信息安全周报-2019年第47周

发布时间 2019-12-03

>本周安全态势综述


2019年11月25日至12月01日共收录安全漏洞48个,值得关注的是F5 SSL Orchestrator SSL编排拒绝服务漏洞; Dell EMC Storage Monitoring and Reporting反序列化代码执行漏洞;TP-Link TL-WR841N http_parser_main缓冲区溢出漏洞;Symantec Critical System Protection安全绕过未授权访问漏洞;Linux kernel Marvell WiFi chip driver lbs_ibss_join_existing缓冲区溢出漏洞。


本周值得关注的网络安全事件是TrickBot新变种可窃取OpenSSH和OpenVPN密钥;Fortinet安全产品硬编码加密密钥漏洞(CVE-2018-9195);两个Android SDK非法收集Facebook及Twitter用户数据;惠普警告部分SSD将在通电32768小时后发生故障;西班牙安全厂商Prosegur遭到勒索软件Ryuk攻击。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表



1. F5 SSL Orchestrator SSL编排拒绝服务漏洞


F5 SSL Orchestrator SSL编排处理存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行拒绝服务攻击,使TMM崩溃。


https://support.f5.com/csp/article/K21135478


2. Dell EMC Storage Monitoring and Reporting反序列化代码执行漏洞


Dell EMC Storage Monitoring and Reporting Java RMI服务存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。


https://www.zerodayinitiative.com/advisories/ZDI-19-996/


3. TP-Link TL-WR841N http_parser_main缓冲区溢出漏洞


TP-Link TL-WR841N http_parser_main处理Host request存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。


https://www.zerodayinitiative.com/advisories/ZDI-19-992/


4. Symantec Critical System Protection安全绕过未授权访问漏洞


Symantec Critical System Protection实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可绕过安全限制未授权访问。


https://support.symantec.com/us/en/article.SYMSA1498.html


5. Linux kernel Marvell WiFi chip driver lbs_ibss_join_existing缓冲区溢出漏洞


Linux kernel Marvell WiFi chip driver中的drivers/net/wireless/marvell/libertas/cfg.c lbs_ibss_join_existing存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。


https://access.redhat.com/security/cve/cve-2019-14896




>重要安全事件综述


1、TrickBot新变种可窃取OpenSSH和OpenVPN密钥



Palo Alto Networks的Unit 42研究团队发现TrickBot的新变种更新了密码窃取模块,可用于窃取OpenSSH私钥以及OpenVPN密码和配置文件。该模块并不是新增加的,早在2018年11月研究人员就发现了可从多个浏览器和应用程序中窃取密码的模块。该模块在2月份进行了升级,可以窃取VNC、PuTTY及RDP服务中的身份验证凭据。现在11月份研究人员发现该模块正在通过HTTP POST请求将OpenSSH私钥以及OpenVPN密码和配置文件发送到C2服务器。这表明自2016年10月被发现以来,TrickBot一直在更新其功能和模块。


原文链接:

https://www.bleepingcomputer.com/news/security/trickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys/


2、Fortinet安全产品硬编码加密密钥漏洞(CVE-2018-9195)



SEC Consult安全研究员StefanViehböck在Fortinet的FortiOS中发现硬编码的加密密钥(CVE-2018-9195),受影响的产品包括FortiGate防火墙以及Mac和Windows版本的FortiClient终端保护软件。这三种产品使用弱加密(XOR)并且是硬编码的加密密钥与各种FortiGate云服务进行通信。该密钥用于加密FortiGuard Web过滤功能、FortiGuard反垃圾邮件功能和FortiGuard AntiVirus功能的用户流量。攻击者可利用此漏洞嗅探用户的流量,跟踪他们的浏览记录或电子邮件数据。研究人员于2018年5月发现并报告了这些问题,但Fortinet花了10到18个月的时间才删除了硬编码的密钥。建议用户更新至FortiOS 6.0.7或6.2.0、FortiClient Windows 6.2.0及FortiClient Mac 6.2.2。


原文链接:

https://www.zdnet.com/article/some-fortinet-products-shipped-with-hardcoded-encryption-keys/


3、两个Android SDK非法收集Facebook及Twitter用户数据



研究人员发现两个第三方SDK(OneAudience和Mobiburn)可秘密收集Twitter和Facebook用户数据,Twitter和Facebook正在进行调查。这两个SDK都是数据货币化服务,通过向开发人员付费以将其SDK集成到应用中,然后收集用户的行为数据用于广告营销。通常此类套件不会访问用户登录Facebook或Twitter后生成的个人信息、账户密码等数据。Twitter在一篇博客中确认OneAudience SDK可未经授权从Twitter帐户中收集用户的个人信息。Twitter没有透露受影响的用户数量,但表示只有Android用户受到影响。Facebook表示也受到该问题影响,包括OneAudience SDK和MobiBurn SDK。两家SDK开发者回应称他们仅提供工具,但不以任何方式参与数据收集,将责任归咎于滥用其SDK的app开发人员。


原文链接:

https://thehackernews.com/2019/11/sdk-twitter-facebook-android.html


4、惠普警告部分SSD将在通电32768小时后发生故障



HPE警告多款SSD将在通电时间累计达32768小时后发生故障,导致硬盘上的数据丢失且无法恢复。异常时间可转换为3年270天8小时,远小于产品的正常使用寿命,甚至部分型号的保修期也可扩展至5年。受影响的产品型号多达20种,多款产品主要面向企业服务器,包括HPE ProLiant、Synergy、Apollo、JBOD D3xxx、D6xxx、D8xxx、MSA、StoreVirtual 4335和StoreVirtual 3200等。该公司在11月22日发布了8款产品的修复程序,并计划在12月的第二周发布剩余产品的固件更新。


原文链接:

https://www.bleepingcomputer.com/news/hardware/hp-warns-that-some-ssd-drives-will-fail-at-32-768-hours-of-use/


5、西班牙安全厂商Prosegur遭到勒索软件Ryuk攻击



西班牙安全厂商Prosegur在一份声明中宣布遭勒索软件攻击,整个公司的网络都已关闭。尽管没有得到官方确认,但BleepingComputer了解到该攻击影响了Prosegur在欧洲的所有地点。在Twitter上的更新中,Prosegur确认导致其服务中断的恶意软件是Ryuk,并将事件标记为“一般性攻击”。该公司表示已采取最大程度的安全措施阻止该恶意软件在其内部及客户端网络中传播。作为预防措施,该公司将继续限制通信,直到确认其系统已干净,并正在努力以最快的速度恢复受影响的服务。


原文链接:

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-forces-prosegur-security-firm-to-shut-down-network/