信息安全周报-2020年第30周

发布时间 2020-07-27

> 本周安全态势综述


2020年07月20日至07月26日共收录安全漏洞57个,值得关注的是Tenda AC15 AC1900任意命令执行漏洞;Tesla Model 3未授权打开车门漏洞;Phoenix Contact PLCnext Engineer CVE-2020-12499路径遍历漏洞;Adobe Photoshop CC CVE-2020-9687越界写漏洞; HPE nagios plugin for iLO PHP代码注入漏洞。


本周值得关注的网络安全事件是Mozilla发布雷鸟安全更新,修复多个严重的漏洞;AvertX IP系列摄像头存在3个漏洞,可被利用发起暴力攻击;Adobe发布紧急安全更新,修复多款产品中任意代码执行漏洞;黑客利用Google云发起钓鱼攻击,窃取Office 365凭证;思科发布安全更新,修复ASA和FTD中的路径遍历漏洞。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表


1.Tenda AC15 AC1900任意命令执行漏洞


Tenda AC15 AC1900 goform/AdvSetLanip端点存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的‘lanIp POST’参数请求,可执行任意系统命令。

https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68


2. Tesla Model 3未授权打开车门漏洞


Tesla Model 3存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可借助合法钥匙卡并实施NFC中继攻击利用该漏洞打开车门。

https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers


3. Phoenix Contact PLCnext Engineer CVE-2020-12499路径遍历漏洞


Phoenix Contact PLCnext Engineer存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行目录遍历攻击,可获取Web服务文件系统内的任意文件。

https://cert.vde.com/en-us/advisories/vde-2020-025


4. Adobe Photoshop CC CVE-2020-9687越界写漏洞


Adobe Photoshop CC存在越界写漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可进行拒绝服务攻击或者以应用程序上下文执行任意代码。

https://helpx.adobe.com/security/products/photoshop/apsb20-45.html


5. HPE nagios plugin for iLO PHP代码注入漏洞


HPE nagios plugin for iLO存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可注入任意PHP代码并执行。

https://github.com/HewlettPackard/nagios-plugins-hpilo/commit/7617b2736a95c7f354198f092febe37e7005c677



> 重要安全事件综述


1、Mozilla发布雷鸟安全更新,修复多个严重的漏洞



原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird


2、AvertX IP系列摄像头存在3个漏洞,可被利用发起暴力攻击



原文链接:

https://www.ehackingnews.com/2020/07/vulnerabilities-with-avertx-ip-security.html


3、Adobe发布紧急安全更新,修复多款产品中任意代码执行漏洞



原文链接:

https://www.bleepingcomputer.com/news/security/adobe-photoshop-gets-fixes-for-critical-security-vulnerabilities/


4、黑客利用Google云发起钓鱼攻击,窃取Office 365凭证



原文链接:

https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-google-cloud-services-to-steal-office-365-logins/    


5、思科发布安全更新,修复ASA和FTD中的路径遍历漏洞



原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software