首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第3周

發布時間 2019-01-21

本周安全態勢綜述


2019年1月14日至20日共收錄安全漏洞50個,值得關注的是Brocade Network Advisor CVE-2018-6443硬編碼憑證漏洞;systemd-journald棧緩沖區溢出漏洞;SAS Web Infrastructure Platform反序列化代碼執行漏洞;IDenticard Premisys數據庫默認憑證漏洞;LCDS LAquis SCADA未授權訪問漏洞。

本周值得關注的網絡安全事件是機票預訂系統Amadeus嚴重漏洞,影響全球141家航空公司;美Oklahoma州政府服務器意外暴露3TB敏感數據;英國BSIA發布互聯安全系統最佳實踐指南;VoIP服務商VOIPO意外泄露過去四年的客戶數據;ES文件瀏覽器兩個漏洞使得超過1億Android用戶面臨風險。

根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1. Brocade Network Advisor CVE-2018-6443硬編碼憑證漏洞
Brocade Network Advisor存在硬編碼漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可登錄到JBoss Administration界面并安裝其他JEE應用程序。
https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-743

2. systemd-journald棧緩沖區溢出漏洞
systemd-journald實現存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,使systemd-journald崩潰或以journald權限執行代碼。
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16864

3. SAS Web Infrastructure Platform反序列化代碼執行漏洞
SAS Web Infrastructure Platform的反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意代碼。
https://support.sas.com/kb/63/391.html

4. IDenticard Premisys數據庫默認憑證漏洞
IDenticard Premisys Identicard服務在安裝時使用默認的數據庫用戶名和密碼,允許遠程攻擊者利用漏洞提交特殊的請求,未授權訪問數據庫權限。
http://www.securityfocus.com/bid/106552

5. LCDS LAquis SCADA未授權訪問漏洞
LCDS LAquis SCADA實現存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,繞過身份驗證,獲取敏感信息。
https://ics-cert.us-cert.gov/advisories/ICSA-19-015-01


 重要安全事件綜述


1、機票預訂系統Amadeus嚴重漏洞,影響全球141家航空公司



以色列安全研究員Noam Rotem發現機票預訂系統Amadeus存在一個嚴重的安全漏洞,可導致用戶信息泄露和賬戶更改。Rotem在以色列航空公司ELAL預訂機票時發現了這一問題,在預訂航班后,旅客會收到PNR號碼和用于查看預訂信息的鏈接。Rotem發現通過將該鏈接上的RULE_SOURCE_1_ID參數修改為其它人的PNR號碼即可查看他人的預訂信息,攻擊者還可利用這些信息訪問ELAL門戶網站并更改受害者的賬戶信息,包括兌換里程、更改郵件地址和電話號碼等。由于Amadeus開發的機票預訂系統被全球至少141家航空公司使用(包括美國聯合航空公司、德國漢莎航空公司和加拿大航空公司等),因此該漏洞可能影響了數億旅客。目前Amadeus已經修復了該問題。

原文鏈接:
https://thehackernews.com/2019/01/airlines-flight-hacking.html



2、美Oklahoma州政府服務器意外暴露3TB敏感數據



UpGuard研究人員Greg Pollock發現屬于美國俄克拉荷馬州證券部ODS的一臺服務器可公開訪問,導致包含數百萬敏感文件的約3TB政府數據暴露。這些數據包含證券委員會數十年的機密文件和許多敏感的FBI調查文件,以及約1萬名股票經紀人的電子郵件、社會安全號碼、姓名和地址信息等。Shodan顯示該服務器至少從2018年11月30日開始可公開訪問,約一周后ODS收到通知并對該服務器實施了保護措施。

原文鏈接:
https://thehackernews.com/2019/01/oklahoma-fbi-data-leak.html


3、英國BSIA發布互聯安全系統最佳實踐指南



英國安防行業協會(BSIA)發布互聯安全系統最佳實踐指南。該指南旨在最大限度地減少電子安全系統中的網絡連接設備、軟件和系統的數字破壞風險。該指南以行業的最佳國際實踐為基礎,并參考公認的國際指南和標準,可以幫助互聯安全系統供應鏈中的設計者、制造商、安裝人員、維護人員、服務提供商和用戶提升安全連接的信心。

原文鏈接:
https://www.infosecurity-magazine.com/news/bsia-guidelines-digital-sabotage/


4、VoIP服務商VOIPO意外泄露過去四年的客戶數據



研究人員Justin Paine通過Shodan發現一個可公開訪問的ElasticSearch數據庫,該數據庫屬于VoIP服務商VOIPO,其中包含了該公司過去四年的客戶數據。根據Paine的說法,該數據庫包含可追溯至2017年7月的670萬條通話記錄、可追溯至2015年12月的600萬條短信/彩信日志以及100萬條包含內部系統API KEY的日志。研究人員于1月8日向VOIPO通報了這一發現,該公司在同一天將數據庫進行了脫機保護。

原文鏈接:
https://thehackernews.com/2019/01/voip-service-database-hacking.html



5、ES文件瀏覽器兩個漏洞使得超過1億Android用戶面臨風險



安全研究員Robert Baptiste在ES文件瀏覽器中發現一個始終在后臺運行的隱藏Web服務器(端口59777),與受害者處于同一本地網絡的攻擊者可獲取受害者手機的大量有用信息(包括設備信息、app安裝信息、文件等),甚至可以遠程啟動app。該漏洞被跟蹤為CVE-2019-6447,研究人員還發布了POC腳本。此外,ESET研究人員Lukas Stefanko發現了另一個中間人(MitM)攻擊漏洞,影響了4.1.9.7.4及之前的版本。ES文件瀏覽器開發團隊表示修復補丁將在大約兩天后推出。

原文鏈接:
https://www.bleepingcomputer.com/news/security/es-file-explorer-flaws-put-100-million-users-data-at-risk-fix-promised/


聲明:本資訊由啟明星辰維他命安全小組翻譯和整理

上一篇 下一篇