首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第35周

發布時間 2020-09-01

> 本周安全態勢綜述


2020年08月24日至30日共收錄安全漏洞55個,值得關注的是Red Lion N-Tron未明接口漏洞;FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化漏洞;Advantech iView DeviceTreeTable exportTaskMgrReport目錄遍歷代碼執行漏洞;Foxit Studio Photo PSD越界寫代碼執行漏洞; Moog EXO Series EXVF5C-2管理控制臺'statusbroadcast'任意命令執行漏洞。


本周值得關注的網絡安全事件是Cisco發布安全更新,修復多個產品中的漏洞;Claroty發布2020年上半年ICS漏洞分析報告;印度旅游網站RailYatri因數據庫配置錯誤泄露3700萬條記錄;微軟修復Azure Sphere IoT平臺中的4個漏洞;Cisco前員工認罪刪除WebEx Teams的400多臺虛擬機。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Red Lion N-Tron未明接口漏洞


Red Lion N-Tron存在未文檔化接口漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,以ROOT權限執行任意命令。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01


2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化漏洞


FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource存在序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://github.com/FasterXML/jackson-databind/issues/2814


3. Advantech iView DeviceTreeTable exportTaskMgrReport目錄遍歷代碼執行漏洞


Advantech iView DeviceTreeTable exportTaskMgrReport存在目錄遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文讀取系統文件或者執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/


4. Foxit Studio Photo PSD越界寫代碼執行漏洞


Foxit Studio Photo解析PSD文件存在越界寫漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可以系統上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/


5. Moog EXO Series EXVF5C-2管理控制臺'statusbroadcast'任意命令執行漏洞


Moog EXO Series EXVF5C-2管理控制臺'statusbroadcast'存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,使用'${IFS}'變量繞過限制,可以root權限執行任意命令。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/



> 重要安全事件綜述


1、Cisco發布安全更新,修復多個產品中的漏洞


1.png


Cisco發布安全更新,以修復其多個產品中的漏洞。此次安全更新中修復的較為嚴重的漏洞為Treck IP堆棧中的漏洞Ripple20,這些漏洞可導致遠程執行代碼、拒絕服務(DoS)或信息泄露;用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默認憑據漏洞(CVE-2020-3446),可被利用以管理員權限訪問NFVIS CLI;思科智能軟件管理器(SSM On-Prem)本地特權升級漏洞(CVE-2020-3443)以及思科視頻監控8000系列IP攝像機思科發現協議遠程執行和拒絕服務漏洞(CVE-2020-3506和CVE-2020-3507)。


原文鏈接:

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates


2、Claroty發布2020年上半年ICS漏洞分析報告


2.png


工業網絡安全公司Claroty發布2020年上半年ICS漏洞分析報告。Claroty分析了新添加到國家漏洞數據庫(NVD)中的365個ICS漏洞以及ICS-CERT(CISA)發布的通報中涵蓋的385個漏洞。與2019年同期披露的漏洞數量相比,2020年上半年新增到NVD中的漏洞數量大約多出10%。在所識別的漏洞中,有70%以上的漏洞可被遠程利用,有將近一半可用于遠程執行代碼,其中41%的漏洞可讓攻擊者讀取應用程序數據,39%的漏洞可用于DoS攻擊,37%的漏洞可繞過安全機制。


原文鏈接:

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable


3、印度旅游網站RailYatri因數據庫配置錯誤泄露3700萬條記錄


3.png


SafetyDetectives 8月10日在網絡上發現了RailYatri的沒有密碼保護的Elasticsearch服務器,泄露3700萬條記錄客戶和公司數據,包括用戶的全名、年齡、性別、實際和電子郵件地址、手機號碼、預訂詳細信息、GPS位置以及姓名/支付卡的前四位和后四位。而在該公司對其數據進行保護之前,Meow機器人于8月12日對其發生攻擊,刪除了除1GB之外的所有數據(總共43 GB)。


原文鏈接:

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/


4、微軟修復Azure Sphere IoT平臺中的4個漏洞


4.png


微軟發布漏洞補丁,修復Azure Sphere IoT平臺中的4個漏洞。此次發布的補丁程序修復了2個遠程代碼執行漏洞和2個提權漏洞,這些漏洞都是由Cisco Talos的安全研究人員于7月份發現。第一個為READ_IMPLIES_EXEC personality未簽名代碼執行漏洞,第二個RCE漏洞存在于/proc/thread-self/ mem中。此外,權限訪問控制功能中存在一個提權漏洞,而第二個提權漏洞存在于Azure Sphere 20.06的uid_map功能中。微軟表示會確保解決這些問題并為客戶提供更新,但是拒絕發布任何CVEs。


原文鏈接:

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/


5、Cisco前員工認罪刪除WebEx Teams的400多臺虛擬機


5.png


思科前員工Sudhish Kasaba Ramesh認罪其刪除了WebEx Teams的400多臺虛擬機。據其認罪協議中稱,其承認在離職5個月后的2018年9月24日,未經公司的許可有意訪問思科的云基礎架構,并從其自己的Google Cloud Project帳戶中部署了一個代碼,刪除了思科WebEx Teams應用程序的456個虛擬機。據悉,該事件導致16000個WebEx Teams帳戶被關閉了長達兩個星期,Cisco花費了大約140萬美元來恢復其應用受到的損害,并向受影響的客戶退還了超過100萬美元的款項。


原文鏈接:

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/


上一篇 下一篇