-10824，密码以明文形式存储，可以访问密码文件夹并检查包含敏感信息的配置文件。第三个漏洞为CVE-2018-10823，httpd服务器中的shell命令注入错误，可以执行远程代码注入。Adamczyk已在5月的通报给D-Link，然而该供应商仍没有修复上述漏洞。

06

黑客利用漏洞可以访问iPhone隐私数据

安全研究人员Jose Rodriguez发现了一个新密码旁路漏洞，可以利用Siri助手和VoiceOver屏幕阅读器来绕过密码。物理攻击者很容易利用该漏洞来访问iPhone中的相册，选择照片并将其发送给使用Apple Messages的任何人。新的密码旁路攻击适用于所有当前的iPhone型号，包括iPhone X和XS设备，影响最新版本的iOS 12至12.0.1版本。Rodriguez称补丁未发布之前，可以通过在锁屏上禁用Siri来缓解这个问题。