首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第09周

發布時間 2020-03-03

> 本周安全態勢綜述


2020年02月24日至3月01日共收錄安全漏洞54個,值得關注的是Google Chrome V8類型混淆漏洞; Moxa PT-7528 WEB服務器緩沖區溢出漏洞;Cisco NX-OS Software CDP協議任意代碼執行漏洞;Red Hat Undertow文件上傳代碼執行漏洞;Tonnet TAT-76默認密碼身份驗證繞過漏洞。


本周值得關注的網絡安全事件是聯想、惠普及戴爾外圍設備受未簽名固件漏洞影響,4G LTE新漏洞允許攻擊者注冊付費的訂閱或網站服務,博通Wi-Fi芯片Kr??k加密漏洞,影響超過十億臺設備,Exchange Server遠程代碼執行漏洞(CVE-2020-0688),歐洲網絡與信息安全局發布醫院網絡安全采購指南。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Google Chrome V8類型混淆漏洞


Google Chrome V8存在類型混淆漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB頁請求,誘使用戶解析,使應用程序崩潰或可以應用程序上下文執行任意代碼。


https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html


2. Moxa PT-7528 WEB服務器緩沖區溢出漏洞


Moxa PT-7528 WEB服務器存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。


https://www.us-cert.gov/ics/advisories/icsa-20-056-03


3. Cisco NX-OS Software CDP協議任意代碼執行漏洞


Cisco NX-OS Software CDP協議處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以ROOT權限執行任意代碼。


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp


4. Red Hat Undertow文件上傳代碼執行漏洞


Red Hat Undertow存在AJP文件讀取和包含漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。

https://access.redhat.com/security/cve/cve-2020-1745


5. Tonnet TAT-76默認密碼身份驗證繞過漏洞


Tonnet TAT-76 DVR固件包含有錯誤配置的身份驗證機制,允許遠程攻擊者可以利用漏洞獲取默認密碼,提交特殊的請求,可未授權訪問。


https://tvn.twcert.org.tw/taiwanvn/TVN-201910003


> 重要安全事件綜述


1、聯想、惠普及戴爾外圍設備受未簽名固件漏洞影響



根據Eclypsium的研究,Wi-Fi適配器、USB集線器、觸控板和攝像頭中的未簽名固件漏洞可能使數百萬外圍設備面臨網絡攻擊的風險。受影響的產品包括聯想筆記本電腦中的TouchPad和TrackPoint固件、惠普筆記本電腦中的HP Wide Vision FHD攝像頭固件以及戴爾XPS筆記本電腦中的Wi-Fi適配器等。由于這些產品在進行固件更新時缺乏適當的代碼簽名驗證和身份驗證,攻擊者可能通過惡意固件更新來執行信息泄露、遠程代碼執行、拒絕服務等攻擊。


原文鏈接:

https://threatpost.com/lenovo-hp-dell-peripherals-unpatched-firmware/152936/


2、4G LTE新漏洞允許攻擊者注冊付費的訂閱或網站服務



波鴻魯爾大學的一項新研究表明,4G移動通信標準中的一個漏洞可能使攻擊者假冒用戶來注冊訂閱或付費網站服務。這項攻擊技術被稱為IMP4GT,研究人員稱其影響了所有的LTE通信設備,這包括“幾乎所有的”智能手機、平板電腦和部分IoT設備。IMP4GT的關鍵要素是利用軟件定義的無線電來攔截和欺騙移動設備與基站之間的通信信道。雖然數據包在手機和基站之間以加密方式傳輸,但由于缺乏完整性保護,可以通過修改數據包來觸發錯誤。


原文鏈接:

https://www.zdnet.com/article/lte-security-flaw-can-be-abused-to-take-out-subscriptions-at-your-expense/?&web_view=true


3、博通Wi-Fi芯片Kr??k加密漏洞,影響超過十億臺設備



ESET研究人員在Broadcom(博通)和Cypress的Wi-Fi芯片中發現新漏洞Kr??k,該漏洞(CVE-2019-15126)可導致易受攻擊的設備使用全零加密密鑰來加密用戶的部分通信信息。在成功的攻擊中,攻擊者可以解密由易受攻擊的設備傳輸的某些無線網絡數據包。該漏洞影響的設備包括亞馬遜(Echo、Kindle)、蘋果(iPhone、iPad、MacBook)、谷歌(Nexus)、三星(Galaxy)、樹莓派(Pi 3)、小米(RedMi)的某些客戶端設備以及華碩和華為的某些AP和路由器設備,保守估計有超過十億設備受影響。Cypress已經向供應商發布了固件修復程序,用戶可通過其設備制造商獲取相應更新。研究人員沒有在高通、Realtek、Ralink和Mediatek的WiFi芯片中發現該漏洞。


原文鏈接:

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/


4、Exchange Server遠程代碼執行漏洞(CVE-2020-0688)



ZDI披露微軟Exchange Server中遠程代碼執行漏洞(CVE-2020-0688)的技術細節。微軟最初稱該漏洞是由內存損壞導致的,但后來將描述修正為該漏洞是由Exchange Server在安裝時未能正確創建唯一的加密密鑰導致的。該漏洞存在于Exchange控制面板(ECP)組件中,由于使用了靜態密鑰,經過身份驗證的攻擊者可以誘使服務器反序列化惡意制作的ViewState數據,從而在服務器上ECP應用(SYSTEM權限)的上下文中執行任意.NET代碼。


原文鏈接:

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys


5、歐洲網絡與信息安全局發布醫院網絡安全采購指南




歐洲網絡與信息安全局(ENISA)發布醫院網絡安全采購指南。該指南旨在幫助醫院在采購新資產時滿足信息安全方面的要求,提供了將網絡安全作為醫院采購過程中一項規定的良好實踐和建議,并且介紹了醫院資產集合以及與之相關的最突出網絡安全威脅。該報告主要針對在醫院擔任技術職務的醫療保健專業人員(CIO,CISO,CTO,IT團隊以及醫療保健組織中的采購人員),并且可以為醫療設備制造商提供參考。


原文鏈接:

https://www.helpnetsecurity.com/2020/02/25/cybersecurity-procurement-hospitals/


上一篇 下一篇