Nagios XI远程命令实行漏洞(CVE-2019-20197);针对FPGA-CPU混合平台的JackHammer攻击

发布时间 2020-01-03


1.全球8.15亿智能扬声器中有一半使用户隐私面临风险



国际数据企业(IDC)进行的一项调查显示,在全球运营的8.15亿个智能扬声器中,几乎有一半正在威胁用户的隐私。这是IDC对全球8.15亿个智能扬声器、监控摄像头以及其他智能设备(例如智能电视)进行研究时发现的。一个更有趣的发现是,这些设备大多数都是作为礼物出售的。如果用户打算使用这些设备,建议他们按步骤操作以最大程度地降低其窃听能力。受影响的设备类型可能包括智能扬声器或智能手表、安全摄像头或保姆摄像头、智能门锁、智能电视以及智能玩具。


原文链接:

https://www.cybersecurity-insiders.com/half-of-the-global-815-million-smart-speakers-are-putting-users-privacy-at-risk/


2.研究人员演示针对FPGA-CPU混合平台的JackHammer攻击



在2019年12月31日发布的一篇新论文中,一群美国和德国学者演示了如何利用现场可编程门阵列(FPGA)卡来发起更快和更可靠的JackHammer攻击。FPGA是可以添加到计算机系统(台式机或服务器)的附加卡,近年来FPGA已经成为云计算环境中的一种常见产品,阿里云和AWS均可为客户提供基于FPGA的服务器实例,MicroSoft还致力于在Azure内部集成基于FPGA的技术。研究人员发现当从用户配置的FPGA中启动攻击代码时,与从CPU攻击相比可以更有效地引起位翻转并以更快的速度进行操作,这是因为FPGA卡直接连接到处理器的总线,从而可以直接不受限制地访问CPU缓存和RAM存储器,此外FPGA不必处理固件和OSApp,从而使其运行代码的速度比普通CPU更快。WolfSSL在12月20日发布的4.3.0版本中包含了一个漏洞(CVE-2019-19962)的修复程序,用于防止和缓解JackHammer攻击。


原文链接:

https://www.zdnet.com/article/fpga-cards-can-be-abused-for-faster-and-more-reliable-rowhammer-attacks/


3.餐饮娱乐企业Landry感染恶意App,客户支付信息泄露



美国餐饮、住宿及娱乐企业Landry通知客户其支付卡数据可能在安全事件中泄露。根据其网站上发布的通知,该企业表示恶意App主要从其酒吧和饭店收集支付卡数据。该事件发生在2019年3月13日到2019年10月17日期间,有63个酒吧和餐厅品牌受到影响。Landry表示在2016年发生支付卡泄露事件之后,他们实施了一种安全解决方案,通过端到端加密来隐藏客户的支付卡数据。但该安全功能仅适用于PoS终端,对酒吧和餐厅的订单输入系统没有影响。Landry表示事件的原因可能是服务员错误地在订单输入系统上刷了客户的支付卡,因此该企业认为只有少数用户受到影响。


原文链接:

https://www.tripwire.com/state-of-security/security-data-protection/landrys-notifies-customers-of-payment-card-incident/


4.科罗拉多州奥罗拉市水务部门泄露部分客户隐私信息



科罗拉多州奥罗拉市水务部门称部分客户的个人信息可能因数据泄露而受到损害,受影响的客户为在2019年8月30日至10月14日期间使用Click2Gov支付系统进行一次性付款或设置定期付款的客户。根据该市的调查,未经授权的攻击者修改了Click2GovApp的一段计算机代码,用于窃取姓名、账单地址、支付卡类型、支付卡号、验证码以及到期日期等信息,但不包括社会安全号码或政府颁发的ID号码。该市水务部门已经启用了一个名为Paymentus的新支付系统并正在完全过渡到该新系统,该系统没有受到影响。


原文链接:

https://www.9news.com/article/news/local/aurora-water-data-breach/73-4a717e74-9827-4a05-bab9-25782737dda6


5.Big Monitoring Fabric发布安全更新,修复两个漏洞



Big Monitoring Fabric应用程序修复了两个高危漏洞,包括XSS漏洞(CVE-2019-19632)和敏感信息泄露漏洞(CVE-2019-19631)。由Big Switch Networks开发的Big Monitoring Fabric是一种混合的云可见性和安全性解决方案,旨在为客户提供通过单个仪表板监视物理、虚拟和云环境的能力。第一个XSS漏洞位于/login页面中,它允许未经身份验证的攻击者在登录过程中提交JavaScript XSS有效内容作为用户名,从而获得对Big Monitoring Fabric应用程序的管理访问以及对受影响系统的SSH控制台访问。第二个漏洞允许低权限只读用户获得管理权限,并通过SSH控制台访问受影响的系统,具体来说,只读或管理员组中的用户可以通过API /api/v1/export访问SSH RSA私钥和有效的用户会话cookie(包括管理员的cookie)。


原文链接:

https://www.securityweek.com/high-risk-vulnerabilities-addressed-big-monitoring-fabric


6.Nagios XI远程命令实行漏洞(CVE-2019-20197)



Nagios XI是美国Nagios企业的一套IT基础设施监控解决方案。该方案支撑对应用、服务、操作系统等进行监控和预警。@Cody Sixteen在Twitter发布了有关Nagios XI远程命令实行漏洞(CVE-2019-20197)的相关信息,该漏洞影响了Nagios XI 5.6.9版本,经过身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数,在Web服务器用户帐户的上下文中实行任意操作系统命令。目前厂商暂未发布修复措施。


原文链接:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534