信息安全周报-2019年第41周

发布时间 2019-10-21

>本周安全态势综述



2019年10月14日至20日共收录安全漏洞53个,值得关注的是ISC BIND QNAME最小化代码拒绝服务漏洞;Samsung Galaxy S10未授权访问漏洞;Kubernetes API Server JSON/YAML解析拒绝服务漏洞;Adobe Experience Manager CVE-2019-8088命令注入漏洞;Adobe Acrobat和Reader内存错误引用任意代码执行漏洞。


本周值得关注的网络安全事件是航运巨头Pitney Bowes遭勒索软件攻击,多个系统宕机;赛门铁克终端安全产品的更新导致用户设备蓝屏;Android 0day(CVE-2019-2215)的PoC代码已发布;数百万亚马逊Echo和Kindle设备易受WiFi KRACK攻击;Linux sudo权限绕过漏洞,可以root权限执行命令。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表



1. ISC BIND QNAME最小化代码拒绝服务漏洞
ISC BIND QNAME最小化代码处理存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使named退出,造成拒绝服务攻击。
https://kb.isc.org/docs/cve-2019-6476

2. Samsung Galaxy S10未授权访问漏洞
Samsung Galaxy S10指纹验证存在安全漏洞,允许攻击者可以利用漏洞提交未录入指纹,可访问手机。
https://www.forbes.com/sites/gordonkelly/2019/10/15/samsung-galaxy-s10-note10-plus-fingerprint-reader-warning-upgrade-galaxy-s11

3. Kubernetes API Server JSON/YAML解析拒绝服务漏洞
Kubernetes API Server JSON/YAML解析存在安全漏洞,允许通过授权的远程攻击者利用漏洞提交特殊的恶意请求,可进行拒绝服务攻击。
https://github.com/kubernetes/kubernetes/issues/83253

4. Adobe Experience Manager CVE-2019-8088命令注入漏洞
Adobe Experience Manager命令注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意命令。
https://helpx.adobe.com/security/products/experience-manager/apsb19-48.html

5. Adobe Acrobat和Reader内存错误引用任意代码执行漏洞
Adobe Acrobat和Reader存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的PDF文件,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://helpx.adobe.com/security/products/acrobat/apsb19-49.html


 >重要安全事件综述



1、航运巨头Pitney Bowes遭勒索软件攻击,多个系统宕机



全球航运巨头Pitney Bowes宣布遭遇勒索软件攻击,导致部分系统中断,从而影响了客户对其某些服务的访问。Pitney Bowes为全球超过150万客户提供服务,包括90%的财富500强公司。目前有多个Pitney Bowes服务受到影响,包括Pitney Bowes的邮件系统产品。客户无法在其邮件系统上补充邮资或上传交易,也无法访问英国和加拿大的SendPro Online产品及Your Account和Pitney Bowes Supplies网上商店,这反过来又影响了订阅AutoInk和Supplies App的客户。该公司在声明中表示,目前没有证据表明客户或员工的数据被不当访问,该公司正在与第三方合作进行调查与解决问题。

原文链接:
https://www.bleepingcomputer.com/news/security/global-shipping-firm-pitney-bowes-affected-by-ransomware-attack/

2、赛门铁克终端安全产品的更新导致用户设备蓝屏



赛门铁克为其Endpoint Protection产品推出的入侵检测签名更新导致用户设备出现崩溃并显示蓝屏(BSOD)。该问题影响了Win 7、Win8及Win 10,根据赛门铁克的表述,在运行LiveUpdate时Endpoint Protection Client会显示死亡蓝屏,并显示IDSvix86.sys/IDSvia64.sys出现问题,导致BAD_POOL_CALLER (c2)或KERNEL_MODE_HEAP_CORRUPTION (13A)异常。该公司还补充称受影响的入侵检测的签名版本为2019/10/14 r61,该问题已在新版本2019/10/14 r62中解决。

原文链接:
https://www.bleepingcomputer.com/news/security/symantec-fixes-bad-ips-definitions-that-cause-a-windows-bsod/

3、Android 0day(CVE-2019-2215)的PoC代码已发布


本月初谷歌安全研究员Maddie Stone披露了一个Android零日漏洞(CVE-2019-2215),当时谷歌表示该零日漏洞在野外被积极利用。近日佛罗里达大学Grant Hernandez在博客中发布了一个新的PoC工具Qu1ckR00t,攻击者可利用该工具获得root权限并完全控制设备。该工具没有作为打包的APK文件发布,而是以源代码的形式在GitHub上发布。Hernandez表示他只在Pixel 2手机上测试过Qu1ckR00t,并警告没有经验的用户不要测试该代码,否则会有系统变砖和数据丢失的风险。Google已在2019年10月的Android安全公告(安全补丁程序级别2019-10-06)中修补了CVE-2019-2215 。为了避免出现问题,建议用户安装必要的补丁程序。


原文链接:

https://www.zdnet.com/article/security-researcher-publishes-proof-of-concept-code-for-recent-android-zero-day/

4、数百万亚马逊Echo和Kindle设备易受WiFi KRACK攻击



根据ESET的一份报告,研究人员发现Amazon Echo 1st和Amazon Kindle 8th设备仍然受到WiFi KRACK漏洞的影响,这可能影响数百万设备。KRACK漏洞是WPA2协议4次握手中的漏洞(CVE-2017-13077和CVE-2017-13078),该漏洞于2017年10月被公开。根据ESET的表述,这些漏洞可能允许攻击者执行DoS攻击、破坏网络通信或重播攻击,拦截和解密用户传输的密码或会话等敏感信息,伪造数据包甚至注入新数据包等。ESET于2018年10月23日通知了亚马逊,亚马逊在2019年1月已向受影响的设备推送了相关修复补丁。


原文链接:

https://www.bleepingcomputer.com/news/security/millions-of-amazon-echo-and-kindle-devices-affected-by-wifi-bug/

5、Linux sudo权限绕过漏洞,可以root权限执行命令



Linux sudo曝出提权漏洞,可绕过Runas用户限制以root权限执行命令。该漏洞(CVE-2019-14287)由苹果信息安全部门的Joe Vennix发现,如果将sudo配置为允许用户以任意用户身份运行命令,则可以通过指定用户ID为-1或4294967295的方式以root身份运行命令。这是因为将用户ID转换为用户名的函数,会将-1(或等效的4294967295)误认为0,而这正好是root用户的User ID。此外,由于通过-u选项指定的User ID在密码数据库中不存在,因此不会运行任何PAM会话模块。该漏洞影响版本1.8.28之前的所有Sudo版本。

原文链接:
https://www.sudo.ws/alerts/minus_1_uid.html