信息安全周报-2019年第40周

发布时间 2019-10-14

> 本周安全态势综述


2019年10月07日至13日共收录安全漏洞50个,值得关注的是Cobham plc EXPLORER 710默认验证凭据漏洞; 泛微OA系统 SQL注入漏洞;iTerm2远程代码实行漏洞;微软 Windows Secure Boot安全绕过漏洞;QEMU ahci_commit_buf()空指针间接引用漏洞。


本周值得关注的网络安全事件是俄罗斯互联网服务提供商Beeline870万客户数据泄露;Ponemon Institute发布《2019年全球SMB网络安全状况报告》;Volusion遭黑客入侵,超过6500家电商网站受波及;思科Talos团队发现NitroPDF存在多个RCE漏洞;Imperva称其数据泄露的原因是AWS API密钥被盗。


根据以上综述,本周安全威胁为


> 重要安全漏洞列表


1. Cobham plc EXPLORER 710默认验证凭据漏洞


Cobham plc EXPLORER 710存在与之前设备相同的ROOT密码,允许远程攻击者可以利用漏洞提交特殊的请求,未授权访问。

https://kb.cert.org/vuls/id/719689/


2. 泛微OA系统 SQL注入漏洞


泛微E-cologyOA存在SQL注入安全漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。

https://www.weaver.com.cn/cs/securityDownload.asp


3. iTerm2远程代码实行漏洞


iTerm2 tmux集成功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意命令。

https://kb.cert.org/vuls/id/763073/


4. 微软 Windows Secure Boot安全绕过漏洞


微软 Windows Secure Boot没有正确地限制对调试功能的访问,允许本地攻击者可以利用漏洞提交特殊的请求,可获取被保护的内核内存。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1368


5. QEMU ahci_commit_buf()空指针间接引用漏洞


QEMU ahci_commit_buf()存在空指针间接引用漏洞,允许本地攻击者可以利用漏洞提交特殊的请求,进行拒绝服务攻击。

https://access.redhat.com/security/cve/cve-2019-12067



> 重要安全事件综述



1、俄罗斯互联网服务提供商Beeline870万客户数据泄露



根据俄罗斯媒体的报道,来自俄罗斯互联网服务提供商Beeline的870万名客户数据正在网上出售和共享。这些数据包含详细的个人信息,如姓名、地址、手机号码和家庭电话号码等。Beeline确认了这一事件,并表示数据泄露发生在2017年,受影响的客户为在2016年11月之前注册家庭宽带的俄罗斯用户。当时Beeline找到了数据泄露的责任人,但未公开此事件。这些数据已经被在网上共享,包括在Telegram频道上共享。


原文链接:

https://www.zdnet.com/article/data-breach-at-russian-isp-impacts-8-7-million-customers/


2、Ponemon Institute发布《2019年全球SMB网络安全状况报告》



根据周二Ponemon Institute发布的《2019年全球SMB网络安全状况报告》,全球66%的中小型企业(SMB)在过去12个月内报告了网络攻击事件 - 其中76%的企业总部位于美国。Ponemon表示这是连续第三年SMB报告的网络安全事件出现“显著增长”。当前SMB面临的最常见网络攻击形式是网络钓鱼、设备入侵或被盗、凭据窃取。随着自带设备办公(BYOD)模式的盛行,设备的被盗尤其成为一个问题。在过去12个月中,共有63%的企业报告了敏感企业数据或客户信息丢失事件,而在美国这一比例上升至69%,显著高于四年前的50%。


原文链接:

https://www.zdnet.com/article/76-percent-of-us-businesses-have-experienced-a-cyberattack-in-the-past-year/


3、Volusion遭黑客入侵,超过6500家电商网站受波及



根据zdnet的消息,黑客入侵Volusion的基础设施并传播恶意代码,导致超过6500家电子商店网站受影响。该事件是一个典型的MAGECART供应链攻击,攻击者获得了Volusion的谷歌 Cloud基础设施访问权限,并在其中修改了JS文件,添加用于记录用户信用卡信息的恶意代码。这些恶意代码被加载到基于Volusion的在线商店中。截至目前恶意代码仍在Volusion的服务器上,Volusion尚未对此事件进行回应。


原文链接:

https://www.zdnet.com/article/hackers-breach-volusion-and-start-collecting-card-details-from-thousands-of-sites/


4、思科Talos团队发现NitroPDF存在多个RCE漏洞



思科Talos披露NitroPDF中的多个远程代码实行漏洞。Nitro PDF允许用户在其计算机上保存、阅读和编辑PDF文件,该产品分为免费版和收费版。此次发现的漏洞都存在于收费的Pro版中。漏洞包括jpeg2000 ssizDepth远程代码实行漏洞(CVE-2019-5045)、Page Kids远程代码实行漏洞(CVE-2019-5050)、ICCBased色彩空间远程代码实行漏洞(CVE-2019-5048)、CharProcs远程代码实行漏洞(CVE-2019-5047)、 jpeg2000 yTsiz远程代码实行漏洞(CVE-2019-5046)及流长度解析功能内存损坏漏洞(CVE-2019-5053)。受影响的版本为NitroPDF 12.12.1.522。NitroPDF尚未发布相关修复补丁。


原文链接:

https://blog.talosintelligence.com/2019/10/vuln-spotlight-Nitro-PDF-RCE-bugs-sept-19.html


5、Imperva称其数据泄露的原因是AWS API密钥被盗



Imperva在8月份披露了数据泄露事件,并在今天发布了一份详细的事后报告。该企业称此次数据泄露的原因是AWS API密钥的被盗,而该密钥是黑客从一个意外连接到互联网的内部系统窃取的。黑客使用该AWS API密钥访问Imperva的云基础设施,并找到了该企业用于测试的AWS RDS服务。Imperva并未披露上述事件的确切日期,因此尚无法确认黑客访问了该企业的服务器多长时间。Imperva首席实行官粗略估算了受影响的用户数量,称在企业通知受影响的客户后,客户更换了1.3万个密码及1.35万个SSL证书,并重新生成了1400多个Imperva API密钥。只有在2017年9月15日之前与Imperva注册的客户才会受到影响。


原文链接:

https://www.zdnet.com/article/imperva-blames-data-breach-on-stolen-aws-api-key/