信息安全周报-2019年第30周

发布时间 2019-08-05

> 本周安全态势综述



2019年7月29日至8月04日共收录安全漏洞50个,值得关注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞;Puppet Enterprise PE's express install默认密码漏洞;Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞;Polycom UC Software上传文件代码实行漏洞;cPanel SQL注入漏洞。


本周值得关注的网络安全事件是纽约通过新数据泄露通知法案,数据监管再次升级;Capital One泄露1.06亿用户信息,嫌疑人已被捕;VxWorks修复11个安全漏洞,影响超过20亿台设备;Amcrest家用摄像头严重漏洞,可允许攻击者远程监听用户;智利1430万公民信息泄露,占全国总人口近80%。


根据以上综述,本周安全威胁为中。



> 重要安全漏洞列表



1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞


Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密码更改界面更改密码处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意OS命令。

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=1559026340

2. Puppet Enterprise PE's express install默认密码漏洞


Puppet Enterprise PE's express install存在默认密码漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问。
https://puppet.com/security/cve/CVE-2019-10694

3. Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞


Wind River Systems VxWorks IP选项处理存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
https://www.us-cert.gov/ics/advisories/icsa-19-211-01

4. Polycom UC Software上传文件代码实行漏洞


Polycom UC Software上传文件存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf

5. cPanel SQL注入漏洞


cPanel存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。
https://documentation.cpanel.net/display/CL/58+Change+Log


 > 重要安全事件综述



1、纽约通过新数据泄露通知法案,数据监管再次升级



纽约州州长Andrew M. Cuomo近日签署了一项新的数据泄露通知法案,该法案的名称为“阻止黑客及改进电子数据安全”,即SHIELD法案,旨在保护纽约公民的隐私数据并加强该州的数据泄露政策。该法案扩大了个人信息的范围,将生物识别信息、电子邮件地址及密码、安全问题及答案列入其中。该法案还增加了民事处罚,并将通知要求应用于任何拥有纽约公民隐私信息的个人或实体,而不仅仅是在纽约州开展业务的实体。该法案还将提供身份盗窃保护服务写入法律,要求CRA在发生涉及社会安全号码的数据泄露后必须向消费者提供合理的保护服务。

原文链接:https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/

2、Capital One泄露1.06亿用户信息,嫌疑人已被捕


Capital One确认其系统于3月22日至23日期间遭未授权访问,导致1.06亿用户的信息泄露,包括交易数据、信用评分、支付历史、余额以及关联的银行账户和社会安全号码。受影响的用户包括1亿美国人和600万加拿大人。根据相关证据,FBI已经逮捕了嫌疑人Paige Thompson。Capital One表示由于客户通知、免费的信用监控服务、安全改进成本以及法律费用,这一事件将导致约1亿至1.5亿美金的成本。

原文链接:https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

3、VxWorks修复11个安全漏洞,影响超过20亿台设备



Armis研究人员在VxWorks RTOS中发现11个安全漏洞,这些漏洞影响了航空航天、国防、工业、医疗、汽车、消费电子等领域的20多亿台设备。这些漏洞被统称为URGENT/11,可允许远程攻击者绕过传统的安全解决方案并完全控制受影响的设备或类似永恒之蓝一样导致大规模的设备中断,并且无需用户交互。这些漏洞存在于VxWorks 6.5之后的TCP/IP协议栈中,影响了过去13年来发布的所有VxWorks版本。该企业已经在上个月发布了修复补丁,但这些补丁通过设备厂商到达消费者可能还需要一定的时间。

原文链接:https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

4、Amcrest家用摄像头严重漏洞,可允许攻击者远程监听用户




安全厂商Tenable发现Amcrest IP2M-841B家用摄像头存在一个严重漏洞,可允许攻击者通过HTTP远程监听摄像头的音频输入。该漏洞被标记为CVE-2019-3948,影响了摄像头固件版本V2.520.AC00.18.R,并且无需身份验证即可利用。此外,该产品也易受身份验证绕过漏洞(CVE-2017-7927)攻击。Amcrest已经发布相关修复补丁。


原文链接:https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/

5、智利1430万公民信息泄露,占全国总人口近80%



Wizcase研究团队发现一个Elasticsearch数据库暴露了超过1430万智利公民的选举信息,占该国总人口的近80%。这些信息包括姓名、家庭住址、性别、年龄和纳税号码。智利选举服务Servel的发言人确认了这些数据的真实性,但否认该服务器属于他们。该发言人表示这些信息对应于2017年的数据,可能是第三方从其网站上收集汇总得来。

原文链接:https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/