首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第01周

發布時間 2020-01-06

>本周安全態勢綜述


2019年12月30日至2020年01月05日共收錄安全漏洞50個,值得關注的是Apache Solr Velocity模板代碼注入漏洞; Tencent WeChat用戶名命令注入漏洞;ALE Alcatel-Lucent Omnivista 4760代碼執行漏洞;Nagios XI schedulereport.php SHELL命令注入漏洞;Cisco Data Center Network Manager SOAP API OS命令注入漏洞。


本周值得關注的網絡安全事件是Nagios XI遠程命令執行漏洞(CVE-2019-20197);美法院授權微軟接管朝鮮APT37控制的50個域名;物聯網供應商Wyze意外泄露約240萬客戶信息;愛爾蘭政府發布2019-2024國家網絡安全戰略;星巴克員工上傳API密鑰到GitHub上,可訪問內部系統。


根據以上綜述,本周安全威脅為。


>重要安全漏洞列表


1. Apache Solr Velocity模板代碼注入漏洞


Apache Solr Velocity模板VelocityResponseWriter存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,通過定義一個將該配置設置為 "true" 的響應寫入器來啟用 "parms .resource.loader. loader”,可執行任意代碼。

https://issues.apache.org/jira/browse/SOLR-13971


2. Tencent WeChat用戶名命令注入漏洞


Tencent WeChat解析usernames存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/


3. ALE Alcatel-Lucent Omnivista 4760代碼執行漏洞


ALE Alcatel-Lucent Omnivista實現存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以SYSTEM用戶身份執行代碼。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html


4. Nagios XI schedulereport.php SHELL命令注入漏洞


Nagios XI schedulereport.php存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意SHELL命令。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html


5. Cisco Data Center Network Manager SOAP API OS命令注入漏洞


Cisco Data Center Network Manager SOAP API存在輸入驗證漏洞,允許通過驗證的遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意OS命令并執行。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject


>重要安全事件綜述


1、Nagios XI遠程命令執行漏洞(CVE-2019-20197)



Nagios XI是美國Nagios公司的一套IT基礎設施監控解決方案。該方案支持對應用、服務、操作系統等進行監控和預警。@Cody Sixteen在Twitter發布了有關Nagios XI遠程命令執行漏洞(CVE-2019-20197)的相關信息,該漏洞影響了Nagios XI 5.6.9版本,經過身份驗證的用戶可以通過向schedulereport.php文件發送帶有shell元字符的‘id’參數,在Web服務器用戶帳戶的上下文中執行任意操作系統命令。目前廠商暫未發布修復措施。


原文鏈接:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534


2、美法院授權微軟接管朝鮮APT37控制的50個域名



微軟成功接管了由朝鮮黑客組織APT37控制的50個域名,這些域名被該組織用來發起網絡攻擊,包括發送釣魚郵件和托管釣魚頁面等。微軟表示其數字犯罪部門(DCU)和威脅情報中心(MSTIC)已經監視APT37長達數月的時間,并于12月18日在弗吉尼亞州法院對該組織提起訴訟。該法院授予微軟權限以接管APT37在犯罪活動中使用的50個域名。微軟高管表示該組織的大多數目標都位于美國、日本以及韓國。


原文鏈接:

https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/


3、物聯網供應商Wyze意外泄露約240萬客戶信息



物聯網供應商Wyze確認其一個Elasticsearch服務器泄露了約240萬用戶的詳細信息。該數據庫并不是生產系統,但存儲了有效的用戶數據,包括用于創建Wyze帳戶的電子郵件地址、分配給其Wyze安全攝像機的用戶昵稱、WiFi網絡標識符SSID以及2.4萬用戶的Alexa令牌等。該數據庫于12月4日被錯誤地暴露在公網上,安全公司Twelve Security于12月26日發現了該數據庫并通知了Wyze,Wyze隨后對數據庫進行了保護。


原文鏈接:

https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/


4、愛爾蘭政府發布2019-2024國家網絡安全戰略



愛爾蘭政府發布了《2019-2024國家網絡安全戰略》,這是該國于2015年發布的首個安全戰略的更新版本。該戰略報告概述了政府將如何繼續促進該國計算機網絡和相關基礎設施的安全。報告中闡明了政府對安全和可靠的網絡空間的愿景以及將采取的行動,包括繼續提高關鍵基礎架構和公共服務中的網絡彈性;提高企業和公民對網絡安全重要性的認識;通過與教育系統、行業和學術界的合作,進一步發展全社會的網絡安全文化;繼續鞏固愛爾蘭作為技術和信息安全中心的全球聲譽,并幫助促進愛爾蘭成為ICT企業的首選地點。該報告還敦促進行改革以保護關鍵基礎架構免受重大網絡威脅的影響,同時還警告稱外國可能會干預愛爾蘭的選舉。


原文鏈接:

https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html


5、星巴克員工上傳API密鑰到GitHub上,可訪問內部系統



安全專家Vinoth Kumar在一個公開可用的Github存儲庫中發現星巴克的一個API密鑰在線暴露,攻擊者可以利用該密鑰來訪問公司的內部系統并篡改授權用戶列表。該密鑰可用于訪問星巴克JumpCloud API,JumpCloud是一個Active Directory管理平臺,提供用戶管理、Web應用程序單點登錄(SSO)訪問控制和輕型目錄訪問協議(LDAP)服務。Kumar還提供了該問題的PoC代碼,演示了如何列出系統和用戶、控制AWS帳戶、在系統上執行命令以及添加或刪除有權訪問內部系統的用戶。星巴克確認了這一問題并迅速撤銷了該密鑰。


原文鏈接:

https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html

上一篇 下一篇