首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第10周

發布時間 2020-03-10

> 本周安全態勢綜述


2020年03月02日至08日共收錄安全漏洞52個,值得關注的是FasterXML jackson-databind CVE-2020-9548代碼執行漏洞; Rubetek SmartHome波段設計漏洞;Envoy不正確訪問控制漏洞;Qualcomm MDM9206 WLAN緩沖區溢出漏洞;Google Chrome media安全繞過漏洞。


本周值得關注的網絡安全事件是Tesla和SpaceX的零件制造商Visser確認遭黑客攻擊且數據泄露;Let's Encrypt撤回超過300萬個TLS證書;CrowdStrike發布《2020年全球威脅報告》;英國數據監管機構對國泰航空處以50萬英鎊罰款;澳大利亞ACSC發布CMS系統安全指南。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. FasterXML jackson-databind CVE-2020-9548代碼執行漏洞


FasterXML jackson-databind ibatis-sqlmap以及anteros-core組件存在黑名單繞過漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意代碼。

https://github.com/FasterXML/jackson-databind/issues/2631


2. Rubetek SmartHome波段設計漏洞


Rubetek SmartHome使用了未加密的433 MHz波段進行通信,允許遠程攻擊者可以利用漏洞提交特殊的請求,可獲取敏感信息或進行拒絕服務攻擊。

https://pastebin.com/CckKKJcM


3. Envoy不正確訪問控制漏洞


Envoy使用SDS存在不正確訪問控制漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問受限資源。

https://github.com/envoyproxy/envoy/security/advisories/GHSA-3x9m-pgmg-xpx8


4. Qualcomm MDM9206 WLAN緩沖區溢出漏洞


Qualcomm MDM9206 WLAN存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可進行拒絕服務攻擊或可執行任意代碼。

https://www.qualcomm.com/company/product-security/bulletins/march-2020-bulletin


5. Google Chrome media安全繞過漏洞


Google Chrome media處理安全策略存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可繞過安全限制,未授權訪問。

https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html


> 重要安全事件綜述


1、Tesla和SpaceX的零件制造商Visser確認遭黑客攻擊且數據泄露



Tesla和SpaceX的零件制造商Visser確認遭遇數據泄露事件,該公司是一家專門為太空和國防承包商設計精密零件的制造商。在一份簡短的聲明中,該公司確認其近期成為“網絡安全犯罪事件(包括訪問和盜竊數據)的目標”。該公司發言人表示將“繼續對該攻擊進行全面調查,并且業務運行正?!?。TechCrunch研究人員稱這次攻擊很有可能是由DoppelPaymer勒索軟件引起的。


原文鏈接:

https://techcrunch.com/2020/03/01/visser-breach/


2、4Let's Encrypt撤回超過300萬個TLS證書



由于在后端代碼中發現了一個bug,Let's Encrypt項目計劃從世界標準時間2020年3月4日00:00開始撤銷超過300萬個TLS證書。具體來說,該bug影響了Boulder,Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。該bug影響了Boulder內部CAA(證書頒發機構授權)規范的實施,“當一個證書請求包含N個需要進行CAA重新檢查的域名時,Boulder將選擇一個域名并檢查N次。這實際上意味著如果一個用戶在時間X驗證了一個域名,并且該域名在時間X的CAA記錄允許Let's Encrypt發行,則該用戶可以在X+30天的時間里發行包含該域名的證書,即使之后有人在該域名上安裝了禁止Let's Encrypt發行的CAA記錄”。在這300萬個撤銷的證書中,有100萬個是同一域/子域的重復項,因此受影響證書的實際數量約為200萬個。在3月4日00:00之后所有受影響的證書都將觸發瀏覽器和其他應用程序中的錯誤,域名所有者將必須請求新的TLS證書并替換舊的TLS證書。


原文鏈接:

https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/


3、CrowdStrike發布《2020年全球威脅報告》



CrowdStrike的《2020年全球威脅報告》對過去一年中頂級網絡威脅趨勢進行了深入分析,該報告的要點包括:大型攻擊活動(BGH)不斷升級,贖金要求飆升至數百萬,并且造成極大的破壞;網絡犯罪分子正在使敏感數據武器化,以增加對勒索軟件受害者的壓力;eCrime生態系統不斷發展,變得成熟和專業化程度不斷提高;在BGH之外,針對全球金融機構的eCrime活動有所增加;朝向無惡意軟件策略的趨勢正在加速;國家資助的有針對性的入侵活動繼續針對知識產權/競爭情報,促進社區內部的分裂,并觀察到了與先進eCrime攻擊者的合作。


原文鏈接:

https://www.crowdstrike.com/resources/reports/2020-crowdstrike-global-threat-report/


4、英國數據監管機構對國泰航空處以50萬英鎊罰款



英國信息專員辦公室因2018年940萬乘客數據泄露事件對國泰航空公司處以50萬英鎊的罰款。該攻擊疑似發生在2018年3月份,并于5月份得到確認,當時國泰航空的數據庫遭到了暴力破解攻擊。ICO調查稱國泰的系統受到了數據收集類惡意軟件的影響,并發現國泰在安全性方面的一些不足,包括不受密碼保護的備份文件、未打補丁的Web服務器、已過時的操作系統和缺乏防病毒保護等。


原文鏈接:

https://www.theregister.co.uk/2020/03/04/ico_fines_cathay_pacific_500000/


5、澳大利亞ACSC發布CMS系統安全指南



澳大利亞網絡安全中心(ACSC)發布一份用于保護CMS系統的網絡安全指南,該指南概述了如何在web服務器上識別和最小化潛在風險的策略,其目標受眾是負責使用CMS開發和保護網站或Web應用程序的人。攻擊者可以使用自動化工具掃描Internet上的安全漏洞。一旦CMS被入侵,攻擊者可以利用其權限來:獲得Web應用程序的驗證區域和特權區域的訪問權限;上傳惡意軟件來獲得遠程訪問,例如上傳Web Shell或RAT;在合法網頁上注入惡意內容。攻擊者還可以將受感染的Web服務器用作“水坑”攻擊的一部分,或用作C&C的基礎設施。ACSC建議采取的緩解措施包括:使用CMS托管服務;良好的補丁管理;漏洞評估;賬戶管理;加強CMS安裝的安全性控制措施;監控CMS安裝上對托管內容的未授權更改等。


原文鏈接:

https://www.cyber.gov.au/publications/securing-content-management-systems

上一篇 下一篇