首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第43周

發布時間 2019-11-04

>本周安全態勢綜述



2019年10月28日至11月03日共收錄安全漏洞47個,值得關注的是Apple WebKit CVE-2019-8812內存破壞任意代碼執行漏洞; MikroTik RouterOS NPK目錄遍歷漏洞;rConfig ‘rootUname’參數命令注入漏洞;ZTE 9000E CVE-2019-3425賬戶密碼更改漏洞;Apache Thrift越界讀漏洞。


本周值得關注的網絡安全事件是我國通過《密碼法》,將于2020年1月1日起實行;英國NCSC發布2019年網絡安全年度報告;格魯吉亞遭遇大規模網絡攻擊,波及1.5萬個網站;Pwn2Own黑客大賽首次涉及工業控制系統;我國多個重要單位被境外APT黑客組織攻陷。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. Rittal Chiller SK 3232-Series未授權訪問漏洞
Rittal Chiller SK 3232-Series WEB接口存在安全漏
1. Apple WebKit CVE-2019-8812內存破壞任意代碼執行漏洞
Apple WebKit處理WEB內容存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的頁面請求,誘使用戶解析,可進行拒絕服務攻擊或者執行任意代碼。
https://support.apple.com/zh-cn/HT210726

2. MikroTik RouterOS NPK目錄遍歷漏洞
MikroTik RouterOS處理升級包名字字段漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可進行目錄遍歷攻擊,安裝惡意包獲取權限。
https://zh-cn.tenable.com/security/research/tra-2019-46?tns_redirect=true

3. rConfig ‘rootUname’參數命令注入漏洞
rConfig ‘rootUname’參數處理沒有經過輸入校驗,允許遠程攻擊者可以利用漏洞提交特殊的請求,以應用程序上下文執行任意OS命令。
https://drive.google.com/file/d/1bTpTn4-alJ8qGCEATLq-oVM6HbhE65iY/view?usp=sharing

4. ZTE 9000E CVE-2019-3425賬戶密碼更改漏洞
ZTE 9000E存在設計漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,直接設置更改其它賬戶的密碼。
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1011682

5. Apache Thrift越界讀漏洞
Apache Thrift使用TJSONProtocol或 TSimpleJSONProtocol存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。
http://mail-archives.apache.org/mod_mbox/thrift-dev/201910.mbox/%3C277A46CA87494176B1BBCF5D72624A2A%40HAGGIS%3E


>重要安全事件綜述



1、我國通過《密碼法》,將于2020年1月1日起實行


十三屆全國人大常委會第十四次會議26日表決通過《中華人民共和國密碼法》,將自2020年1月1日起施行。密碼法旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,提升密碼管理科學化、規范化、法治化水平,是我國密碼領域的綜合性、基礎性法律。密碼法共五章四十四條,將密碼分為核心密碼、普通密碼和商用密碼,并對相關制度、法律責任及職權部門進行了規定。

原文鏈接:
http://www.xinhuanet.com/politics/2019-10/26/c_1125156896.htm


2、英國NCSC發布2019年網絡安全年度報告



根據英國國家網絡安全中心(NCSC)發布的2019網絡安全年度報告,2018年9月1日至2019年8月31日期間NCSC共阻止了600多起網絡攻擊事件,其中大多數攻擊是由海外攻擊者發起的。該報告指出,大多數攻擊針對政府機構、大學、信息技術、醫療保健和運輸等行業。NCSC還警告了56家銀行有關ATM盜竊威脅。該報告中稱俄羅斯、中國、伊朗和朝鮮繼續對英國構成戰略性國家安全威脅。

原文鏈接:
https://securityaffairs.co/wordpress/93015/intelligence/ncsc-report-cyber-attacks.html

3、格魯吉亞遭遇大規模網絡攻擊,波及1.5萬個網站



當地時間10月28日,格魯吉亞遭遇史上最大規模的網絡攻擊,在此期間超過1.5萬個網站受到攻擊并離線,各種政府機構、銀行、法院、當地報紙和電視臺的網站都受到影響。該事件與本地網絡托管服務提供商Pro-Service被黑客入侵有關,攻擊發生在當地早晨,到晚上8點時工作人員已經恢復了受損站點的一半以上。黑客在被入侵的網站上發布了被流放的前總統Mikheil Saakashvili的照片,并寫上“我會回來!”的信息。當地執法機構正在對此事件進行調查。 


原文鏈接:

https://www.zdnet.com/article/largest-cyber-attack-in-georgias-history-linked-to-hacked-web-hosting-provider/

4、Pwn2Own黑客大賽首次涉及工業控制系統



Pwn2Own黑客大賽將提供超過25萬美元的獎勵,以鼓勵挖掘ICS和相關協議漏洞。該活動將于明年(1月21日至1月23日)在邁阿密S4會議期間舉辦?!昂推渌傎愐粯?,Pwn2Own試圖通過揭示漏洞并將研究結果提供給供應商來強化這些平臺”,Pwn2Own組織者、ZDI發起人Brian Gorenc在周一的帖子中表示,“Pwn2Own的目標始終是在攻擊者積極利用之前修復這些漏洞”。Pwn2Own Miami為五個ICS類別的漏洞提供了各種獎勵,包括控制服務器解決方案、OPC服務器、DNP3通信協議、HMI/操作員站和工程工作站軟件。


原文鏈接:

https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/

5、我國多個重要單位被境外APT黑客組織攻陷


10月30日消息,一昵稱為@MisterCh0c的推特用戶發布消息稱,發現了一款木馬控制平臺的登錄地址http://lmhostsvc[.]net/healthne/login.php。此后,其他推特用戶發帖曝光該后臺至少記錄了12臺被控主機的IP地址、計算機名、用戶名、操作系統、被控時間及最后一次上線時間等信息,在曝光的被控主機中,有9個屬于中國。該后臺所有者是印度政府背景的APT組織Bitter(又名“蔓靈花”),這是一個長期針對中國、巴基斯坦等國家的政府、軍工、電力、核等部門發動網絡攻擊的APT團伙。這9個屬于中國的IP地址主要涉及北京、上海、浙江、廣西等地,該平臺還具備下發木馬插件的功能,可對受控主機實施進一步操作。

原文鏈接:
http://tech.ifeng.com/c/7rCKq4uSCJl
上一篇 下一篇