首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第30周

發布時間 2019-08-05

> 本周安全態勢綜述



2019年7月29日至8月04日共收錄安全漏洞50個,值得關注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密碼更改命令注入漏洞;Puppet Enterprise PE's express install默認密碼漏洞;Wind River Systems VxWorks IP選項解析緩沖區溢出漏洞;Polycom UC Software上傳文件代碼執行漏洞;cPanel SQL注入漏洞。


本周值得關注的網絡安全事件是紐約通過新數據泄露通知法案,數據監管再次升級;Capital One泄露1.06億用戶信息,嫌疑人已被捕;VxWorks修復11個安全漏洞,影響超過20億臺設備;Amcrest家用攝像頭嚴重漏洞,可允許攻擊者遠程監聽用戶;智利1430萬公民信息泄露,占全國總人口近80%。


根據以上綜述,本周安全威脅為中。



> 重要安全漏洞列表



1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密碼更改命令注入漏洞


Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密碼更改界面更改密碼處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意OS命令。

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=1559026340

2. Puppet Enterprise PE's express install默認密碼漏洞


Puppet Enterprise PE's express install存在默認密碼漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問。
https://puppet.com/security/cve/CVE-2019-10694

3. Wind River Systems VxWorks IP選項解析緩沖區溢出漏洞


Wind River Systems VxWorks IP選項處理存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。
https://www.us-cert.gov/ics/advisories/icsa-19-211-01

4. Polycom UC Software上傳文件代碼執行漏洞


Polycom UC Software上傳文件存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf

5. cPanel SQL注入漏洞


cPanel存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。
https://documentation.cpanel.net/display/CL/58+Change+Log


 > 重要安全事件綜述



1、紐約通過新數據泄露通知法案,數據監管再次升級



紐約州州長Andrew M. Cuomo近日簽署了一項新的數據泄露通知法案,該法案的名稱為“阻止黑客及改進電子數據安全”,即SHIELD法案,旨在保護紐約公民的隱私數據并加強該州的數據泄露政策。該法案擴大了個人信息的范圍,將生物識別信息、電子郵件地址及密碼、安全問題及答案列入其中。該法案還增加了民事處罰,并將通知要求應用于任何擁有紐約公民隱私信息的個人或實體,而不僅僅是在紐約州開展業務的實體。該法案還將提供身份盜竊保護服務寫入法律,要求CRA在發生涉及社會安全號碼的數據泄露后必須向消費者提供合理的保護服務。

原文鏈接:https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/

2、Capital One泄露1.06億用戶信息,嫌疑人已被捕


Capital One確認其系統于3月22日至23日期間遭未授權訪問,導致1.06億用戶的信息泄露,包括交易數據、信用評分、支付歷史、余額以及關聯的銀行賬戶和社會安全號碼。受影響的用戶包括1億美國人和600萬加拿大人。根據相關證據,FBI已經逮捕了嫌疑人Paige Thompson。Capital One表示由于客戶通知、免費的信用監控服務、安全改進成本以及法律費用,這一事件將導致約1億至1.5億美元的成本。

原文鏈接:https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

3、VxWorks修復11個安全漏洞,影響超過20億臺設備



Armis研究人員在VxWorks RTOS中發現11個安全漏洞,這些漏洞影響了航空航天、國防、工業、醫療、汽車、消費電子等領域的20多億臺設備。這些漏洞被統稱為URGENT/11,可允許遠程攻擊者繞過傳統的安全解決方案并完全控制受影響的設備或類似永恒之藍一樣導致大規模的設備中斷,并且無需用戶交互。這些漏洞存在于VxWorks 6.5之后的TCP/IP協議棧中,影響了過去13年來發布的所有VxWorks版本。該公司已經在上個月發布了修復補丁,但這些補丁通過設備廠商到達消費者可能還需要一定的時間。

原文鏈接:https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

4、Amcrest家用攝像頭嚴重漏洞,可允許攻擊者遠程監聽用戶




安全廠商Tenable發現Amcrest IP2M-841B家用攝像頭存在一個嚴重漏洞,可允許攻擊者通過HTTP遠程監聽攝像頭的音頻輸入。該漏洞被標記為CVE-2019-3948,影響了攝像頭固件版本V2.520.AC00.18.R,并且無需身份驗證即可利用。此外,該產品也易受身份驗證繞過漏洞(CVE-2017-7927)攻擊。Amcrest已經發布相關修復補丁。


原文鏈接:https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/

5、智利1430萬公民信息泄露,占全國總人口近80%



Wizcase研究團隊發現一個Elasticsearch數據庫暴露了超過1430萬智利公民的選舉信息,占該國總人口的近80%。這些信息包括姓名、家庭住址、性別、年齡和納稅號碼。智利選舉服務Servel的發言人確認了這些數據的真實性,但否認該服務器屬于他們。該發言人表示這些信息對應于2017年的數據,可能是第三方從其網站上收集匯總得來。

原文鏈接:https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/

上一篇 下一篇