首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第16周

發布時間 2020-04-20

> 本周安全態勢綜述


2020年04月13日至19日共收錄安全漏洞72個,值得關注的是Google Chrome speech recognizer代碼執行漏洞; VeeamOne Agent PerformHandshake代碼執行漏洞;Apache Heron反序列化代碼執行漏洞;Cisco UCS Director ApplianceStorageUtil unzip目錄遍歷代碼執行漏洞;Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO棧溢出漏洞。


本周值得關注的網絡安全事件是巴基斯坦1.15億移動用戶數據在暗網出售;丹麥水泵制造商DESMI遭網絡攻擊,系統仍未恢復;Oracle發布4月重要補丁更新,修復397個漏洞;英特爾發布4月安全更新,修復多款產品中的9個漏洞;EA Sports遭大規模DDoS攻擊,全球服務中斷。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Google Chrome speech recognizer代碼執行漏洞


Google Chrome speech recognizer存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html


2. Veeam One Agent PerformHandshake代碼執行漏洞


Veeam One Agent PerformHandshake方法存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-545/


3. Apache Heron反序列化代碼執行漏洞


Apache Heron存在反序列化漏洞,允許通過驗證的管理員用戶利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://lists.apache.org/thread.html/r16dd39f4180e4443ef4ca774a3a5a3d7ac69f91812c183ed2a99e959%40%3Cdev.heron.apache.org%3E


4. Cisco UCS Director ApplianceStorageUtil unzip目錄遍歷代碼執行漏洞


Cisco UCS Director ApplianceStorageUtil unzip處理文件操作存在目錄遍歷漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以root賬戶上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-539/


5. Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO棧溢出漏洞


Triangle MicroWorks SCADA Data Gateway處理DNP3 GET_FILE_INFO存在棧溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-547


> 重要安全事件綜述


1、巴基斯坦1.15億移動用戶數據在暗網出售



巴基斯坦安全廠商Rewterz發現,目前有1.15億巴基斯坦移動用戶的數據在暗網論壇出售,價格為300 BTC(約合210萬美元)。這些數據包括用戶的詳細個人信息,例如姓名、完整地址、手機號碼以及NIC號和稅務號碼。Rewterz威脅情報專家認為這些數據可能是一次或多次泄露的結果,目前還不清楚是否有任何特定的電信運營商或是所有電信運營商成為此次攻擊的受害者。該泄露數據的規模引發了對電信公司數據安全性和隱私性的擔憂。


原文鏈接:

http://www.rewterz.com/articles/115-million-pakistani-mobile-users-data-go-on-sale-on-dark-web


2、丹麥水泵制造商DESMI遭網絡攻擊,系統仍未恢復



丹麥水泵制造商DESMI遭到網絡攻擊,該攻擊事件發生在上周四的晚上,遭到攻擊后公司的所有系統均被關閉。根據該公司在官網上發布的警告,公司的所有系統均被關閉,并且正在還原過程中,首批部分系統將在幾天內啟動并運行,其余的系統將在幾周之內運行。目前調查仍在進行之中,尚不清楚攻擊的程度,DESMI已將事件報告給丹麥當局和警察。


原文鏈接:

https://securityaffairs.co/wordpress/101495/hacking/desmi-discloses-cyber-attack.html


3、Oracle發布4月重要補丁更新,修復397個漏洞



Oracle在其4月重要補丁更新中修復了397個漏洞,其中Oracle Database Server產品中修復了8個漏洞;電子商務套件中修復了74個漏洞,包括70個無需身份驗證即可遠程利用的漏洞;Oracle融合中間件中修復了51個漏洞,其中44個無需身份驗證即可遠程利用;Java SE中修復了15個漏洞,所有漏洞均可以在不進行身份驗證的情況下進行遠程利用;MySQL中修復了45個漏洞,其中9個漏洞無需身份驗證即可遠程利用。完整漏洞列表請參考以下官方鏈接,建議用戶盡快應用更新。


原文鏈接:

https://www.oracle.com/security-alerts/cpuapr2020.html


4、英特爾發布4月安全更新,修復多款產品中的9個漏洞



英特爾在4月補丁更新中修復了9個漏洞,這些漏洞均為中高危漏洞,影響多個軟件、固件及平臺。英特爾修復了PROSet/無線WiFi產品在Windows 10上的兩個漏洞-經過身份驗證的攻擊者由于不安全的繼承權限而可能通過本地訪問進行特權升級(CVE-2020-0557);由于內核驅動程序中的緩沖區限制不當,無特權的攻擊者可能通過相鄰網絡訪問來導致拒絕服務(CVE-2020-0558)。英特爾還修復了NUC mini PC的系統固件中和模塊化服務器MFS2600KISPP計算模塊中的兩個漏洞,包括不正確的緩沖區限制導致的LPE漏洞(CVE-2020-0600)和條件檢查不當導致的提權漏洞(CVE-2020-0578)。


原文鏈接:

https://www.bleepingcomputer.com/news/security/intel-april-platform-update-fixes-high-severity-security-issues/


5、EA Sports遭大規模DDoS攻擊,全球服務中斷



游戲公司EA Sports又一次遭到大規模的DDoS攻擊,導致該公司的服務器在全球范圍內脫機。此次攻擊發生在4月14日下午4:19。根據Down Detector的實時地圖,此次攻擊主要影響了歐洲地區的客戶,但加拿大、埃及、南非等地的客戶也受到了或多或少的影響。4月15日凌晨1點25分,EA Sports承認該公司“經歷了一系列DDoS攻擊”。在發布本文時,EA Sports的客戶仍在抱怨服務宕機,這表明該公司仍在遭受攻擊。值得注意的是,暴雪也在4月14日凌晨4點15分左右遭到一系列DDoS攻擊,導致全球服務中斷。


原文鏈接:

https://www.hackread.com/ea-sports-down-gaming-giant-hit-by-ddos-attacks/

上一篇 下一篇