这个通杀绝大多数交易平台的0day漏洞,默安哨兵云已出招

2018年9月20日

      昨日,慢雾区发布了《⼀个通杀绝大多数交易平台的 XSS 0day漏洞》,经过确认,该组件确实已经大量被用于各类交易系统中。针对这个漏洞,默安科技的安全专家团队迅速反应,目前“哨兵云”资产风险监控系统已全面更新针对TradingView组件存在的DOM型XSS漏洞的应急插件,并同步为客户提出快速解决方案及有效建议,以免该漏洞被攻击者恶意利用,造成难以挽回的损失。

什么是TradingView?

     TradingView是一个开源免费的K线图分析工具,有完善的API,能把K线展示最流行的JS库,被广泛运用到股票、期货、指数、外汇和比特币等的交易系统中常用的第三方组件。

9.jpg

10.jpg

图   TradingView的应用场景

关于TradingView DOM型XSS漏洞

      本次漏洞出现为DOM型XSS。漏洞在Trading View绘制K线时会加载一个本地可控参数的JS,攻击者根据这个可控参数注入并执行任意JS恶意代码,造成DOM型跨站脚本攻击。据分析,大量加密货币交易所将会受TradingView漏洞影响,该漏洞能导致平台用户登陆权限被窃取,从而造成用户财产被盗;同时,加密货币在使用通用组件时需要更加警惕,否则很容易导致因为通用组件的安全问题而产生经济损失。

11.png

图  模拟出的该XSS 0day漏洞被攻击者利用时的情景

哨兵云第一时间完成插件更新

      目前,默安科技的哨兵云资产风险监测系统已经完成插件更新,可以快速检测出各类交易系统是否存在TradingView组件DOM型XSS 0day漏洞风险,并同步给出快速解决方案建议。

12.jpg

图   哨兵云系统识别出TradingView DOM型XSS漏洞

哨兵云支持上千个最新漏洞扫描插件的实时更新,采用强大的爬虫及流量采集分析技术自动感知业务资产变更,深度检测应用漏洞、服务漏洞、运维漏洞等漏洞风险。每个插件经过上百次的自动化检测和漏报误报分析,做到漏洞检查零误报。

对于攻击者来说,客户的系统方方面面都存在脆弱性,这些方面不仅包括常见的操作系统漏洞、应用系统漏洞、弱口令、错误安全配置问题以及违反最小化原则开放的不必要的账号、服务、端口等,还包括客户的上下游企业、客户人员、员工无意识的数据泄露、物联网终端设备。

哨兵云面向企业提供优质的IT资产管理服务,自动化运维IT资产,自动发现管理资产,从应用漏洞、高危服务、运维风险以及外部威胁情报分析等多个维度持续监控安全风险。同时,哨兵云7*24小时的监控方式,可实时发现最新风险,并第一时间通过多种渠道实时同步安全状况。

13.jpg

图   哨兵云资产风险监控可视化大屏

如果您的交易系统使用过TradingView通用组件,可以联系我们辅助您检测系统是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。


附:哨兵云近期的更新列表

VULN_DB_20180918  

smtp弱口令漏洞

pop3弱口令漏洞
Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)
Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
RPCBind虚假udp请求反射DDOS漏洞
VULN_DB_20180919    

TradingView DOM型XSS