首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第32周

發布時間 2020-08-10

> 本周安全態勢綜述


2020年08月03日至08月09日共收錄安全漏洞59個,值得關注的是Advantech WebAccess HMI Designer項目文件內存錯誤引用漏洞;Geutebruck G-Cam OS命令注入漏洞;Cisco StarOS IPv6緩沖區溢出漏洞;Cohesive Networks vns3:vpn OS命令注入漏洞; Android Qualcomm組件CVE-2020-11118代碼執行漏洞。


本周值得關注的網絡安全事件是研究人員發現HTTP/2 新型計時側信道攻擊方式;NordPass稱有上萬個配置錯誤的數據庫泄露100億條記錄;黑客入侵2gether服務器,竊取價值120萬歐元的加密貨幣;卡巴斯基發現伊朗APT組織Oilrig使用DoH竊取網絡中數據;Intel 20GB源代碼和機密文件泄露,目前來源未知。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Advantech WebAccess HMI Designer項目文件內存錯誤引用漏洞


Advantech WebAccess HMI Designer處理項目文件存在類型混淆安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://us-cert.cisa.gov/ics/advisories/icsa-20-219-02


2. Geutebruck G-Cam OS命令注入漏洞


GeutebruckG-Cam存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的URL請求,可以ROOT權限執行任意命令。

https://us-cert.cisa.gov/ics/advisories/icsa-20-219-03


3. Cisco StarOS IPv6緩沖區溢出漏洞


Cisco StarOS IPv6流量處理存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的IPv6數據包,進行拒絕服務攻擊。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asr5k-ipv6-dos-ce3zhF8m


4. Cohesive Networks vns3:vpn OS命令注入漏洞


Cohesive Networks vns3:vpn管理界面存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意命令。

https://github.com/fireeye/Vulnerability-Disclosures/blob/master/FEYE-2020-0007/FEYE-2020-0007.md


5. Android Qualcomm組件CVE-2020-11118代碼執行漏洞


Android Qualcomm組件存在安全,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以系統上下文執行任意代碼。

https://source.android.com/security/bulletin/2020-08-01


> 重要安全事件綜述


1、研究人員發現HTTP/2 新型計時側信道攻擊方式



原文鏈接:

https://thehackernews.com/2020/07/http2-timing-side-channel-attacks.html


2、NordPass稱有上萬個配置錯誤的數據庫泄露100億條記錄



原文鏈接:

https://www.welivesecurity.com/2020/07/30/10-billion-records-exposed-unsecured-databases/


3、黑客入侵2gether服務器,竊取價值120萬歐元的加密貨幣



原文鏈接:

https://securityaffairs.co/wordpress/106726/hacking/2gether-hacked.html


4、卡巴斯基發現伊朗APT組織Oilrig使用DoH竊取網絡中數據



原文鏈接:

https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/#ftag=RSSbaffb68  


5、Intel 20GB源代碼和機密文件泄露,目前來源未知



原文鏈接:

https://www.bleepingcomputer.com/news/security/intel-leak-20gb-of-source-code-internal-docs-from-alleged-breach/

上一篇 下一篇