首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第24周

發布時間 2019-06-24

本周安全態勢綜述



2019年6月17日至23日共收錄安全漏洞43個,值得關注的是ISC BIND競爭條件拒絕服務漏洞;Oracle Fusion Middleware WebLogic Server組件遠程代碼執行漏洞; Apache AXIS freemaker代碼執行漏洞;Webmin update.cgi任意命令執行漏洞;TP-Link TL-WR1043ND未授權訪問漏洞。


本周值得關注的網絡安全事件是美官員承認向俄羅斯電網植入病毒,特朗普怒懟美媒叛國;AMCA數據泄露波及人數超過2000萬,5家公司受影響;Equifax數據泄露影響美國多個政府機構的身份驗證流程;Firefox緊急修復RCE 0day(CVE-2019-11707);加拿大金融機構Desjardins泄露約290萬會員的敏感信息。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表



1. ISC BIND競爭條件拒絕服務漏洞
ISC BIND處理進行報文時存在競爭條件安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可進行拒絕服務攻擊。
https://kb.isc.org/docs/cve-2019-6471

2. Oracle Fusion Middleware WebLogic Server組件遠程代碼執行漏洞
Oracle Fusion Middleware WebLogic Server組件XMLDecoder存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

3. Apache AXIS freemaker代碼執行漏洞
Apache AXIS freemaker組件中調用template.utility.Execute類存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的HTTP POST請求,可執行任意代碼。
http://axis.apache.org/

4. Webmin update.cgi任意命令執行漏洞
Webmin update.cgi處理‘data’參數存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以root權限執行任意命令。
https://pentest.com.tr/exploits/Webmin-1910-Package-Updates-Remote-Command-Execution.html

5. TP-Link TL-WR1043ND未授權訪問漏洞
TP-Link TL-WR1043ND處理 “Authorization”存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權控制設備。
https://github.com/MalFuzzer/Vulnerability-Research/blob/master/TL-WR1043ND%20V2%20-%20TP-LINK/TL-WR1043ND_PoC.pdf

重要安全事件綜述



1、美官員承認向俄羅斯電網植入病毒,特朗普怒懟美媒叛國



當地時間6月15日,《紐約時報》援引美國現任和前任政府官員的話稱,美國正在加大對俄羅斯電網的網絡攻擊,“至少從2012年開始,美國已將偵查探測器置入俄羅斯電網的控制系統?!鄙鲜龉賳T表示,如今美國的戰略已經更多地轉向進攻,并以“前所未有”的深度將潛在的惡意軟件安置于俄羅斯系統內。美國政要并未就報道作出回應,但看完報道的特朗普卻十分惱怒,他隨即在推特上發推文回懟,稱《紐約時報》的報道是假的,并稱其做法“簡直是叛國行徑,是人民的敵人!”。

原文鏈接:
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

2、AMCA數據泄露波及人數超過2000萬,5家公司受影響



美國醫療企業賬單服務商AMCA的數據泄露事件現已波及超過2000萬患者。泄露的數據屬于美國各個臨床和血液檢測實驗室的患者,包括他們的姓名、家庭住址、電話號碼、出生日期、社會安全號碼、支付卡詳細信息和銀行賬戶信息等。受影響的實驗室包括Quest Diagnostics(波及1190萬患者)、LabCorp(770萬患者)、BioReference實驗室(Opko Health子公司,422600名患者)、Carecentrix(50萬名患者)和Sunrise Laboratories(未公開患者數)。

原文鏈接:
https://www.zdnet.com/article/amca-data-breach-has-now-gone-over-the-20-million-mark/

3、Equifax數據泄露影響美國多個政府機構的身份驗證流程



美國政府問責辦公室(GAO)的新報告指出,2017年Equifax的數據泄露事件影響了多個政府機構的在線身份驗證流程。受影響的機構包括醫療保險和醫療補助服務中心(CMS)、社會保障管理局(SSA)、美國郵政服務(USPS)和退伍軍人事務部(VA)。美國公民在這些政府機構官網申請福利時,依賴于Equifax等信用報告機構(CRA)提供的數據作為申請人身份的證明,由于黑客也擁有這些數據,使得這一過程不再可信。2017年美國國家標準與技術研究院(NIST)建議用其他解決方案替換基于CRA的在線身份證明,但GAO發現上述機構仍在使用舊的CRA數據庫進行在線身份識別驗證。

原文鏈接:
https://www.zdnet.com/article/equifax-breach-impacted-the-online-id-verification-process-at-many-us-govt-agencies/

4、Firefox緊急修復RCE 0day(CVE-2019-11707)



Mozilla發布Firefox 67.0.3和Firefox ESR 60.7.1,用于緊急修復可導致RCE的0day(CVE-2019-11707)。該漏洞由Google Project Zero團隊發現并報告,是一個類型混淆漏洞,漏洞表述為:由于Array.pop中的問題,操作JavaScript對象時可能會觸發漏洞,導致可利用的崩潰。該漏洞已在野外被利用,建議用戶盡快更新。

原文鏈接:
https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/

5、加拿大金融機構Desjardins泄露約290萬會員的敏感信息



Desjardins是北美地區最大的信用社,也是加拿大最大的合作金融集團。根據該公司的新聞稿,約290萬會員的敏感信息在員工未經授權向公司外部人員披露后泄露,其中包括270萬名個人會員和17.3萬企業會員。Desjardins于2019年6月14日發現泄露事件,泄露的信息包括個人會員的姓名、出生日期、社會保險號碼、地址、電話號碼、電子郵件地址以及銀行和Desjardins產品的詳細信息;企業會員的公司名稱、地址、電話號碼、所有者姓名和AccèsDAffaires帳戶名稱以及與AccèsDAffaires帳戶相關的一些個人信息。

原文鏈接:
https://www.bleepingcomputer.com/news/security/desjardins-group-data-leak-exposes-info-of-29-million-members/
上一篇 下一篇