首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第37周

發布時間 2019-09-23

> 本周安全態勢綜述


2019年9月16日至22日共收錄安全漏洞43個,值得關注的是Fastjson<=1.2.60遠程代碼執行漏洞;e-cology遠程代碼執行漏洞;CODESYS V3 Web Server棧溢出漏洞;VMware ESXi 'busybox'命令注入漏洞;Schneider Electric BMXNOR0200H Ethernet/Serial RTU module拒絕服務漏洞。


本周值得關注的網絡安全事件是厄瓜多爾大部分公民隱私泄露,包含670萬兒童信息;獅子航空公司數千萬用戶記錄在暗網泄露;MITRE發布2019年CWE最危險軟件錯誤列表Top25;AMD Radeon驅動程序被曝存在虛擬機逃逸漏洞;三星和LG智能設備將用戶敏感數據發送到合作公司。


根據以上綜述,本周安全威脅為中。



> 重要安全漏洞列表


1. Fastjson<=1.2.60遠程代碼執行漏洞


Fastjson存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a


2. e-cology遠程代碼執行漏洞


e-cology BeanShell組件存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意命令。

https://help.aliyun.com/noticelist/articleid/1060057523.html?spm=5176.2020520154.sas.20.36a91e43Zt9Vx7


3. CODESYS V3 Web Server棧溢出漏洞


CODESYS V3 Web Servers存在棧溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼或使應用程序崩潰。

https://www.codesys.com/fileadmin/data/customers/security/2019/Advisory2019-06_CDS-64543.pdf


4. VMware ESXi 'busybox'命令注入漏洞


VMware ESXi 'busybox'處理文件名存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意命令。

https://www.vmware.com/security/advisories/VMSA-2019-0013.html


5. Schneider Electric BMXNOR0200H Ethernet/Serial RTU module拒絕服務漏洞


Schneider Electric BMXNOR0200H Ethernet/Serial RTU module處理大量IEC 60870-5-104報文存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰。

https://www.schneider-electric.com/en/download/document/SEVD-2019-225-03/



 > 重要安全事件綜述


1、厄瓜多爾大部分公民隱私泄露,包含670萬兒童信息



研究人員發現一家當地公司Novaestrat的Elasticsearch服務器暴露了厄瓜多爾大多數公民的隱私信息。厄瓜多爾的人口基數為1660萬,而該數據庫包含近2080萬條用戶記錄,超過了該國的人口數據,其原因是數據庫中包含一些重復記錄和死亡公民的記錄。泄露的數據包含姓名、家庭成員/家族樹、公民注冊數據、財務及工作信息、車輛信息等。數據庫中還包含政府員工信息和677萬兒童信息,以及700萬條財務記錄和250萬條車輛記錄。


原文鏈接:

https://www.zdnet.com/article/database-leaks-data-on-most-of-ecuadors-citizens-including-6-7-million-children/


2、獅子航空公司數千萬用戶記錄在暗網泄露



獅子航空旗下兩家航空公司的數千萬條旅客記錄在暗網論壇上泄露。這些數據存儲在可公開訪問的Amazon存儲桶中,共有兩個數據庫,一個包含2100萬條記錄,另一個包含1400萬條記錄,該目錄下還包含2019年5月份創建的備份文件,主要屬于Malindo Air和Thai Lion Air。另一個備份文件的名稱是Batik Air,該公司的母公司也是獅子航空。泄露的信息包括旅客的預訂ID、居住地址、電話號碼、郵箱地址、姓名、出生日期、護照號碼和到期日期等。目前還不清楚這些數據首次泄露的時間,但據稱至少從8月10日起該數據庫已在論壇上流通。


原文鏈接:

https://www.bleepingcomputer.com/news/security/millions-of-lion-air-passenger-records-exposed-and-exchanged-on-forums/


3、MITRE發布2019年CWE最危險軟件錯誤列表Top25



非營利組織MITER發布2019年最危險的軟件漏洞和錯誤列表Top25。根據MITRE,最危險的軟件錯誤是CWE-119,它被描述為“對內存緩沖區邊界內操作的不正確限制”,即緩沖區溢出導致的越界讀或寫。排在第二位的是CWE-79,被描述為“網頁生成期間輸入造成的不正確反應”,即XSS攻擊。第三名則是CWE-20,即“不正確的輸入驗證”。該列表是基于MITER數據庫中的CVE數據及NVD數據庫和CVSS獲得的信息,總共有大約2.5萬個CVE提供了源數據。完整列表請參考以下鏈接。


原文鏈接:

https://www.zdnet.com/article/these-software-vulnerabilities-top-mitres-most-dangerous-list-in-2019/


4、AMD Radeon驅動程序被曝存在虛擬機逃逸漏洞




思科Talos披露AMD ATI Radeon ATIDXX64.DLL驅動程序中的虛擬機逃逸漏洞。該漏洞存在于AMD Radeon RX 550及550系列顯卡中,并且只能在運行VMWare Workstation 15時觸發。研究人員解釋稱,可在VMware虛擬機系統中通過惡意像素著色器在AMD ATIDXX64.DLL驅動程序中觸發內存越界寫入,這可能會觸發VMware來賓模式的漏洞,從而在宿主機上執行代碼。該漏洞影響了ATIDXX64.DLL驅動程序版本25.20.15031.5004和25.20.15031.9002。該漏洞(CVE-2019-5049)的CVSS評分為9.0。


原文鏈接:

https://threatpost.com/amd-radeon-cards-vmware-workstations/148406/


5、三星和LG智能設備將用戶敏感數據發送到合作公司



研究人員發現即使是在設備閑置時,三星、LG和Roku等公司的智能電視也會向合作的科技公司發送敏感的用戶數據。根據兩個團隊的獨立研究,智能電視的OTT平臺會將用戶的敏感數據泄露給Facebook、亞馬遜、谷歌和Netflix等公司。第一份報告研究了81臺設備,發現有72臺設備將數據發送到非制造商的其它公司。第二份報告發現從智能電視發送的數據也與谷歌和Facebook管理的跟蹤器有關,研究人員稱89%的Amazon Fire TV頻道和69%的Roku頻道都包含用于跟蹤用戶收看習慣和偏好信息的跟蹤器。這些跟蹤器還可以識別設備和使用位置,包括設備序列號和ID、Wi-Fi名稱和MAC地址等。


原文鏈接:

https://threatpost.com/smart-tvs-leak-data/148482/

上一篇 下一篇