信息安全周报-2019年第31周

发布时间 2019-08-12

> 本周安全态势综述



2019年8月05日至11日共收录安全漏洞49个,值得关注的是Cisco Enterprise NFV Infrastructure Software OS命令注入漏洞;MicroDigital N-series cameras代码实行漏洞;Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢出漏洞;MongoDB Server权限提升漏洞;Android Qualcomm HLOS组件权限提升漏洞。


本周值得关注的网络安全事件是高通芯片存在QualPwn漏洞,波及骁龙855等多款SoC;卡巴斯基发布2019年第二季度DDoS攻击趋势报告;研究人员披露波音787内部网络中的多个安全漏洞;研究团队发布2019年工控威胁报告,九大犯罪团伙专注于ICS;谷歌和NASA因Jira服务器配置错误导致敏感数据泄露。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表



1. Cisco Enterprise NFV Infrastructure Software OS命令注入漏洞


Cisco Enterprise NFV Infrastructure Software Web门户框架存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,以root权限实行任意命令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfv-commandinj


2. MicroDigital N-series cameras代码实行漏洞


MicroDigital N-series cameras ‘action’参数处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://pastebin.com/PSyqqs1g


3. Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢出漏洞


Cisco Small Business 220 Series Smart Switches WEB界面存在缓冲区溢出漏洞,允许攻击者可以利用漏洞提交特殊的请求,可使设备崩溃或实行任意代码。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce


4. MongoDB Server权限提升漏洞


MongoDB Server存在会话重用漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可重用已建立的会话,未授权访问。

https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0829


5. Android Qualcomm HLOS组件权限提升漏洞


Android Qualcomm HLOS组件存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可提升权限。
https://source.android.com/security/bulletin/2019-08-01.html


> 重要安全事件综述



1、高通芯片存在QualPwn漏洞,波及骁龙855等多款SoC


高通多款SoC受到两个漏洞的影响,这两个漏洞被称为QualPwn,分别是影响高通WLAN组件及Android内核的缓冲区溢出漏洞(CVE-2019-10538)以及高通WLAN及Modem固件中的缓冲区溢出漏洞(CVE-2019-10540)。根据高通发布的安全公告,后者影响的产品包括SD 820、SD 835、SD 845、SD 850、SD 855等20多款芯片。高通和Android团队已经发布了相关修复补丁。

原文链接:https://www.zdnet.com/article/qualpwn-vulnerabilities-in-qualcomm-chips-let-hackers-compromise-android-devices/

2、卡巴斯基发布2019年第二季度DDoS攻击趋势报告



根据卡巴斯基的2019年Q2 DDoS攻击报告,本季度的DDoS攻击数量比上一季度少得多。这种平静可能是由于夏季网络犯罪活动的传统性减少所致,与2018年Q2相比,攻击总数实际上增长了18个百分点,这意味着自2019年初以来观察到的DDoS增长趋势仍然存在。本季度中国还是DDoS攻击数量最多的地区(63.80%),其次是美国(17.57%)。本季度持续时间最长的攻击达509个小时,创下了新的历史记录。

原文链接:https://securelist.com/ddos-report-q2-2019/91934/

3、研究人员披露波音787内部网络中的多个安全漏洞



IOActive研究人员Ruben Santamarta在Black Hat大会上披露了波音787梦幻客机中的多个安全漏洞。这些漏洞与飞机的成员信息服务/维护系统(CIS/MS)有关,攻击者可利用这些漏洞向飞机的关键安全系统(例如引擎、制动系统、传感器)发送恶意命令。此外,攻击者还可通过入侵飞机的卫星设备及无线通信渠道向维护工程师提供错误的系统信息。波音声称这些问题不会构成网络威胁,因为其防护措施可以阻止此类攻击。

原文链接:https://www.wired.com/story/boeing-787-code-leak-security-flaws/?verso=true

4、研究团队发布2019年工控威胁报告,九大犯罪团伙专注于ICS


工控安全厂商Dragos发布2019年工控威胁报告,报告中分析了专门针对ICS网络的9个犯罪团伙。其中5个犯罪团伙主要针对石油和天然气企业,包括HEXANE、MAGNALLIUM、CHRYSENE、XENOTIME和DYMALLOY,其余4个犯罪团伙主要针对能源部门,包括ELECTRUM、RASPITE、ALLANITE和COVELLITE。该报告指出由于可造成高度震荡的政治和经济影响,石油和天然气部门仍然面临破坏性网络攻击的风险。

原文链接:https://dragos.com/wp-content/uploads/Dragos-Oil-and-Gas-Threat-Perspective-2019.pdf

5、谷歌和NASA因Jira服务器配置错误导致敏感数据泄露



Jira是一个流行的项目管理解决方案,安全研究员Avinash Jain发现当在Jira Cloud中创建新的filter和dashboard时,其默认可见性是“所有”,这很容易被理解为“企业内部所有人”但实际上它指的是“互联网上的所有人”。这种配置错误使得许多组织的敏感项目信息曝光,包括谷歌、Yahoo、NASA、Lenovo、1Password、Zendesk以及政府机构等。

原文链接:https://www.bleepingcomputer.com/news/security/misconfigured-jira-servers-leak-info-on-users-and-projects/