信息安全周报-2019年第43周
发布时间 2019-11-04>本周安全态势综述
2019年10月28日至11月03日共收录安全漏洞47个,值得关注的是Apple WebKit CVE-2019-8812内存破坏任意代码执行漏洞; MikroTik RouterOS NPK目录遍历漏洞;rConfig ‘rootUname’参数命令注入漏洞;ZTE 9000E CVE-2019-3425账户密码更改漏洞;Apache Thrift越界读漏洞。
本周值得关注的网络安全事件是我国通过《密码法》,将于2020年1月1日起实行;英国NCSC发布2019年网络安全年度报告;格鲁吉亚遭遇大规模网络攻击,波及1.5万个网站;Pwn2Own黑客大赛首次涉及工业控制系统;我国多个重要单位被境外APT黑客组织攻陷。
>重要安全漏洞列表
Rittal Chiller SK 3232-Series WEB接口存在安全漏
1. Apple WebKit CVE-2019-8812内存破坏任意代码执行漏洞
Apple WebKit处理WEB内容存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的页面请求,诱使用户解析,可进行拒绝服务攻击或者执行任意代码。
https://support.apple.com/zh-cn/HT210726
2. MikroTik RouterOS NPK目录遍历漏洞
MikroTik RouterOS处理升级包名字字段漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可进行目录遍历攻击,安装恶意包获取权限。
https://zh-cn.tenable.com/security/research/tra-2019-46?tns_redirect=true
3. rConfig ‘rootUname’参数命令注入漏洞
rConfig ‘rootUname’参数处理没有经过输入校验,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文执行任意OS命令。
https://drive.google.com/file/d/1bTpTn4-alJ8qGCEATLq-oVM6HbhE65iY/view?usp=sharing
4. ZTE 9000E CVE-2019-3425账户密码更改漏洞
ZTE 9000E存在设计漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,直接设置更改其它账户的密码。
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1011682
5. Apache Thrift越界读漏洞
Apache Thrift使用TJSONProtocol或 TSimpleJSONProtocol存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
http://mail-archives.apache.org/mod_mbox/thrift-dev/201910.mbox/%3C277A46CA87494176B1BBCF5D72624A2A%40HAGGIS%3E
>重要安全事件综述
原文链接:
http://www.xinhuanet.com/politics/2019-10/26/c_1125156896.htm
2、英国NCSC发布2019年网络安全年度报告
根据英国国家网络安全中心(NCSC)发布的2019网络安全年度报告,2018年9月1日至2019年8月31日期间NCSC共阻止了600多起网络攻击事件,其中大多数攻击是由海外攻击者发起的。该报告指出,大多数攻击针对政府机构、大学、信息技术、医疗保健和运输等行业。NCSC还警告了56家银行有关ATM盗窃威胁。该报告中称俄罗斯、中国、伊朗和朝鲜继续对英国构成战略性国家安全威胁。
原文链接:
https://securityaffairs.co/wordpress/93015/intelligence/ncsc-report-cyber-attacks.html
3、格鲁吉亚遭遇大规模网络攻击,波及1.5万个网站
当地时间10月28日,格鲁吉亚遭遇史上最大规模的网络攻击,在此期间超过1.5万个网站受到攻击并离线,各种政府机构、银行、法院、当地报纸和电视台的网站都受到影响。该事件与本地网络托管服务提供商Pro-Service被黑客入侵有关,攻击发生在当地早晨,到晚上8点时工作人员已经恢复了受损站点的一半以上。黑客在被入侵的网站上发布了被流放的前总统Mikheil Saakashvili的照片,并写上“我会回来!”的信息。当地执法机构正在对此事件进行调查。
原文链接:
https://www.zdnet.com/article/largest-cyber-attack-in-georgias-history-linked-to-hacked-web-hosting-provider/4、Pwn2Own黑客大赛首次涉及工业控制系统
Pwn2Own黑客大赛将提供超过25万美元的奖励,以鼓励挖掘ICS和相关协议漏洞。该活动将于明年(1月21日至1月23日)在迈阿密S4会议期间举办。“和其他竞赛一样,Pwn2Own试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”,Pwn2Own组织者、ZDI发起人Brian Gorenc在周一的帖子中表示,“Pwn2Own的目标始终是在攻击者积极利用之前修复这些漏洞”。Pwn2Own Miami为五个ICS类别的漏洞提供了各种奖励,包括控制服务器解决方案、OPC服务器、DNP3通信协议、HMI/操作员站和工程工作站软件。
原文链接:
https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/5、我国多个重要单位被境外APT黑客组织攻陷
原文链接:
http://tech.ifeng.com/c/7rCKq4uSCJl