首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第41周

發布時間 2019-10-21

>本周安全態勢綜述



2019年10月14日至20日共收錄安全漏洞53個,值得關注的是ISC BIND QNAME最小化代碼拒絕服務漏洞;Samsung Galaxy S10未授權訪問漏洞;Kubernetes API Server JSON/YAML解析拒絕服務漏洞;Adobe Experience Manager CVE-2019-8088命令注入漏洞;Adobe Acrobat和Reader內存錯誤引用任意代碼執行漏洞。


本周值得關注的網絡安全事件是航運巨頭Pitney Bowes遭勒索軟件攻擊,多個系統宕機;賽門鐵克終端安全產品的更新導致用戶設備藍屏;Android 0day(CVE-2019-2215)的PoC代碼已發布;數百萬亞馬遜Echo和Kindle設備易受WiFi KRACK攻擊;Linux sudo權限繞過漏洞,可以root權限執行命令。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. ISC BIND QNAME最小化代碼拒絕服務漏洞
ISC BIND QNAME最小化代碼處理存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使named退出,造成拒絕服務攻擊。
https://kb.isc.org/docs/cve-2019-6476

2. Samsung Galaxy S10未授權訪問漏洞
Samsung Galaxy S10指紋驗證存在安全漏洞,允許攻擊者可以利用漏洞提交未錄入指紋,可訪問手機。
https://www.forbes.com/sites/gordonkelly/2019/10/15/samsung-galaxy-s10-note10-plus-fingerprint-reader-warning-upgrade-galaxy-s11

3. Kubernetes API Server JSON/YAML解析拒絕服務漏洞
Kubernetes API Server JSON/YAML解析存在安全漏洞,允許通過授權的遠程攻擊者利用漏洞提交特殊的惡意請求,可進行拒絕服務攻擊。
https://github.com/kubernetes/kubernetes/issues/83253

4. Adobe Experience Manager CVE-2019-8088命令注入漏洞
Adobe Experience Manager命令注入漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意命令。
https://helpx.adobe.com/security/products/experience-manager/apsb19-48.html

5. Adobe Acrobat和Reader內存錯誤引用任意代碼執行漏洞
Adobe Acrobat和Reader存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的PDF文件,誘使用戶解析,可使應用程序崩潰或執行任意代碼。
https://helpx.adobe.com/security/products/acrobat/apsb19-49.html


 >重要安全事件綜述



1、航運巨頭Pitney Bowes遭勒索軟件攻擊,多個系統宕機



全球航運巨頭Pitney Bowes宣布遭遇勒索軟件攻擊,導致部分系統中斷,從而影響了客戶對其某些服務的訪問。Pitney Bowes為全球超過150萬客戶提供服務,包括90%的財富500強公司。目前有多個Pitney Bowes服務受到影響,包括Pitney Bowes的郵件系統產品??蛻魺o法在其郵件系統上補充郵資或上傳交易,也無法訪問英國和加拿大的SendPro Online產品及Your Account和Pitney Bowes Supplies網上商店,這反過來又影響了訂閱AutoInk和Supplies App的客戶。該公司在聲明中表示,目前沒有證據表明客戶或員工的數據被不當訪問,該公司正在與第三方合作進行調查與解決問題。

原文鏈接:
https://www.bleepingcomputer.com/news/security/global-shipping-firm-pitney-bowes-affected-by-ransomware-attack/

2、賽門鐵克終端安全產品的更新導致用戶設備藍屏



賽門鐵克為其Endpoint Protection產品推出的入侵檢測簽名更新導致用戶設備出現崩潰并顯示藍屏(BSOD)。該問題影響了Win 7、Win8及Win 10,根據賽門鐵克的表述,在運行LiveUpdate時Endpoint Protection Client會顯示死亡藍屏,并顯示IDSvix86.sys/IDSvia64.sys出現問題,導致BAD_POOL_CALLER (c2)或KERNEL_MODE_HEAP_CORRUPTION (13A)異常。該公司還補充稱受影響的入侵檢測的簽名版本為2019/10/14 r61,該問題已在新版本2019/10/14 r62中解決。

原文鏈接:
https://www.bleepingcomputer.com/news/security/symantec-fixes-bad-ips-definitions-that-cause-a-windows-bsod/

3、Android 0day(CVE-2019-2215)的PoC代碼已發布


本月初谷歌安全研究員Maddie Stone披露了一個Android零日漏洞(CVE-2019-2215),當時谷歌表示該零日漏洞在野外被積極利用。近日佛羅里達大學Grant Hernandez在博客中發布了一個新的PoC工具Qu1ckR00t,攻擊者可利用該工具獲得root權限并完全控制設備。該工具沒有作為打包的APK文件發布,而是以源代碼的形式在GitHub上發布。Hernandez表示他只在Pixel 2手機上測試過Qu1ckR00t,并警告沒有經驗的用戶不要測試該代碼,否則會有系統變磚和數據丟失的風險。Google已在2019年10月的Android安全公告(安全補丁程序級別2019-10-06)中修補了CVE-2019-2215 。為了避免出現問題,建議用戶安裝必要的補丁程序。


原文鏈接:

https://www.zdnet.com/article/security-researcher-publishes-proof-of-concept-code-for-recent-android-zero-day/

4、數百萬亞馬遜Echo和Kindle設備易受WiFi KRACK攻擊



根據ESET的一份報告,研究人員發現Amazon Echo 1st和Amazon Kindle 8th設備仍然受到WiFi KRACK漏洞的影響,這可能影響數百萬設備。KRACK漏洞是WPA2協議4次握手中的漏洞(CVE-2017-13077和CVE-2017-13078),該漏洞于2017年10月被公開。根據ESET的表述,這些漏洞可能允許攻擊者執行DoS攻擊、破壞網絡通信或重播攻擊,攔截和解密用戶傳輸的密碼或會話等敏感信息,偽造數據包甚至注入新數據包等。ESET于2018年10月23日通知了亞馬遜,亞馬遜在2019年1月已向受影響的設備推送了相關修復補丁。


原文鏈接:

https://www.bleepingcomputer.com/news/security/millions-of-amazon-echo-and-kindle-devices-affected-by-wifi-bug/

5、Linux sudo權限繞過漏洞,可以root權限執行命令



Linux sudo曝出提權漏洞,可繞過Runas用戶限制以root權限執行命令。該漏洞(CVE-2019-14287)由蘋果信息安全部門的Joe Vennix發現,如果將sudo配置為允許用戶以任意用戶身份運行命令,則可以通過指定用戶ID為-1或4294967295的方式以root身份運行命令。這是因為將用戶ID轉換為用戶名的函數,會將-1(或等效的4294967295)誤認為0,而這正好是root用戶的User ID。此外,由于通過-u選項指定的User ID在密碼數據庫中不存在,因此不會運行任何PAM會話模塊。該漏洞影響版本1.8.28之前的所有Sudo版本。

原文鏈接:
https://www.sudo.ws/alerts/minus_1_uid.html
上一篇 下一篇