首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2018年第51周

發布時間 2018-12-24
本周安全態勢綜述


2018年12月17日23日共收錄安全漏洞49個,值得關注的是WordPress two-factor-authentication插件跨站請求偽造漏洞;ABB GATE-E1和GATE-E2驗證繞過漏洞;Advantech WebAccess/SCADA CVE-2018-18999緩沖區溢出漏洞;DedeCMS uploads/include/dialog/select_images_post.php任意代碼執行漏洞;TRENDnet TEW-632BRP和TEW-673GRU apply.cgi緩沖區溢出漏洞。


本周值得關注的網絡安全事件是美DoD稱其彈道導彈防御系統未通過網絡安全審計;歐洲議會和理事會發布《歐盟電子通信規范(EECC)》;Elasticsearch Kibana控制臺文件包含漏洞,PoC代碼已發布;NASA披露數據泄露事件,部分員工的PII信息被盜;SandboxEscaper第三次在Twitter上披露未修復的Windows 0day。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1. WordPress two-factor-authentication插件跨站請求偽造漏洞


WordPress two-factor-authentication插件存在跨站請求偽造漏洞,允許遠程攻擊者可以利用漏洞構建惡意URI,誘使請求,可以目標用戶上下文執行惡意操作。

https://wordpress.org/plugins/two-factor-authentication/#developers

2. ABB GATE-E1和GATE-E2驗證繞過漏洞


ABB GATE-E1和GATE-E2在管理telnet或web接口中存在驗證配置漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可重置設備、讀取或修改注冊表、修改IP地址等。

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01

3. Advantech WebAccess/SCADA CVE-2018-18999緩沖區溢出漏洞


Advantech WebAccess/SCADA存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-02

4. DedeCMS uploads/include/dialog/select_images_post.php任意代碼執行漏洞


DedeCMS uploads/include/dialog/select_images_post.php存在輸入驗證 漏洞,允許遠程攻擊者利用漏洞提交特殊的雙重擴展及修改的.php子字符串請求,可上傳任意文件并執行。

http://www.iwantacve.cn/index.php/archives/88/

5. TRENDnet TEW-632BRP和TEW-673GRU apply.cgi緩沖區溢出漏洞


TRENDnet TEW-632BRP和TEW-673GRU apply.cgi存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

http://packetstormsecurity.com/files/150693/TRENDnet-Command-Injection-Buffer-Overflow-Cross-Site-Scripting.html


 重要安全事件綜述


1、美DoD稱其彈道導彈防御系統未通過網絡安全審計




根據美國國防部監察長的一份報告,美國的彈道導彈防御系統(BMDS)未能通過網絡安全審計。該報告指出BMDS設施未能實施應有的安全控制措施,包括多因素身份認證、漏洞評估和緩解、服務器機架安全、可移動媒體上的機密數據保護和技術信息加密傳輸等。此外,一些物理安全措施也沒有到位,例如攝像頭和傳感器并沒有安裝在需要安裝的位置。監察長辦公室正在要求首席信息官、指揮官等在2019年1月8日前回應該份報告。

原文鏈接:
https://media.defense.gov/2018/Dec/14/2002072642/-1/-1/1/DODIG-2019-034.PDF

2、歐洲議會和理事會發布《歐盟電子通信規范(EECC)》



歐洲議會和理事會發布《歐盟電子通信規范(EECC)》,該規范是對2009年發布的現有電子通信立法框架的重新修訂。歐盟成員國將有兩年的時間將該規范的相關條款轉換為本國的法律、法規和行政規定,這一最后期限是2020年12月。該規范的整體目標是“使歐盟在2025年站在互聯網連接的最前沿-創建一個千兆社會”。該規范還包含對安全的規定條款:電子通信網絡服務商需要采取相應的技術和機制,以最大限度地減少安全事件。


原文鏈接:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018L1972

3、Elasticsearch Kibana控制臺文件包含漏洞,PoC代碼已發布



Kibana是Elasticsearch的數據可視化工具,其Console插件存在本地文件包含(LFI)漏洞,研究人員發布了該漏洞的PoC代碼。該漏洞(CVE-2018-17246)影響了6.4.3和5.6.13之前的Kibana版本,成功利用該漏洞可能導致遠程代碼執行。Elastic已在最新版本的Kibana中修復了該漏洞,如果用戶暫時無法更新,也可以在配置文件中禁用該Console插件來規避這一問題。


原文鏈接:
https://www.bleepingcomputer.com/news/security/file-inclusion-bug-in-kibana-console-for-elasticsearch-gets-exploit-code/

4、NASA披露數據泄露事件,部分員工的PII信息被盜



NASA被黑,根據該機構的說法,NASA在10月23日發現了這一數據泄露事件,其一個存儲個人身份信息(PII)的服務器遭到黑客入侵,2006年7月至2018年10月期間加入NASA的員工的PII信息泄露,包括離職或調職的員工。NASA目前擁有約17300名員工。該機構表示沒有太空任務受到影響。


原文鏈接:
https://thehackernews.com/2018/12/nasa-hack-data-breach.html

5、SandboxEscaper第三次在Twitter上披露未修復的Windows 0day



研究人員SandboxEscaper第三次在Twitter上披露未修復的Windows 0day,并且發布了相關PoC。這個新的漏洞存在于Windows的MsiAdvertiseProduct功能中,根據該研究人員的說法,由于沒有正確驗證,攻擊者可利用該功能強迫安裝服務以SYSTEM權限復制任意文件并讀取其內容,從而導致任意文件讀取漏洞。SandboxEscaper還在Github上發布了該漏洞的PoC,但該Github賬戶目前已被刪除。SandboxEscaper曾在2018年8月份和10月份分別在Twitter上披露了兩個Windows 0day。


原文鏈接:
https://thehackernews.com/2018/12/windows-zero-day-exploit.html


聲明:本資訊由啟明星辰維他命安全小組翻譯和整理


上一篇 下一篇