信息安全周报-2019年第31周
发布时间 2019-08-12> 本周安全态势综述
2019年8月05日至11日共收录安全漏洞49个,值得关注的是Cisco Enterprise NFV Infrastructure Software OS命令注入漏洞;MicroDigital N-series cameras代码执行漏洞;Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢出漏洞;MongoDB Server权限提升漏洞;Android Qualcomm HLOS组件权限提升漏洞。
本周值得关注的网络安全事件是高通芯片存在QualPwn漏洞,波及骁龙855等多款SoC;卡巴斯基发布2019年第二季度DDoS攻击趋势报告;研究人员披露波音787内部网络中的多个安全漏洞;研究团队发布2019年工控威胁报告,九大犯罪团伙专注于ICS;Google和NASA因Jira服务器配置错误导致敏感数据泄露。
> 重要安全漏洞列表
1. Cisco Enterprise NFV Infrastructure Software OS命令注入漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfv-commandinj
2. MicroDigital N-series cameras代码执行漏洞
https://pastebin.com/PSyqqs1g
3. Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢出漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce
4. MongoDB Server权限提升漏洞
https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0829
5. Android Qualcomm HLOS组件权限提升漏洞
https://source.android.com/security/bulletin/2019-08-01.html
> 重要安全事件综述
高通多款SoC受到两个漏洞的影响,这两个漏洞被称为QualPwn,分别是影响高通WLAN组件及Android内核的缓冲区溢出漏洞(CVE-2019-10538)以及高通WLAN及Modem固件中的缓冲区溢出漏洞(CVE-2019-10540)。根据高通发布的安全公告,后者影响的产品包括SD 820、SD 835、SD 845、SD 850、SD 855等20多款芯片。高通和Android团队已经发布了相关修复补丁。
原文链接:https://www.zdnet.com/article/qualpwn-vulnerabilities-in-qualcomm-chips-let-hackers-compromise-android-devices/
2、卡巴斯基发布2019年第二季度DDoS攻击趋势报告
原文链接:https://securelist.com/ddos-report-q2-2019/91934/
3、研究人员披露波音787内部网络中的多个安全漏洞
IOActive研究人员Ruben Santamarta在Black Hat大会上披露了波音787梦幻客机中的多个安全漏洞。这些漏洞与飞机的成员信息服务/维护系统(CIS/MS)有关,攻击者可利用这些漏洞向飞机的关键安全系统(例如引擎、制动系统、传感器)发送恶意命令。此外,攻击者还可通过入侵飞机的卫星设备及无线通信渠道向维护工程师提供错误的系统信息。波音声称这些问题不会构成网络威胁,因为其防护措施可以阻止此类攻击。
原文链接:https://www.wired.com/story/boeing-787-code-leak-security-flaws/?verso=true
4、研究团队发布2019年工控威胁报告,九大犯罪团伙专注于ICS
原文链接:https://dragos.com/wp-content/uploads/Dragos-Oil-and-Gas-Threat-Perspective-2019.pdf
5、Google和NASA因Jira服务器配置错误导致敏感数据泄露
Jira是一个流行的项目管理解决方案,安全研究员Avinash Jain发现当在Jira Cloud中创建新的filter和dashboard时,其默认可见性是“所有”,这很容易被理解为“企业内部所有人”但实际上它指的是“互联网上的所有人”。这种配置错误使得许多组织的敏感项目信息曝光,包括Google、Yahoo、NASA、Lenovo、1Password、Zendesk以及政府机构等。
原文链接:https://www.bleepingcomputer.com/news/security/misconfigured-jira-servers-leak-info-on-users-and-projects/