第二十期 全球一周安全情报

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

01

Google+漏洞导致隐私数据泄露

谷歌12月10日表示，在社交网络Google+People API（应用程序编程接口）中发现严重漏洞，具有相关权限的开发人员可窃取5250万用户的私人信息，包括姓名、电子邮件地址、职业和年龄。该API称为"People: get"，允许开发人员请求与用户配置文件相关联的基本信息，漏洞是在11月的软件更新中引入。谷歌表示该漏洞目前没有被利用或被任何第三方应用开发者误用的证据，并保证此不会泄露密码，财务数据，国家识别码或任何其它敏感数据。在2018年10月份，Google+曾泄露了超过50万用户数据，当时谷歌表示将在2019年8月底之前关闭Google+，在最新的泄漏事件发生后，将比原计划提前四个月关闭Google+。

google-plus-hacking.html

02

PayPal中存在绕过2FA的安卓木马

ESET研究人员在官方PayPal应用程序中检测到可绕过双因素身份验证（2FA）的新型Android木马。该木马将远控银行木马的功能与新的Android辅助功能服务相结合，伪装成电池优化工具，并通过第三方应用商店分发。用户启动后，程序将直接退出，同时不提供任何功能并隐藏其图标，然后静默执行两个核心功能，第一个是诱骗用户激活恶意辅助功能服务，从PayPal帐户中窃取资金。第二个是在合法的应用程序上（Google Play，WhatsApp，Skype，Viber，Gmail），显示基于HTML的网络钓鱼屏幕。还可以通过C2服务器执行其它命令。研究人员还在Google Play商店中发现了五个具有类似功能且针对巴西用户的恶意程序。

11/android-trojan-steals-money-paypal-accounts-2fa/

03

Elasticsearch漏洞被利用从事挖矿活动

泄露

趋势科技研究人员检测到利用搜索引擎Elasticsearch旧漏洞的挖矿活动。Elasticsearch是一个基于Lucene库的Java开发的开源的搜索引擎，涉及的漏洞有Groovy脚本引擎中的CVE-2015-1427，允许远程攻击者编写的脚本执行任意shell命令，默认配置中的CVE-2014-3120。矿工首先调用shell并运行下载命令来分发bash脚本，一旦攻击者获得在系统上运行任意命令的能力，可以尝试升级权限甚至转向其它系统，以进一步进行攻击活动。所释放的挖矿工具Devtools、用于下载所有部分的bash脚本和配置文件。用户有必要定期修补系统并使用自定义规则进行安全监控。

04

巴西1.2亿纳税人信息遭泄露

InfoArmor研究小组发现了一个因配置错误导致可公开访问的Apache Web服务器，暴露了托管在服务器上的1.2亿巴西国民纳税人注册号Cadastro dePessoasFísicas（CPF），CPF是巴西联邦储备银行向巴西公民和纳税居民发放的身份证号码。暴露纳税注册号与敏感信息相关联，如姓名，出生日期，电子邮件，电话号码，地址，就业详情，银行账户详情，贷款和还款记录，借记和贷记历史，投票历史，投票注册号码等。研究人员在2018年3月发现数据库中的默认文件“index.html”被重命名为“index.html_bkp”，导致显示目录内容。研究人员试图联系所有者，但所发的邮件被返回 。研究人员表示这些数据可能会用于攻击巴西或者任何拥有CFP人群的国家。

infoarmor-discovers-120-million-brazilian-identities-exposed

05

Windows DNS中存在远程代码执行漏洞

Windows DNS（Domain Name System）服务器处理请求时存在缺陷，从而导致存在远程执行代码漏洞，该漏洞ID为CVE-2018-8626。成功利用此漏洞允许远程且未经授权的攻击者通过向Windows DNS服务端发送精心构造的恶意请求，即能以本地系统账户权限执行任意代码。12月11日，微软官方发布安全补丁已修复该漏洞。

06

Logitech键盘设置软件存在漏洞

Google Project Zero安全研究员Tavis Ormandy在9月份披露，Logitech（罗技）公司Logitech Options（鼠标设置软件）桌面应用程序存在漏洞。Logitech Options允许用户自定义Logitech计算机外围设备的功能，包括鼠标，键盘和触摸板。漏洞成因为当应用程序打开了一个WebSocket服务器，在无需用户进程ID的身份验证下，该服务器允许外部人员从任何网站访问该应用程序。攻击者可以使用诈骗网站向该应用程序中发送一系列命令并更改用户的设置，来发送任意击键。攻击者通过访问所有信息，甚至可以接管目标机器。Logitech声称发布7.00.564版本修复了漏洞，但研究人员对此表示怀疑态度。