首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第48周

發布時間 2019-12-09

>本周安全態勢綜述


2019年12月02日至08日共收錄安全漏洞48個,值得關注的是Google Kubernetes API重定向漏洞; D-Link DAP-1860命令注入代碼執行漏洞;OpenBSD驗證繞過漏洞;Apache Olingo AbstractService ObjectInputStream反序列化代碼執行漏洞;Mozilla Firefox ESR worker destruction內存錯誤引用漏洞。


本周值得關注的網絡安全事件是歐洲網絡安全局發布海事部門網絡安全指南;Android漏洞StrandHogg可偽裝成任意應用;GoAhead Web服務器RCE漏洞影響大量IoT設備;Autodesk、趨勢科技及卡巴斯基曝DLL劫持漏洞;PCI SSC發布非接觸式支付的新數據安全標準。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Google Kubernetes API重定向漏洞


Google Kubernetes API server沒有正確驗證URL的重定向,允許遠程攻擊者可以利用漏洞提交特殊的請求,將API服務器請求重定向到任意主機。

https://github.com/kubernetes/kubernetes/issues/85867


2. D-Link DAP-1860命令注入代碼執行漏洞


D-Link DAP-1860 HNAP_TIME和SOAPAction存在命令注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/


3. OpenBSD驗證繞過漏洞


OpenBSD驗證系統存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求用戶名,如"-option"或"-schallenge",繞過安全限制,未授權訪問系統。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html


4. Apache Olingo AbstractService ObjectInputStream反序列化代碼執行漏洞


Apache Olingo AbstractService ObjectInputStream存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E


5. Mozilla Firefox ESR worker destruction內存錯誤引用漏洞


Mozilla Firefox ESR worker destruction存在內存錯誤引用兩次釋放漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

https://www.auscert.org.au/bulletins/ESB-2019.4555/


>重要安全事件綜述


1、歐洲網絡安全局發布海事部門網絡安全指南


歐洲網絡安全局(ENISA)以《港口網絡安全-海事部門網絡安全實踐》為題發布了海事部門網絡安全指南,為港口生態系統尤其是港口當局和碼頭運營商中的CIO和CISO制定網絡安全策略提供指導和幫助。該指南列出了港口生態系統面臨的主要威脅,并描述了可能對港口生態系統造成影響的關鍵網絡攻擊場景。該指南為終端保護和生命周期管理、漏洞管理、人力資源安全、供應鏈管理等設計了安全措施。


原文鏈接:

https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector/


2、Android漏洞StrandHogg可偽裝成任意應用



Promon安全研究人員發現一個新的Android漏洞StrandHogg,該漏洞允許惡意應用偽裝成任意合法應用。該漏洞利用了Android的多任務處理功能,當用戶點擊一個正常應用的圖標時,惡意應用可以利用該漏洞攔截指令并向用戶顯示一個虛假的界面,從而誘導用戶授予各種權限。研究人員已經發現了36個正在積極利用此漏洞的惡意應用,包括銀行木馬BankBot。研究人員稱該漏洞的影響范圍非常大,因為默認情況下大多數應用都易受攻擊,而且目前沒有可靠的方法來探測或阻止這種攻擊。谷歌尚未在任何版本的Android上修復此問題。


原文鏈接:

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/


3、GoAhead Web服務器RCE漏洞影響大量IoT設備



思科Talos的安全專家在GoAhead嵌入式Web服務器中發現了兩個漏洞,其中包括一個關鍵的遠程代碼執行漏洞(CVE-2019-5096)。該漏洞與GoAhead處理multi-part/form-data請求的方式有關,未經身份驗證的攻擊者可利用該漏洞觸發use-after-free,并通過發送惡意HTTP請求在服務器上執行任意代碼。第二個漏洞(CVE-2019-5097)存在于同一組件中,可導致拒絕服務攻擊。受影響的版本包括v5.0.1、v.4.1.1和v3.6.5。根據Shodan的搜索結果,暴露在公網上的GoAhead服務器數量已超過130萬。


原文鏈接:

https://thehackernews.com/2019/12/goahead-web-server-hacking.html


4、Autodesk、趨勢科技及卡巴斯基曝DLL劫持漏洞



SafeBreach Labs研究人員披露Autodesk、趨勢科技和卡巴斯基軟件中的DLL劫持漏洞。趨勢科技安全軟件16.0.1221及以下版本受到CVE-2019-15628影響,該漏洞存在于coreServiceShell.exe組件中。由于未對加載的DLL簽名進行驗證,因此攻擊者可加載和執行任意DLL,導致白名單繞過、獲得持久性、逃避檢測以及潛在的特權升級等。Kaspersky Secure Connection和Autodesk桌面應用也分別受到類似的漏洞CVE-2019-15689和CVE-2019-7365的影響。


原文鏈接:

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/


5、PCI SSC發布非接觸式支付的新數據安全標準



PCI安全標準委員會(PCI SSC)發布了用于非接觸式支付的新數據安全標準。該標準允許帶有NFC的COTS移動設備接受非接觸式支付。PCI CPoC標準是該委員會為解決移動非接觸式支付發布的第二個標準。具體來說,PCI CPoC標準規定了供應商在保護數據、測試要求和評估解決方案方面的一些安全上的要求。標準的CPoC解決方案包括具有嵌入式NFC接口的COTS設備、經驗證的付款軟件以及獨立于COTS設備的后端系統。


原文鏈接:

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

上一篇 下一篇