首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第07周

發布時間 2020-02-17

> 本周安全態勢綜述



2020年02月10日至16日共收錄安全漏洞94個,值得關注的是Apache Dubbo反序列化代碼執行漏洞; OpenVPN Access Server LDAP驗證繞過漏洞;Istio驗證策略exact-path邏輯匹配安全繞過漏洞;Adobe Framemaker CVE-2020-3731內存引用代碼執行漏洞;Microsoft Exchange Server CVE-2020-0692權限提升漏洞。


本周值得關注的網絡安全事件是思科Talos披露Apple Safari瀏覽器中的RCE漏洞;美德情報部門控制瑞士公司數十年,竊取120國機密情報;Malwarebytes發布2020年惡意軟件狀況報告;雅詩蘭黛云數據庫暴露4.4億條內部記錄;Palo Alto Networks發布2020年春季云威脅報告。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. Apache Dubbo反序列化代碼執行漏洞


Apache Dubbo啟用HTTP協議進行通信時存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的POST請求,以應用程序上下文執行任意代碼。


https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5



2. OpenVPN Access Server LDAP驗證繞過漏洞


OpenVPN Access Server 使用LDAP驗證系統登錄處理存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求繞過驗證,未授權訪問。


https://openvpn.net/security-advisories/



3. Istio驗證策略exact-path邏輯匹配安全繞過漏洞


Istio驗證策略exact-path邏輯處理存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的包含?或#字符的請求,可繞過驗證。


https://istio.io/news/security/istio-security-2020-001/



4. Adobe Framemaker CVE-2020-3731內存引用代碼執行漏洞


Adobe Framemaker存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞構建惡意文件,誘使用戶請求,可以目標用戶上下文執行任意代碼。


https://helpx.adobe.com/security/products/framemaker/apsb20-04.html



5. Microsoft Exchange Server CVE-2020-0692權限提升漏洞


Microsoft Exchange Server存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以獲得與 Exchange Server 的其他任何用戶相同的權限。


https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0692


> 重要安全事件綜述



1、思科Talos披露Apple Safari瀏覽器中的RCE漏洞



思科Talos團隊披露Apple Safari瀏覽器中的一個遠程代碼執行漏洞(CVE-2020-3868),當用戶在Safari中打開惡意網頁時,可能會觸發類型混淆,從而導致內存損壞和執行任意代碼。攻擊者需要通過某種方式誘使用戶訪問惡意網頁來觸發此漏洞。該漏洞存在于Safari的“字體”功能中,Talos測試并確認此漏洞影響Safari版本13.0.3(15608.3.10.1.4)、Safari技術預覽版96(Safari 13.1,WebKit 15609.1.9.7)和Webkit GIT e4cd3b4fab6166d1288984ded40c588439dab925,建議用戶盡快更新至最新版本。


原文鏈接:

https://blog.talosintelligence.com/2020/02/vuln-spotlight-apple-safari-code-execution-feb-2020.html


2、美德情報部門控制瑞士公司數十年,竊取120國機密情報



據美國《華盛頓郵報》報道,美德情報部門數十年間通過控制瑞士加密公司Crypto AG,竊取了全球約120國政府的最高機密通訊情報。據悉,第二次世界大戰戰后到本世紀初,Crypto AG公司為約120個國家的政府提供加密通訊裝置,伊朗、南美多國政府、印度與巴基斯坦皆為服務對象。但Crypto AG幕后老板其實是美國中央情報局(CIA)以及德國聯邦情報局(BND)。這兩個情報部門對Crypto裝置動手腳,讓裝置可輕易被破解,進而解讀數據。報道稱,中情局內部有關于這個最高機密計劃的歷史機密檔案,檔案指出Crypto AG靠著讓西方情報機關取得客戶機密,賺進數以百萬計美元。同時,檔案也指出,盡管使用Crypto AG產品的國家不少,但蘇聯/俄羅斯和中國,卻從來都不是該公司的客戶。


原文鏈接:

https://www.securityweek.com/us-german-spies-plundered-global-secrets-swiss-encryption-firm-report


3、Malwarebytes發布2020年惡意軟件狀況報告



Malwarebytes Labs發布2020年惡意軟件狀況報告,報告指出與針對Windows PC的威脅相比,Mac威脅呈指數級增長。Mac威脅的總數量同比增長了400%以上,但這一數字一定程度上可能受到2019年Malwarebytes Mac用戶群增長的影響。對單個終端而言,Mac威脅仍然比Windows高,幾乎為2:1。報告還指出攻擊性廣告軟件、木馬和HackTools主導了針對業務端點的全球威脅,比去年同期增長了13%。攻擊企業的勒索軟件活動達到歷史最高水平,Ryuk和Sodinokibi等家族分別增長了543%和820%。Emotet和TrickBot仍然是針對企業的主要威脅之一。


原文鏈接:

https://blog.malwarebytes.com/reports/2020/02/malwarebytes-labs-releases-2020-state-of-malware-report/


4、雅詩蘭黛云數據庫暴露4.4億條內部記錄



安全研究員Jeremiah Fowler發現雅詩蘭黛的一個云數據庫未設密碼,導致4.4億條內部記錄泄露,其中包括純文本電子郵件地址(包括來自@estee.com域的內部電子郵件地址)和CMS、中間件的活動日志等內容。但記錄中沒有包含客戶的付款數據或敏感的員工信息。Fowler指出這些日志數據可以用作更大的網絡攻擊的偵察,例如日志中包含IP地址、端口、路徑和存儲信息,可用于映射公司的內部網絡。雅詩蘭黛在接到報告后當天關閉了對數據庫的訪問,但目前尚不清楚該數據庫在網絡上暴露了多長時間以及是否已遭到黑客訪問。


原文鏈接:

https://threatpost.com/estee-lauder-440m-records-email-network-info/152789/


5、Palo Alto Networks發布2020年春季云威脅報告



Palo Alto Networks的Unit 42近日發布了半年一次的《云威脅報告》2020年春季版。為了在云中越來越多地自動化構建流程,許多組織都在采用基礎架構即代碼(IaC)來幫助簡化其運營。Unit 42分析了成千上萬個IaC模板,他們的發現表明IaC模板中有199000多個潛在漏洞,最重要的是目前有超過43%的云數據庫未加密,并且只有60%的云存儲服務已啟用日志記錄。


原文鏈接:

https://start.paloaltonetworks.com/unit-42-cloud-threat-report





上一篇 下一篇