首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第36周

发布时间 2019-09-16

> 本周安全态势综述



2019年9月09日至13日共收录安全漏洞48个,值得关注的是Dabman & Imperial Web Radio Devices telnet后门漏洞;Exim初始TLS握手任意代码执行漏洞;Apache OFBiz template注入代码执行漏洞;Adobe Flash Player PSDK内存错误引用漏洞;Microsoft Office内存破坏代码执行漏洞。


本周值得关注的网络安全事件是Dealer Leads意外泄露1.98亿汽车买家记录;新NetCAT攻击可从英特尔CPU中窃取数据;美国国家标准与技术研究院发布隐私框架初稿;黑客利用DoS漏洞导致美国电网防火墙反复重启;Telestar被曝Telnet后门漏洞影响100多万IoT设备。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表



1. Dabman & Imperial Web Radio Devices telnet后门漏洞


Dabman & Imperial Web Radio Devices存在未文档化的telnet后门漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问应用。
https://packetstormsecurity.com/files/154416/Dabman-And-Imperial-Web-Radio-Devices-Undocumented-Telnet-Backdoor.html

2. Exim初始TLS握手任意代码执行漏洞


Exim处理TLS链接的初始TLS握手存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,发送一个以“\0”结尾的SNI来触发漏洞,执行任意代码。
https://www.kb.cert.org/vuls/id/672565/

3. Apache OFBiz template注入代码执行漏洞


Apache OFBiz存在template注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意代码。
https://www.auscert.org.au/bulletins/ESB-2019.3469/

4. Adobe Flash Player PSDK内存错误引用漏洞


Adobe Flash Player PSDK namespace处理对象存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-19-818/

5. Microsoft Office内存破坏代码执行漏洞


Microsoft Office处理文档存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1264


 > 重要安全事件综述



1、Dealer Leads意外泄露1.98亿汽车买家记录



Dealer Leads的Elasticsearch数据库未受密码保护,导致1.98亿汽车买家记录在网上暴露。Dealer Leads通过SEO优化的目标网站网络收集有关潜在买家的信息,安全研究员Jeremiah Fowler表示这些网站为访客提供购车研究信息和分类广告,收集的信息被发送给汽车经销商作为销售数据。该暴露的数据库总共包含413GB信息,包括潜在购车者的姓名、电子邮件地址、电话号码、物理地址、IP地址以及贷款和财务数据、车辆信息等。

原文链接:
https://threatpost.com/198m-car-buyer-records-exposed-online/148231/

2、新NetCAT攻击可从英特尔CPU中窃取数据



研究人员发现一种新的侧信道攻击,它影响了自2012年以来制造的所有现代英特尔服务器处理器。该攻击被称为NetCAT(网络缓存攻击),与英特尔的数据直接I/O技术(DDIO)有关,DDIO在最新的英特尔服务器级处理器中默认打开,包括Intel Xeon E5、E7和SP处理器系列。该漏洞(CVE-2019-11184)的利用难度较高,攻击者需要进行身份验证,并且需要与目标系统建立直接网络连接。英特尔将该漏洞的CVSS评分确定为2.6分,并建议在受影响的CPU上禁用DDIO和RDMA功能,或限制从外部不受信任的网络直接访问易受攻击的系统。额外的缓解措施包括使用能够抵抗定时攻击的软件模块或使用恒定时间样式的代码。

原文链接:
https://thehackernews.com/2019/09/netcat-intel-side-channel.html

3、美国国家标准与技术研究院发布隐私框架初稿


美国国家标准与技术研究院(NIST)发布了一个隐私框架初稿,旨在通过企业风险管理帮助企业改善个人隐私。NIST表示,隐私框架旨在通过三个事项帮助企业保护个人隐私:通过在服务和产品中支持道德决策来建立客户信任;履行合规义务;以及促进与客户和监管机构就隐私实践进行沟通。该政策遵循网络安全框架的结构,由核心、概况和实施层组成。核心部分旨在促进关于隐私保护运营和期望结果的对话,而概况部分则推进满足组织使命和隐私价值的活动和结果的优先次序。实施层则对组织处理隐私风险流程的充分性进行沟通和决策提供支持。


原文链接:

https://www.executivegov.com/2019/09/nist-issues-preliminary-draft-of-privacy-framework/

4、黑客利用DoS漏洞导致美国电网防火墙反复重启



北美电力可靠性公司(NERC)上周表示今年早些时候影响美国电网实体的网络安全事件并没有最初设想的那样危险。NERC在一份报告中指出,黑客在2019年3月5日利用DoS漏洞导致电网防火墙在10小时内反复重启,该事件只影响了一些低影响级发电站点的网络外围防火墙,并没有造成电力供应的任何中断。随后的分析确定重启是由利用已知防火墙漏洞的外部实体发起的,运营商最终发现他们未能为受到攻击的防火墙应用固件更新,在操作员部署适当的补丁后,防火墙不再重启。


原文链接:

https://www.zdnet.com/article/cyber-security-incident-at-us-power-grid-entity-linked-to-unpatched-firewalls/


5、Telestar被曝Telnet后门漏洞影响100多万IoT设备


本周一Vulnerability-Lab研究员Benjamin Kunz披露Telestar Digital GmbH无线电IoT设备中的两个严重漏洞(CVE-2019-13473和CVE-2019-13474),可允许攻击者远程劫持系统。受影响的设备包括该公司的Imperial&Dabman系列产品,其中包括便携式收音机和DAB立体声系统。这些产品主要在欧洲销售,基于BusyBox Linux Debian并利用蓝牙和互联网连接。Kunz发现这些设备在23端口上启用了Telnet服务,但没有文档记录,由于采用了弱密码,研究团队可以在10分钟内获取root访问权限。研究人员称可能有超过100万台设备面临风险。


原文链接:
https://www.zdnet.com/article/critical-vulnerabilities-impact-over-a-million-iot-radio-devices/

上一篇 下一篇