首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第44周

發布時間 2019-11-12

>本周安全態勢綜述


2019年11月04日至10日共收錄安全漏洞46個,值得關注的是Fuji Electric V-Server CVE-2019-18240緩沖區溢出漏洞; Cisco Small Business RV016, RV042, RV042G, RV082 CVE-2019-15271任意命令執行漏洞;TYPO3配置變量fileDenyPattern任意代碼執行漏洞;Atlassian Jira Service Desk Server目錄遍歷漏洞;Aruba Networks ClearPass Policy Manager數據庫憑證泄露漏洞。


本周值得關注的網絡安全事件是俄羅斯“主權互聯網”法律生效,可與全球互聯網斷開;黑客可利用激光入侵Google智能語音助手;Libarchive代碼執行漏洞影響Linux及BSD發行版;趨勢科技內部員工竊取超過12萬用戶信息并出售;2019年秋季釣魚攻擊活動增長至三年來最高記錄。


根據以上綜述,本周安全威脅為中。



>重要安全漏洞列表


1. Fuji Electric V-Server CVE-2019-18240緩沖區溢出漏洞


Fuji Electric V-Server存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://www.us-cert.gov/ics/advisories/icsa-19-311-02


2. Cisco Small Business RV016, RV042, RV042G, RV082 CVE-2019-15271任意命令執行漏洞


Cisco RV016 Multi-WAN VPN Router沒有對HTTP payload進行輸入驗證處理,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意OS命令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x


3. TYPO3配置變量fileDenyPattern任意代碼執行漏洞


TYPO3配置變量fileDenyPattern值處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,執行任意代碼。

https://typo3.org/security/advisory/typo3-sa-2010-012


4. Atlassian Jira Service Desk Server目錄遍歷漏洞


Atlassian Jira Service Desk Server存在目錄遍歷漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文讀取系統文件內容。

https://jira.atlassian.com/browse/JSDSERVER-6589


5. Aruba Networks ClearPass Policy Manager數據庫憑證泄露漏洞


Aruba Networks ClearPass Policy Manager存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,獲取數據庫憑證。

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-010.txt



>重要安全事件綜述


1、俄羅斯“主權互聯網”法律生效,可與全球互聯網斷開



俄羅斯“主權互聯網”法律在上周五生效,這將使俄羅斯政府能夠將該國與全球互聯網斷開連接。這項法律由普京總統在5月份簽署,要求ISP安裝當局提供的技術設備以進行流量檢查,這可能為大規模監視打開了大門。根據俄羅斯政府的說法,該法律旨在確保即使斷開與全球互聯網的連接也可以訪問俄羅斯站點,以應對由網絡攻擊或安全事件導致的中斷。該法律將使俄羅斯當局能夠審查在線內容并監視網民。


原文鏈接:

https://securityaffairs.co/wordpress/93315/laws-and-regulations/russia-controversial-law-russia.html


2、黑客可利用激光入侵Google智能語音助手



近期,日本電子通信大學和密歇根大學的研究人員發現可通過激光入侵谷歌、蘋果和亞馬遜的智能語音設備。這種被稱為“光命令”的攻擊可通過向使用微機電系統(MEMS)的麥克風上發射激光束實現,通過調制光束的強度,可以誘騙MEMS產生與音頻命令相同的電信號,最遠甚至可以從110米外攻擊。受影響的設備包括谷歌Home、Nest Cam、亞馬遜Echo、Fire Cube TV、iPhone、三星Galaxy S9、谷歌Pixel和iPad。研究人員證明該攻擊甚至可以打開車庫門或解鎖房屋門。


原文鏈接:

https://www.bleepingcomputer.com/news/security/using-light-beams-to-control-google-apple-amazon-assistants/


3、Libarchive代碼執行漏洞影響Linux及BSD發行版



谷歌安全研究人員在Libarchive中發現一個代碼執行漏洞(CVE-2019-18408),攻擊者可誘使用戶打開惡意存檔文件在其系統上執行代碼。Debian、Ubuntu、Gentoo、Arch Linux以及FreeBSD和NetBSD發行版均受影響,但Windows和macOS不受影響。Libarchive團隊在新版本3.4.0中修復了該漏洞,目前尚未在野外發現該漏洞的PoC或利用代碼。


原文鏈接:

https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/


4、趨勢科技內部員工竊取超過12萬用戶信息并出售



趨勢科技內部員工竊取公司客戶信息并將其出售給第三方詐騙團伙。在客戶遭到技術支持詐騙后,趨勢科技展開調查并發現該員工非法訪問了客戶支持數據庫??赡鼙桓`的信息包括客戶的姓名、電子郵件地址、技術支持單號以及電話號碼,但該公司強調沒有跡象表明財務或信用卡信息被竊,并且沒有涉及到企業或政府客戶。根據其內部調查,受影響的客戶只占趨勢科技1200萬客戶群的不到1%,即12萬。


原文鏈接:

https://www.bleepingcomputer.com/news/security/trendmicro-employee-sold-customer-info-to-tech-support-scammers/


5、2019年秋季釣魚攻擊活動增長至三年來最高記錄



根據APWG的統計數據,2019年秋季網絡釣魚攻擊增長至三年來的最高記錄。在2019年7月至9月期間檢測到的釣魚網站總數為266387,比2019年第二季度的182465增長了46%,幾乎是2018年第四季度的138328的兩倍。除了釣魚網站數量的增加之外,2019年第三季度受釣魚攻擊的品牌數量也明顯增長,平均每月有400多個品牌受到攻擊,而第二季度為313個。


原文鏈接:

https://www.helpnetsecurity.com/2019/11/07/phishing-attacks-levels-rise/

上一篇 下一篇