信息安全周报-2019年第44周

发布时间 2019-11-12

>本周安全态势综述


2019年11月04日至10日共收录安全漏洞46个,值得关注的是Fuji Electric V-Server CVE-2019-18240缓冲区溢出漏洞; Cisco Small Business RV016, RV042, RV042G, RV082 CVE-2019-15271任意命令执行漏洞;TYPO3配置变量fileDenyPattern任意代码执行漏洞;Atlassian Jira Service Desk Server目录遍历漏洞;Aruba Networks ClearPass Policy Manager数据库凭证泄露漏洞。


本周值得关注的网络安全事件是俄罗斯“主权互联网”法律生效,可与全球互联网断开;黑客可利用激光入侵Google智能语音助手;Libarchive代码执行漏洞影响Linux及BSD发行版;趋势科技内部员工窃取超过12万用户信息并出售;2019年秋季钓鱼攻击活动增长至三年来最高记录。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表


1. Fuji Electric V-Server CVE-2019-18240缓冲区溢出漏洞


Fuji Electric V-Server存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。

https://www.us-cert.gov/ics/advisories/icsa-19-311-02


2. Cisco Small Business RV016, RV042, RV042G, RV082 CVE-2019-15271任意命令执行漏洞


Cisco RV016 Multi-WAN VPN Router没有对HTTP payload进行输入验证处理,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意OS命令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x


3. TYPO3配置变量fileDenyPattern任意代码执行漏洞


TYPO3配置变量fileDenyPattern值处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,执行任意代码。

https://typo3.org/security/advisory/typo3-sa-2010-012


4. Atlassian Jira Service Desk Server目录遍历漏洞


Atlassian Jira Service Desk Server存在目录遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文读取系统文件内容。

https://jira.atlassian.com/browse/JSDSERVER-6589


5. Aruba Networks ClearPass Policy Manager数据库凭证泄露漏洞


Aruba Networks ClearPass Policy Manager存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,获取数据库凭证。

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-010.txt



>重要安全事件综述


1、俄罗斯“主权互联网”法律生效,可与全球互联网断开



俄罗斯“主权互联网”法律在上周五生效,这将使俄罗斯政府能够将该国与全球互联网断开连接。这项法律由普京总统在5月份签署,要求ISP安装当局提供的技术设备以进行流量检查,这可能为大规模监视打开了大门。根据俄罗斯政府的说法,该法律旨在确保即使断开与全球互联网的连接也可以访问俄罗斯站点,以应对由网络攻击或安全事件导致的中断。该法律将使俄罗斯当局能够审查在线内容并监视网民。


原文链接:

https://securityaffairs.co/wordpress/93315/laws-and-regulations/russia-controversial-law-russia.html


2、黑客可利用激光入侵Google智能语音助手



近期,日本电子通信大学和密歇根大学的研究人员发现可通过激光入侵谷歌、苹果和亚马逊的智能语音设备。这种被称为“光命令”的攻击可通过向使用微机电系统(MEMS)的麦克风上发射激光束实现,通过调制光束的强度,可以诱骗MEMS产生与音频命令相同的电信号,最远甚至可以从110米外攻击。受影响的设备包括谷歌Home、Nest Cam、亚马逊Echo、Fire Cube TV、iPhone、三星Galaxy S9、谷歌Pixel和iPad。研究人员证明该攻击甚至可以打开车库门或解锁房屋门。


原文链接:

https://www.bleepingcomputer.com/news/security/using-light-beams-to-control-google-apple-amazon-assistants/


3、Libarchive代码执行漏洞影响Linux及BSD发行版



谷歌安全研究人员在Libarchive中发现一个代码执行漏洞(CVE-2019-18408),攻击者可诱使用户打开恶意存档文件在其系统上执行代码。Debian、Ubuntu、Gentoo、Arch Linux以及FreeBSD和NetBSD发行版均受影响,但Windows和macOS不受影响。Libarchive团队在新版本3.4.0中修复了该漏洞,目前尚未在野外发现该漏洞的PoC或利用代码。


原文链接:

https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/


4、趋势科技内部员工窃取超过12万用户信息并出售



趋势科技内部员工窃取公司客户信息并将其出售给第三方诈骗团伙。在客户遭到技术支持诈骗后,趋势科技展开调查并发现该员工非法访问了客户支持数据库。可能被窃的信息包括客户的姓名、电子邮件地址、技术支持单号以及电话号码,但该公司强调没有迹象表明财务或信用卡信息被窃,并且没有涉及到企业或政府客户。根据其内部调查,受影响的客户只占趋势科技1200万客户群的不到1%,即12万。


原文链接:

https://www.bleepingcomputer.com/news/security/trendmicro-employee-sold-customer-info-to-tech-support-scammers/


5、2019年秋季钓鱼攻击活动增长至三年来最高记录



根据APWG的统计数据,2019年秋季网络钓鱼攻击增长至三年来的最高记录。在2019年7月至9月期间检测到的钓鱼网站总数为266387,比2019年第二季度的182465增长了46%,几乎是2018年第四季度的138328的两倍。除了钓鱼网站数量的增加之外,2019年第三季度受钓鱼攻击的品牌数量也明显增长,平均每月有400多个品牌受到攻击,而第二季度为313个。


原文链接:

https://www.helpnetsecurity.com/2019/11/07/phishing-attacks-levels-rise/