首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第42周

發布時間 2019-10-28

>本周安全態勢綜述



2019年10月21日至27日共收錄安全漏洞43個,值得關注的是Rittal Chiller SK 3232-Series未授權訪問漏洞; Xiaomi Mi WiFi R3G命令注入漏洞;Google Chrome Blink CVE-2019-13700緩沖區溢出漏洞;PHP fpm_main.c env_path_info下溢遠程代碼執行漏洞;Fortinet FortiMail web console不正確訪問控制漏洞。


本周值得關注的網絡安全事件是研究人員披露存在4年的Linux Wi-Fi緩沖區溢出漏洞;Avast遭黑客入侵,攻擊者試圖向CCleaner注入惡意代碼;趨勢科技ATTK工具包存在任意代碼執行漏洞;CyberX發布全球物聯網/ICS風險報告(2020版);Avast、AVG和Avira殺毒軟件存在DLL劫持漏洞。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. Rittal Chiller SK 3232-Series未授權訪問漏洞
Rittal Chiller SK 3232-Series WEB接口存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,未授權更改配置,打開或關閉制冷設備。
https://www.us-cert.gov/ics/advisories/icsa-19-297-01

2. Xiaomi Mi WiFi R3G命令注入漏洞
Xiaomi Mi WiFi R3G備份文件上傳處理存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意OS命令。
https://github.com/UltramanGaia/Xiaomi_Mi_WiFi_R3G_Vulnerability_POC/blob/master/remote_command_execution_vulnerability.py

3. Google Chrome Blink CVE-2019-13700緩沖區溢出漏洞
Google Chrome Blink存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或者執行任意代碼。
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html

4. PHP fpm_main.c env_path_info下溢遠程代碼執行漏洞
在使用Nginx + php-fpm服務器時,fastcgi_split_path_info處理%0a時遇到換行符 \n 導致PATH_INFO為空。而php-fpm在處理 PATH_INFO為空的情況下,存在邏輯缺陷,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。
https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

5. Fortinet FortiMail web console不正確訪問控制漏洞
Fortinet FortiMail web console存在不正確訪問控制漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,提升權限。
https://fortiguard.com/psirt/FG-IR-19-237


>重要安全事件綜述



1、研究人員披露存在4年的Linux Wi-Fi緩沖區溢出漏洞



Github首席安全工程師Nico Waisman發現Linux rtlwifi驅動程序中存在一個具有4年歷史的嚴重漏洞(CVE-2019-17666),攻擊者可利用該漏洞入侵易受攻擊的系統。rtlwifi驅動程序用于允許Realtek Wi-Fi模塊與Linux系統進行通信,攻擊者可能利用長度不正確的數據包觸發緩沖區溢出,使得Linux崩潰或是遠程執行代碼。據稱該漏洞影響了Linux版本5.3.6,該問題自從2015年以來就一直存在。Linux內核團隊已經開發了一個正在修訂的修復補丁,但該補丁尚未包含在Linux內核中。

原文鏈接:
https://threatpost.com/critical-linux-wi-fi-bug-system-compromise/149325/

2、Avast遭黑客入侵,攻擊者試圖向CCleaner注入惡意代碼


Avast披露其內部網絡遭黑客入侵,攻擊者的目的似乎在于向CCleaner中注入惡意代碼(類似于2017年的攻擊)。Avast專家于9月23日發現了這一攻擊事件,黑客通過入侵一個臨時VPN賬戶訪問了公司的內部網絡,該賬戶沒有域管理員權限,但黑客成功進行了提權。對攻擊者使用的外部IP的分析顯示,攻擊者早在5月14日就一直試圖通過VPN來訪問內網。Avast對攻擊活動進行了監控,直到10月15日才關閉該臨時VPN賬戶。目前尚無法確認該攻擊是否與2017年發生的攻擊存在關聯。Avast在對CCleaner進行審查之后重新發布了更新。

原文鏈接:
https://www.bleepingcomputer.com/news/security/hackers-breach-avast-antivirus-network-through-insecure-vpn-profile/

3、趨勢科技ATTK工具包存在任意代碼執行漏洞



研究人員發現趨勢科技防威脅工具包(ATTK)存在一個任意代碼執行漏洞(CVE-2019-9491),攻擊者可利用此漏洞在目標Windows系統上運行惡意軟件。根據趨勢科技發布的安全公告,如果惡意軟件作者湊巧將惡意軟件命名為cmd.exe或regedit.exe,那么ATTK將會加載并運行該exe文件。由于ATTK是由經過驗證的發行方簽名的,因此可繞過任何MOTW安全警告,攻擊者甚至可以將ATTK作為一種持久性機制。趨勢科技現已將所有ATTK 更新至1.62.0.1223版本,但尚未公布技術細節。 


原文鏈接:

https://securityaffairs.co/wordpress/92818/hacking/trend-micro-anti-threat-toolkit-flaw.html

4、CyberX發布全球物聯網/ICS風險報告(2020版)



根據CyberX的《全球物聯網/ICS風險報告》2020版,許多工業企業中仍然存在過時的操作系統,這帶來了嚴重的風險。該報告是基于全球1800多個工業企業環境中從2018年10月至2019年10月之間收集的數據。調查對象中有62%的設備運行的是過時且不受支持的Windows版本(例如Windows XP和2000),如果把即將在2020年1月停止支持的Windows 7計算在內,則這一數字上升至71%。CyberX還發現,在64%的情況下企業在網絡傳輸中未對密碼進行加密,這使得攻擊者更容易截獲密碼。


原文鏈接:

https://www.securityweek.com/outdated-oss-still-present-many-industrial-organizations-report

5、Avast、AVG和Avira殺毒軟件存在DLL劫持漏洞



SafeBreach Labs安全研究人員發現Avast、AVG和Avira殺毒軟件存在DLL劫持漏洞,可允許攻擊者加載惡意DLL文件以繞過檢測和提權。該漏洞(CVE-2019-17093)影響了版本19.8以下的所有Avast和AVG殺毒軟件,漏洞原因是AVGSvc.exe試圖在啟動時加載DLL,但它在錯誤的文件夾中搜索文件(例如C:\Program Files\System32\),使得攻擊者可以將同名DLL放入該文件夾中從而導致該DLL被以SYSTEM特權加載。研究人員在Avira Antivirus 2019中發現了類似的問題(CVE-2019-17449)。

原文鏈接:
https://www.securityweek.com/avast-avira-products-vulnerable-dll-hijacking

上一篇 下一篇