信息安全周报-2019年第25周

发布时间 2019-07-01

本周安全态势综述



2019年6月24日至30日共收录安全漏洞47个,值得关注的是Actiontec WEB6000Q root权限访问漏洞;致远OA文件上传代码执行漏洞;Couchbase Sync Gateway任意代码执行漏洞;Cesanta Mongoose ‘parse_mqtt()’函数缓冲区溢出漏洞;ABB PB610 IDAL HTTP server安全绕过代码执行漏洞。


本周值得关注的网络安全事件是macOS双重释放漏洞,可导致提权及代码执行;美媒证实美对伊朗导弹控制系统发起网络攻击;IBM WebSphere远程代码执行漏洞(CVE-2019-4279);BGP路由泄漏导致Cloudflare和Amazon AWS网络中断;FireEye发布Q1 电子邮件威胁报告,钓鱼攻击增长17%。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表



1. Actiontec WEB6000Q root权限访问漏洞
Actiontec WEB6000Q Quantenna WiFi Controller存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的telnet请求,可以ROOT权限访问。
http://seclists.org/fulldisclosure/2019/Jun/2

2. 致远OA文件上传代码执行漏洞
致远OA上传文件功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可提交恶意文件并执行任意代码。
http://www.seeyon.com/

3. Couchbase Sync Gateway任意代码执行漏洞
Couchbase Sync Gateway REST API存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入其他N1QL语句。
https://docs.couchbase.com/sync-gateway/2.5/release-notes.html

4. Cesanta Mongoose ‘parse_mqtt()’函数缓冲区溢出漏洞
Cesanta Mongoose mg_mqtt.c ‘parse_mqtt()’函数存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
https://github.com/cesanta/mongoose/releases/tag/6.15

5. ABB PB610 IDAL HTTP server安全绕过代码执行漏洞
ABB PB610 IDAL HTTP server存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可绕过安全限制执行任意代码。
https://library.e.abb.com/public/b0021d2ab9ba4e3ab14d7c2796f5908e/ABB-Advisory_3ADR010377_2.pdf


重要安全事件综述



1、macOS双重释放漏洞,可导致提权及代码执行


趋势科技研究人员在macOS中发现一个双重释放漏洞(CVE-2019-8635)。该漏洞是由AMD组件中的内存损坏问题引起的,如果成功利用,攻击者可提权至root权限并在系统上执行恶意代码。该CVE ID涵盖两个双重释放漏洞,第一个存在于AMDRadeonX4000_AMDSIGLContext类的discard_StretchTex2Tex方法中,第二个是该类的process_StretchTex2Tex方法。Apple在macOS Mojave 10.14.4更新中修复了该漏洞。

原文链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2019-8635-double-free-vulnerability-in-apple-macos-lets-attackers-escalate-system-privileges-and-execute-arbitrary-code/

2、美媒证实美对伊朗导弹控制系统发起网络攻击



根据周日美联社的报道,美国网络司令部在总统特朗普的直接批准下对伊朗的军事IT系统发动了网络攻击。美联社援引了两名内部消息来源并通过第三位五角大楼官员对这一消息进行了确认。美国网络司令部针对的是伊朗军方用来控制导弹发射器的计算机系统。《纽约时报》的报道显示,这些攻击早在几周前就有了计划,意在回应针对油轮的攻击以及最近一架美国无人机被击落的事件。

原文链接:
https://www.zdnet.com/article/us-launches-cyber-attack-aimed-at-iranian-rocket-and-missile-systems/

3、IBM WebSphere远程代码执行漏洞(CVE-2019-4279)



IBM修复WebSphere Application Server中的远程代码执行漏洞(CVE-2019-4279),攻击者可通过发送精心构造的序列化对象触发该漏洞,最终导致在服务器上执行任意代码。受影响的产品包括WebSphere Application Server ND版本9.0和版本8.5、WebSphere Virtual Enterprise V7.0。由于近日该漏洞的攻击方式已在野外传播,建议用户及时进行防护。

原文链接:
https://www-01.ibm.com/support/docview.wss?uid=ibm10883628

4、BGP路由泄漏导致Cloudflare和Amazon AWS网络中断


6月24日由于Verizon错误地转发了BGP路由广播,导致网络流量被错误地导向Verizon,使得Cloudflare、Amazon AWS和Facebook等公司的服务无法访问。事件的起因是宾夕法尼亚州的一家小型ISP AS33154-DQE Communications使用Noction的BGP优化器优化其内部网络的路由,但由于错误配置这些路由信息被错误地发给了Verizon,最终导致大范围的网络中断。

原文链接:
https://www.bleepingcomputer.com/news/technology/bgp-route-leak-causes-cloudflare-and-amazon-aws-problems/

5、FireEye发布Q1 电子邮件威胁报告,钓鱼攻击增长17%


根据本周二FireEye发布的2019年第一季度电子邮件威胁报告,使用HTTPS的恶意URL比例增长了26%,而传统的附件为恶意软件的电子邮件在稳步下降。基于对13亿封电子邮件的分析,该报告指出2019年第一季度的网络钓鱼攻击比上一季度增长了17%,总共有近30%的攻击是模仿Microsoft、OneDrive、Apple、Amazon和PayPal等知名品牌。此外,文件共享服务在针对企业的网络攻击中被更频繁地使用,包括Google Drive和Dropbox。

原文链接:
https://www.fireeye.com/offers/rpt-email-threat.html