信息安全周报-2020年第01周
发布时间 2020-01-06>本周安全态势综述
2019年12月30日至2020年01月05日共收录安全漏洞50个,值得关注的是Apache Solr Velocity模板代码注入漏洞; Tencent WeChat用户名命令注入漏洞;ALE Alcatel-Lucent Omnivista 4760代码执行漏洞;Nagios XI schedulereport.php SHELL命令注入漏洞;Cisco Data Center Network Manager SOAP API OS命令注入漏洞。
本周值得关注的网络安全事件是Nagios XI远程命令执行漏洞(CVE-2019-20197);美法院授权微软接管朝鲜APT37控制的50个域名;物联网供应商Wyze意外泄露约240万客户信息;爱尔兰政府发布2019-2024国家网络安全战略;星巴克员工上传API密钥到GitHub上,可访问内部系统。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Apache Solr Velocity模板代码注入漏洞
Apache Solr Velocity模板VelocityResponseWriter存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,通过定义一个将该配置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”,可执行任意代码。
https://issues.apache.org/jira/browse/SOLR-13971
2. Tencent WeChat用户名命令注入漏洞
Tencent WeChat解析usernames存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-19-1035/
3. ALE Alcatel-Lucent Omnivista 4760代码执行漏洞
ALE Alcatel-Lucent Omnivista实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以SYSTEM用户身份执行代码。
https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html
4. Nagios XI schedulereport.php SHELL命令注入漏洞
Nagios XI schedulereport.php存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意SHELL命令。
https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html
5. Cisco Data Center Network Manager SOAP API OS命令注入漏洞
Cisco Data Center Network Manager SOAP API存在输入验证漏洞,允许通过验证的远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令并执行。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject
>重要安全事件综述
1、Nagios XI远程命令执行漏洞(CVE-2019-20197)
Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。@Cody Sixteen在Twitter发布了有关Nagios XI远程命令执行漏洞(CVE-2019-20197)的相关信息,该漏洞影响了Nagios XI 5.6.9版本,经过身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数,在Web服务器用户帐户的上下文中执行任意操作系统命令。目前厂商暂未发布修复措施。
原文链接:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534
2、美法院授权微软接管朝鲜APT37控制的50个域名
微软成功接管了由朝鲜黑客组织APT37控制的50个域名,这些域名被该组织用来发起网络攻击,包括发送钓鱼邮件和托管钓鱼页面等。微软表示其数字犯罪部门(DCU)和威胁情报中心(MSTIC)已经监视APT37长达数月的时间,并于12月18日在弗吉尼亚州法院对该组织提起诉讼。该法院授予微软权限以接管APT37在犯罪活动中使用的50个域名。微软高管表示该组织的大多数目标都位于美国、日本以及韩国。
原文链接:
https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/
3、物联网供应商Wyze意外泄露约240万客户信息
物联网供应商Wyze确认其一个Elasticsearch服务器泄露了约240万用户的详细信息。该数据库并不是生产系统,但存储了有效的用户数据,包括用于创建Wyze帐户的电子邮件地址、分配给其Wyze安全摄像机的用户昵称、WiFi网络标识符SSID以及2.4万用户的Alexa令牌等。该数据库于12月4日被错误地暴露在公网上,安全公司Twelve Security于12月26日发现了该数据库并通知了Wyze,Wyze随后对数据库进行了保护。
原文链接:
https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/
4、爱尔兰政府发布2019-2024国家网络安全战略
爱尔兰政府发布了《2019-2024国家网络安全战略》,这是该国于2015年发布的首个安全战略的更新版本。该战略报告概述了政府将如何继续促进该国计算机网络和相关基础设施的安全。报告中阐明了政府对安全和可靠的网络空间的愿景以及将采取的行动,包括继续提高关键基础架构和公共服务中的网络弹性;提高企业和公民对网络安全重要性的认识;通过与教育系统、行业和学术界的合作,进一步发展全社会的网络安全文化;继续巩固爱尔兰作为技术和信息安全中心的全球声誉,并帮助促进爱尔兰成为ICT企业的首选地点。该报告还敦促进行改革以保护关键基础架构免受重大网络威胁的影响,同时还警告称外国可能会干预爱尔兰的选举。
原文链接:
https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html
5、星巴克员工上传API密钥到GitHub上,可访问内部系统
安全专家Vinoth Kumar在一个公开可用的Github存储库中发现星巴克的一个API密钥在线暴露,攻击者可以利用该密钥来访问公司的内部系统并篡改授权用户列表。该密钥可用于访问星巴克JumpCloud API,JumpCloud是一个Active Directory管理平台,提供用户管理、Web应用程序单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务。Kumar还提供了该问题的PoC代码,演示了如何列出系统和用户、控制AWS帐户、在系统上执行命令以及添加或删除有权访问内部系统的用户。星巴克确认了这一问题并迅速撤销了该密钥。
原文链接:
https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html
京公网安备11010802024551号