首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第04周

發布時間 2020-02-04

> 本周安全態勢綜述


2020年01月20日至26日共收錄安全漏洞42個,值得關注的是Cisco Webex Video Mesh WEB接口任意命令執行漏洞; Ruckus Wireless Unleashed emfd任意OS命令執行漏洞;Trustwave ModSecurity Transaction::addRequestHeader拒絕服務漏洞;Honeywell Maxpro VMS & NVR反序列化代碼執行漏洞;Philips Hue Bridge ZCL堆溢出漏洞。


本周值得關注的網絡安全事件是美國國家標準技術研究院發布隱私風險管理框架1.0版;GDPR監管機構迄今為止已罰款1.26億美元;微軟泄露2.5億條呼叫中心記錄,客戶郵箱及IP地址暴露;研究人員披露FortiSIEM中的硬編碼SSH密鑰漏洞;蘋果發布透明度報告,披露各國政府請求蘋果用戶數據情況。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Cisco Webex Video Mesh WEB接口任意命令執行漏洞


Cisco Webex Video Mesh WEB接口存在輸入驗證漏洞,允許通過驗證的遠程攻擊者利用漏洞提交特殊的請求,可以root權限執行任意命令。


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video


2. Ruckus Wireless Unleashed emfd任意OS命令執行漏洞


Ruckus Wireless Unleashed emfd admin/_cmdstat.jsp不正確處理xcmd=import-category屬性,允許遠程攻擊者利用漏洞提交特殊的POST請求,可以應用程序上下文執行任意OS命令。


https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html


3. Trustwave ModSecurity Transaction::addRequestHeader拒絕服務漏洞


Trustwave ModSecurity Transaction::addRequestHeader存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可進行拒絕服務攻擊。


https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-denial-of-service-details-cve-2019-19886/


4. Honeywell Maxpro VMS & NVR反序列化代碼執行漏洞


Honeywell Maxpro VMS & NVR處理WEB請求存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。


https://www.us-cert.gov/ics/advisories/icsa-20-021-01


5. Philips Hue Bridge ZCL堆溢出漏洞


Philips Hue Bridge處理超長ZCL字符串存在堆溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://www2.meethue.com/en-us/support/release-notes/bridge


> 重要安全事件綜述


1、美國國家標準技術研究院發布隱私風險管理框架1.0版



美國國家標準技術研究院(NIST)上周發布了隱私框架1.0版,該工具旨在幫助組織管理隱私風險。NIST于2019年9月發布了隱私框架初稿并收集公眾意見,該機構最初希望在2019年底之前發布1.0版,但直到1月16日才正式發布。NIST隱私框架旨在通過關注三個主要方面來幫助各種規模和各個部門的組織管理隱私風險:在開發產品或服務時要考慮到隱私、交流隱私慣例以及跨組織的協作。該框架包括三個主要部分:核心、概要和實現層。核心提供一組細化的活動和結果,其目的是實現內部溝通。概要層表示組織已確定核心職能、類別和子類別的優先級別。最后,實施層可幫助組織優化實現概要層所需的資源。


原文鏈接:

https://www.securityweek.com/nist-releases-framework-privacy-risk-management


2、GDPR監管機構迄今為止已罰款1.26億美元



一項新的調查發現,迄今為止監管機構已對數據泄露和其他GDPR侵權行為處以了價值1.26億美元的罰款。根據DLA Piper的GDPR數據違規調查,數據保護監管機構在2018年5月25日至2020年1月27日期間對GDPR相關的罰款為1.14億歐元(約合1.26億美元/ 9,700萬英鎊)。這家國際律師事務所指出,法國、德國和奧地利的罰款總額最高,分別為5100萬歐元,2450萬歐元和1800萬歐元。該報告并未涵蓋英國信息專員辦公室(ICO)對英國航空公司(British Airways)處以1.83億英鎊的GDPR罰款及對萬豪國際公司(Marriott International)進行9990萬英鎊的GDPR罰款,因為截至報告完成時ICO尚未最終確定處以罰款。


原文鏈接:

https://www.tripwire.com/state-of-security/security-data-protection/gdpr-regulators-have-imposed-126m-in-fines-thus-far-finds-survey/


3、微軟泄露2.5億條呼叫中心記錄,客戶郵箱及IP地址暴露



去年年底,Comparitech的安全研究團隊發現了幾臺服務器,每臺服務器都包含與Microsoft支持代理和客戶相同的2.5億呼叫中心記錄。這些記錄所覆蓋的時間段為2005年至2019年12月,其并沒有使用密碼保護或加密,這也意味著,任何可以訪問互聯網的人都可以對其進行訪問。大多數個人身份信息已從記錄中刪除。但是,仍然存在大量以純文本格式存儲的信息,包括:客戶電子郵件地址、IP地址、位置、CSS聲明和案例的描述、Microsoft支持代理電子郵件、案例編號、案例解決方案,案例備注和標記為“機密”的內部注釋。


原文鏈接:

https://www.infosecurity-magazine.com/news/microsoft-exposes-250-million-call/


4、研究人員披露FortiSIEM中的硬編碼SSH密鑰漏洞



Cybera的安全專家Andrew Klaus發現Fortinet安全信息和事件管理器 FortiSIEM中的硬編碼SSH公鑰漏洞,可被濫用于訪問FortiSIEM Supervisor。該硬編碼SSH密鑰屬于用戶“tunneluser”。在所有安裝之間都相同。使用此密鑰的攻擊者可以以該用戶身份成功通過FortiSIEM Supervisor進行身份驗證。雖然該用戶的shell僅限于運行腳本/opt/phoenix/phscripts/bin/tunnelshell,SSH認證仍然是成功的。Fortinet發布安全公告稱,該漏洞的編號是 CVE-2019-17659,它可導致拒絕服務。


原文鏈接:

https://securityaffairs.co/wordpress/96649/security/hardcoded-ssh-key-fortinet.html


5、蘋果發布透明度報告,披露各國政府請求蘋果用戶數據情況



1月18日,蘋果周五發布了半年度透明度報告,披露了各國政府在全球范圍內向其索取用戶數據的次數。根據蘋果發布的報告,在2019年1月1日至6月30日之間,各國政府提出了31778次設備請求,比2018年上半年增加了約500次。這類信息包括哪些用戶與哪些設備相關聯,以及購買、客戶服務和維修信息。蘋果在其中82%的時候滿足了對方的要求。德國提出設備要求再次位居榜首,達到13558次,美國在6個月內提出了4796次設備請求。帳戶請求(例如,有關iCloud和iTunes帳戶的詳細信息)在6個月內達到了6480次。蘋果在85%的情況下都會提供詳細信息。大部分賬號請求來自美國,達到3619次。


原文鏈接:

https://www.apple.com/legal/transparency/pdf/requests-2019-H1-en.pdf



上一篇 下一篇