首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第02周

發布時間 2020-01-13


本周安全態勢綜述


2020年01月06日至12日共收錄安全漏洞57個,值得關注的是Cisco Webex Video Mesh Software WEB命令注入漏洞; Mozilla Firefox Windows XPCVariant.cpp類型混淆代碼執行漏洞;Android Realtek rtlwifi driver遠程代碼執行漏洞;Android Sound subsystem權限提升漏洞;Billion Smart Energy Router SG600R2命令執行漏洞。


本周值得關注的網絡安全事件是Upstream Security發布2020版《汽車網絡安全報告》;微軟發布RDP暴力攻擊分析報告,平均持續時間為2-3天;MITRE發布適用于工業控制系統的ATT&CK框架;微軟修復Access中的信息泄露漏洞(CVE-2019-1463);Mozilla發布更新,修復Firefox 0day漏洞(CVE-2019-11707)。


根據以上綜述,本周安全威脅為。



重要安全漏洞列表


1. Cisco Webex Video Mesh Software WEB命令注入漏洞


Cisco Webex Video Mesh Software releases WEB接口存在安全漏洞,允許通過驗證的遠程攻擊者可以利用漏洞提交特殊的請求,以ROOT權限執行任意命令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video


2. Mozilla Firefox Windows XPCVariant.cpp類型混淆代碼執行漏洞


Mozilla Firefox XPCVariant.cpp存在類型混淆漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

https://www.mozilla.org/en-US/security/advisories/mfsa2020-02/


3. Android Realtek rtlwifi driver遠程代碼執行漏洞


Android Realtek rtlwifi driver存在未明安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,以系統權限上下文執行任意代碼。

https://source.android.google.cn/security/bulletin/2020-01-01


4. Android Sound subsystem權限提升漏洞


Android Sound subsystem存在未明安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可提升權限。

https://source.android.google.cn/security/bulletin/2020-01-01


5. Billion Smart Energy Router SG600R2命令執行漏洞


Billion Smart Energy Router SG600R2包含system_command.asp腳本以root權限執行,允許遠程攻擊者利用漏洞提交特殊的請求,可以root權限執行任意命令。

https://github.com/InnotecSystem/Device-Reversing/wiki/Firmware-Inspection


重要安全事件綜述


1、Upstream Security發布2020版《汽車網絡安全報告》



Upstream Security2020版《汽車網絡安全報告》基于對過去十年中367起公開報告的汽車網絡安全事件進行分析,重點強調了2019年期間發現的漏洞與見解。該報告指出,互聯網汽車已在接管汽車市場,目前已有3.3億輛互聯網汽車,這意味著每次攻擊的潛在破壞力成倍增長,大規模的攻擊事件可能會破壞整個城市,甚至導致災難性的生命損失。自2016年以來,每年汽車網絡安全事件的數量增長了605%,僅2019年一年就增長了一倍以上。在2019年,有57%的事件是由網絡罪犯進行的,其目的是破壞業務、竊取金錢或索要贖金。僅有38%是研究人員的報告,其目的向公司和消費者警告發現的漏洞。


原文鏈接:

https://www.helpnetsecurity.com/2020/01/06/automotive-cybersecurity-incidents/


2、微軟發布RDP暴力攻擊分析報告,平均持續時間為2-3天



微軟發布了一份針對RDP暴力攻擊的分析報告,該項研究是基于從超過4.5萬個安裝了免費Microsoft Defender ATP的工作站上收集的數據。這些數據與失敗和成功的RDP登錄事件有關(分別是ID為4265和4264的Windows事件),并且涉及用戶/攻擊者可能使用的用戶名詳細信息,數據收集了幾個月的時間。微軟在報告中表示,最近觀察到的RDP暴力攻擊平均持續2-3天,約90%的案例持續時間在一周內,只有不到5%的案例持續時間在兩周或以上。約有0.08%的RDP暴力攻擊成功進行了登錄。


原文鏈接:

https://www.microsoft.com/security/blog/2019/12/18/data-science-for-cybersecurity-a-probabilistic-time-series-model-for-detecting-rdp-inbound-brute-force-attacks/


3、MITRE發布適用于工業控制系統的ATT&CK框架



本周二MITER發布了其ATT&CK框架的初始版本,該版本重點關注了針對工業控制系統(ICS)的惡意攻擊者使用的策略和技術。旨在幫助關鍵基礎設施和其他使用ICS的組織評估其網絡風險。除了提供攻擊策略和技術矩陣外,還介紹了攻擊技術的細節、攻擊者使用的惡意軟件以及已知的針對ICS的犯罪團伙。它還包括一個資產類別,用于幫助組織了解可應用于其環境的技術。此版本描述了81種攻擊技術、17種惡意軟件、10個犯罪團伙和7種資產。


原文鏈接:

https://www.securityweek.com/mitre-releases-attck-knowledge-base-industrial-control-systems


4、微軟修復Access中的信息泄露漏洞(CVE-2019-1463)



電子郵件安全公司Mimecast透露,Microsoft Access中的信息泄露漏洞可能導致系統內存中的敏感數據被無意中保存在數據庫文件中。該漏洞(CVE-2019-1463)被稱為MDB Leaker,與“應用程序對系統內存的不當管理”有關,它可能導致未初始化的內存元素的內容保存到Microsoft Access MDB文件中。盡管這些數據可能毫無用處,但它也可能包含高度敏感的信息,例如密碼、Web請求、證書以及域或用戶數據。Mimecast表示目前不會發布有關CVE-2019-1463的任何技術信息,也沒有證據表明該漏洞已在野外被利用。微軟已在2019年12月的補丁更新中修復了該漏洞,根據微軟的說法,該漏洞會影響Office 2010、2013、2016、2019和365 ProPlus。


原文鏈接:

https://www.securityweek.com/microsoft-access-files-could-include-unintentionally-saved-sensitive-data


5、Mozilla發布更新,修復Firefox 0day漏洞(CVE-2019-11707)



Mozilla發布了Firefox 72.0.1和Firefox ESR 68.4.1,修復已在野外被積極利用的0day(CVE-2019-11707)。該漏洞被歸類為類型混淆漏洞,影響了IonMonkey JIT編譯器,根據Mozilla的安全公告,IonMonkey JIT編譯器中用于設置數組元素的別名信息不正確,可能會導致類型混淆。潛在攻擊者可通過將用戶重定向至惡意網頁來觸發該漏洞,導致代碼執行或觸發崩潰。美國CISA也發出警告稱攻擊者可能利用此漏洞來控制受影響的系統,并建議用戶查看Mozilla安全通報和應用安全更新。


原文鏈接:

https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/


上一篇 下一篇