首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第11周

發布時間 2020-03-16

> 本周安全態勢綜述


2020年03月09日至15日共收錄安全漏洞67個,值得關注的是Microsoft Server Message Block壓縮算法代碼執行漏洞; Apache ShardingSphere unmarshal數據處理代碼執行漏洞;SAP Solution Manager驗證繞過漏洞;Johnson Controls Kantech EntraPass SmartService API服務選項代碼執行漏洞;Barracuda Load Balancer ADC LDAP服務配置漏洞。


本周值得關注的網絡安全事件是微軟發布針對SMBv3漏洞的KB4551762安全更新;Whisper數據庫可公開訪問,泄露約9億條記錄;歐洲電力運營商聯盟ENTSO-E辦公網絡遭黑客入侵;我國8項網絡安全國家標準獲批發布;兩種新的AMD側信道攻擊,影響Zen架構。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Microsoft Server Message Block壓縮算法代碼執行漏洞


Microsoft Server Message Block SMBv3協議在處理惡意壓縮數據包存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以系統上下文執行任意代碼。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796


2. Apache ShardingSphere unmarshal數據處理代碼執行漏洞


Apache ShardingSphere WEB控制臺SnakeYAML解析數據存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E


3. SAP Solution Manager驗證繞過漏洞


SAP Solution Manager驗證檢查存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,通過SMDAgents未授權訪問。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305


4. Johnson Controls Kantech EntraPass SmartService API服務選項代碼執行漏洞


Johnson Controls Kantech EntraPass SmartService API服務選項存在代碼上傳漏洞,允許遠程攻擊者利用漏洞提交特殊的上傳請求,可以應用程序上下文執行任意代碼。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04


5. Barracuda Load Balancer ADC LDAP服務配置漏洞


Barracuda Load Balancer ADC LDAP服務配置存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問LDAP服務。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/


> 重要安全事件綜述


1、微軟發布針對SMBv3漏洞的KB4551762安全更新



微軟今天早些時候發布了針對SMBv3 RCE漏洞(CVE-2020-0796)的補丁更新(KB4551762),用戶可以通過Windows Update檢查更新或從微軟補丁目錄(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762)上手動下載適合自己Windows版本的KB4551762。微軟表示雖然沒有發現利用此漏洞的攻擊,但建議用戶優先安裝此更新。此漏洞也被稱為SMBGhost或EternalDarkness,僅影響運行Windows 10版本1903和1909以及Windows Server Server Core安裝版本1903和1909的設備。


原文鏈接:

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/


2、Whisper數據庫可公開訪問,泄露約9億條記錄



據《華盛頓郵報》報道,匿名秘密共享應用Whisper由于數據庫可公開訪問,導致約9億條記錄泄露。研究人員Matthew Porter和Dan Ehrlich發現了該數據庫,數據庫中存儲的數據是從2012年該APP發布一直到現在的所有數據。盡管記錄中不包含用戶名,但其中包含昵稱、年齡、種族、性別、家鄉、團體成員關系以及與發帖相關的位置數據。這些位置信息包括來自用戶最近發帖的坐標,例如特定的學校、工作場所和居民區。Whisper在接到通知后撤銷了該數據庫的訪問權限,并通知了聯邦執法機構。


原文鏈接:

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/


3、歐洲電力運營商聯盟ENTSO-E辦公網絡遭黑客入侵



歐洲電力運營商聯盟(ENTSO-E)在一份簡短的聲明中表示,近期其辦公網絡遭到黑客入侵。由于該辦公網絡并未連接到任何運營中的電力傳輸系統,這意味著攻擊僅限于IT系統,沒有影響關鍵控制系統。ENTSO-E總部位于布魯塞爾,由35個歐洲國家的42家電網運營商組成。ENTSO-E表示已經進行了風險評估和制定了應急計劃,以減少進一步攻擊的風險和影響,但沒有透露與入侵何時開始以及誰可能對攻擊負責有關的詳細信息。


原文鏈接:

https://www.cyberscoop.com/european-entso-breach-fingrid/


4、我國8項網絡安全國家標準獲批發布



根據2020年3月6日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2020年第1號),全國信息安全標準化技術委員會歸口的GB/T 35273-2020《信息安全技術 個人信息安全規范》等8項國家標準正式發布。具體清單包括GB/T 17901.1-2020《信息技術 安全技術 秘鑰管理 第1部分:框架》、GB/T 38540-2020《信息安全技術 安全電子簽章密碼技術規范》、GB/T 38541-2020《信息安全技術 電子文件密碼應用指南》、GB/T 38543-2020《信息安全技術 基于生物特征識別的移動智能終端身份鑒別技術框架》、GB/T 38556-2020《信息安全技術 動態口令密碼應用技術規范》、GB/T 338558-2020《信息安全技術 辦公設備安全測試方法》以及GB/T 38561-2020《信息安全技術 網絡安全管理支撐系統技術要求》。所有8項標準的實施日期都是2020-10-01。


原文鏈接:

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229


5、兩種新的AMD側信道攻擊,影響Zen架構



格拉茨技術大學發布的一篇新論文詳細介紹了兩種新的AMD CPU側信道攻擊,即Collide+Probe和Load+Reload攻擊,攻擊者可通過操縱L1D緩存預測變量來泄漏AMD處理器的機密數據。研究人員稱該漏洞影響了從2011年到2019年的所有AMD處理器,這意味著Zen架構也受到影響。該大學表示它已于2019年8月23日向AMD披露了這些漏洞,但AMD尚未發布微代碼更新,并稱這些攻擊并不是新的基于推測的攻擊。


原文鏈接:

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/


上一篇 下一篇