首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第06周

發布時間 2020-02-11

> 本周安全態勢綜述



2020年02月03日至09日共收錄安全漏洞45個,值得關注的是QEMU libslirp越界堆訪問漏洞; MikroTik WinBox CVE-2020-5720目錄遍歷漏洞;Cisco NX-OS Software Cisco Discovery Protocol字段處理緩沖區溢出漏洞;Squid ext_lm_group_acl越界寫漏洞;Clam AntiVirus DLP緩沖區溢出漏洞。


本周值得關注的網絡安全事件是在線任務管理網站Trello泄露大量用戶數據;美國防部為國防承包商確定首套網絡安全標準;攻擊者濫用Bitbucket服務,已導致50多萬主機感染惡意軟件;思科修復發現協議(CDP)中五個高危漏洞,影響數百萬設備;研究人員披露海思芯片中尚未修復的后門漏洞及PoC。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表




1. QEMU libslirp越界堆訪問漏洞


QEMU libslirp存在越界堆訪問漏洞,允許本地攻擊者利用漏洞提交特殊的請求,以HOST上的QEMU進程上下文執行任意代碼。


https://www.openwall.com/lists/oss-security/2020/02/06/2



2. MikroTik WinBox CVE-2020-5720目錄遍歷漏洞


MikroTik WinBox存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可進行目錄遍歷攻擊,寫任意文件到系統。


https://www.tenable.com/security/research/tra-2020-07



3. Cisco NX-OS Software Cisco Discovery Protocol字段處理緩沖區溢出漏洞


Cisco NX-OS Software處理CDP消息字段存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或可執行任意代碼。


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce



4. Squid ext_lm_group_acl越界寫漏洞


Squid ext_lm_group_acl解析NTLM驗證憑據存在越界寫漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可獲取敏感信息或者進行拒絕服務攻擊。


http://www.squid-cache.org/Advisories/SQUID-2020_3.txt



5. Clam AntiVirus DLP緩沖區溢出漏洞


Clam AntiVirus DLP模塊存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。


https://blog.clamav.net/2020/02/clamav-01022-security-patch-released.html


> 重要安全事件綜述


1、在線任務管理網站Trello泄露大量用戶數據



根據Naked Security的一份報告,在線任務管理網站Trello泄露了大量用戶的私人數據,包括姓名、地址、性能評級和公司培訓視頻等。泄露的原因是部分用戶錯誤地將其Trello面板配置為public,這使得任何人都可以查看其中的內容,甚至Google之類的搜索引擎可以將面板中的內容納入索引,僅需要通過一種稱為“dork”的特殊類型即可搜索到。


原文鏈接:

https://www.techworm.net/2020/02/trello-search-exposes-private-data.html


2、美國防部為國防承包商確定首套網絡安全標準



美國防部1月31日正式發布網絡安全成熟度模型認證(CMMC)框架1.0版本。國防部宣布,到2026年國防承包商在回應政府采購計劃的提案請求時,必須滿足基本的網絡安全標準。隨著CMMC的推出,國防部希望通過提高國防工業基礎(DIB)分包商的網絡安全準備程度,來加強對供應鏈未分類信息(聯邦合同信息(FCI)和受控未分類信息(CUI))的保護。CMMC旨在通過使用5種級別的認證來簡化大型和小型國防承包商的網絡就緒性認證,重點是網絡安全實踐和流程。


原文鏈接:


https://www.bleepingcomputer.com/news/security/dod-to-require-cybersecurity-certification-from-defense-

contractors/


3、攻擊者濫用Bitbucket服務,已導致50多萬主機感染惡意軟件



攻擊者正在濫用代碼托管服務Bitbucket存儲7種惡意軟件payload,該攻擊活動已在全球范圍內感染了超過50萬臺商用計算機。根據安全廠商Cybereason發布的一份報告,攻擊者部署到目標系統的惡意payload包括Predator、Azorult、Evasive Monero Miner、勒索軟件STOP、Vidar、Amadey bot和IntelRapid。該攻擊活動主要針對尋找盜版商業軟件(例如Adobe Photoshop、Microsoft Office等)的用戶。


原文鏈接:

https://www.bleepingcomputer.com/news/security/bitbucket-abused-to-infect-500-000-hosts-with-malware-cocktail/


4、思科修復發現協議(CDP)中五個高危漏洞,影響數百萬設備




物聯網安全公司Armis在思科發現協議(CDP)中發現五個高危漏洞,影響數百萬設備。CDP是思科設備使用的專有第2層(數據鏈路層)協議,用于發現本地網絡上的其它思科設備。默認情況下,幾乎所有思科產品(包括路由器、交換機以及IP電話和攝像機)均啟用此協議。這五個漏洞被稱為CDPwn,包括四個遠程代碼執行漏洞(CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119)和一個拒絕服務漏洞(CVE-2020-3120)。過去十年中發布的思科固件版本均受到這些漏洞的影響,這些漏洞可能使滲透到企業網絡中的本地攻擊者能夠執行中間人攻擊、監視語音或視頻呼叫、收集和泄漏數據以及破壞網絡分段。目前思科已經發布了相關產品的固件更新來修復這些漏洞。



原文鏈接:

https://www.bleepingcomputer.com/news/security/cisco-patches-critical-cdp-flaws-affecting-millions-of-devices/



5、研究人員披露海思芯片中尚未修復的后門漏洞及PoC




俄羅斯安全專家Vladislav Yarmak公布了他在海思芯片中發現的后門機制的技術細節,并表示由于對供應商缺乏信任,他沒有向海思披露該漏洞。該后門機制可以使攻擊者獲得root shell訪問權限并完全控制設備,具體來說,攻擊者可能利用 后門通過在TCP端口9530上向基于海思芯片的設備發送一系列命令,這些命令允許攻擊者在設備上啟用Telnet服務,然后攻擊者可以使用六個Telnet憑據之一登錄,并獲得對root帳戶的訪問權限。Yarmak還在github上發布了該漏洞的PoC代碼。



原文鏈接:

https://securityaffairs.co/wordpress/97367/hacking/hisilicon-chips-backdoor.html



上一篇 下一篇