信息安全周报-2019年第37周
发布时间 2019-09-23> 本周安全态势综述
2019年9月16日至22日共收录安全漏洞43个,值得关注的是Fastjson<=1.2.60远程代码执行漏洞;e-cology远程代码执行漏洞;CODESYS V3 Web Server栈溢出漏洞;VMware ESXi 'busybox'命令注入漏洞;Schneider Electric BMXNOR0200H Ethernet/Serial RTU module拒绝服务漏洞。
本周值得关注的网络安全事件是厄瓜多尔大部分公民隐私泄露,包含670万儿童信息;狮子航空公司数千万用户记录在暗网泄露;MITRE发布2019年CWE最危险软件错误列表Top25;AMD Radeon驱动程序被曝存在虚拟机逃逸漏洞;三星和LG智能设备将用户敏感数据发送到合作公司。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1. Fastjson<=1.2.60远程代码执行漏洞
Fastjson存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a
2. e-cology远程代码执行漏洞
e-cology BeanShell组件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意命令。
https://help.aliyun.com/noticelist/articleid/1060057523.html?spm=5176.2020520154.sas.20.36a91e43Zt9Vx7
3. CODESYS V3 Web Server栈溢出漏洞
CODESYS V3 Web Servers存在栈溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码或使应用程序崩溃。
https://www.codesys.com/fileadmin/data/customers/security/2019/Advisory2019-06_CDS-64543.pdf
4. VMware ESXi 'busybox'命令注入漏洞
VMware ESXi 'busybox'处理文件名存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意命令。
https://www.vmware.com/security/advisories/VMSA-2019-0013.html
5. Schneider Electric BMXNOR0200H Ethernet/Serial RTU module拒绝服务漏洞
Schneider Electric BMXNOR0200H Ethernet/Serial RTU module处理大量IEC 60870-5-104报文存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃。
https://www.schneider-electric.com/en/download/document/SEVD-2019-225-03/
> 重要安全事件综述
1、厄瓜多尔大部分公民隐私泄露,包含670万儿童信息
研究人员发现一家当地公司Novaestrat的Elasticsearch服务器暴露了厄瓜多尔大多数公民的隐私信息。厄瓜多尔的人口基数为1660万,而该数据库包含近2080万条用户记录,超过了该国的人口数据,其原因是数据库中包含一些重复记录和死亡公民的记录。泄露的数据包含姓名、家庭成员/家族树、公民注册数据、财务及工作信息、车辆信息等。数据库中还包含政府员工信息和677万儿童信息,以及700万条财务记录和250万条车辆记录。
原文链接:
https://www.zdnet.com/article/database-leaks-data-on-most-of-ecuadors-citizens-including-6-7-million-children/
2、狮子航空公司数千万用户记录在暗网泄露
狮子航空旗下两家航空公司的数千万条旅客记录在暗网论坛上泄露。这些数据存储在可公开访问的Amazon存储桶中,共有两个数据库,一个包含2100万条记录,另一个包含1400万条记录,该目录下还包含2019年5月份创建的备份文件,主要属于Malindo Air和Thai Lion Air。另一个备份文件的名称是Batik Air,该公司的母公司也是狮子航空。泄露的信息包括旅客的预订ID、居住地址、电话号码、邮箱地址、姓名、出生日期、护照号码和到期日期等。目前还不清楚这些数据首次泄露的时间,但据称至少从8月10日起该数据库已在论坛上流通。
原文链接:
https://www.bleepingcomputer.com/news/security/millions-of-lion-air-passenger-records-exposed-and-exchanged-on-forums/
3、MITRE发布2019年CWE最危险软件错误列表Top25
非营利组织MITER发布2019年最危险的软件漏洞和错误列表Top25。根据MITRE,最危险的软件错误是CWE-119,它被描述为“对内存缓冲区边界内操作的不正确限制”,即缓冲区溢出导致的越界读或写。排在第二位的是CWE-79,被描述为“网页生成期间输入造成的不正确反应”,即XSS攻击。第三名则是CWE-20,即“不正确的输入验证”。该列表是基于MITER数据库中的CVE数据及NVD数据库和CVSS获得的信息,总共有大约2.5万个CVE提供了源数据。完整列表请参考以下链接。
原文链接:
https://www.zdnet.com/article/these-software-vulnerabilities-top-mitres-most-dangerous-list-in-2019/
4、AMD Radeon驱动程序被曝存在虚拟机逃逸漏洞
思科Talos披露AMD ATI Radeon ATIDXX64.DLL驱动程序中的虚拟机逃逸漏洞。该漏洞存在于AMD Radeon RX 550及550系列显卡中,并且只能在运行VMWare Workstation 15时触发。研究人员解释称,可在VMware虚拟机系统中通过恶意像素着色器在AMD ATIDXX64.DLL驱动程序中触发内存越界写入,这可能会触发VMware来宾模式的漏洞,从而在宿主机上执行代码。该漏洞影响了ATIDXX64.DLL驱动程序版本25.20.15031.5004和25.20.15031.9002。该漏洞(CVE-2019-5049)的CVSS评分为9.0。
原文链接:
https://threatpost.com/amd-radeon-cards-vmware-workstations/148406/
5、三星和LG智能设备将用户敏感数据发送到合作公司
研究人员发现即使是在设备闲置时,三星、LG和Roku等公司的智能电视也会向合作的科技公司发送敏感的用户数据。根据两个团队的独立研究,智能电视的OTT平台会将用户的敏感数据泄露给Facebook、亚马逊、谷歌和Netflix等公司。第一份报告研究了81台设备,发现有72台设备将数据发送到非制造商的其它公司。第二份报告发现从智能电视发送的数据也与谷歌和Facebook管理的跟踪器有关,研究人员称89%的Amazon Fire TV频道和69%的Roku频道都包含用于跟踪用户收看习惯和偏好信息的跟踪器。这些跟踪器还可以识别设备和使用位置,包括设备序列号和ID、Wi-Fi名称和MAC地址等。
原文链接:
https://threatpost.com/smart-tvs-leak-data/148482/
京公网安备11010802024551号