信息安全周报-2019年第46周

发布时间 2019-11-25

>本周安全态势综述



2019年11月18日至24日共收录安全漏洞50个,值得关注的是Apache Solr solr.in.sh远程代码实行漏洞; Apache Shiro "remember me" Oracle Padding攻击漏洞;ISC BIND TCP客户端数量限制拒绝服务漏洞;Fortinet FortiOS SSL VPN门户拒绝服务漏洞;Qualcomm QCA6174_9377 Bluetooth HOST权限提升漏洞。


本周值得关注的网络安全事件是NowSecure披露Android libpac库中的RCE漏洞;Android相机漏洞可秘密拍照及录制视频;黑客在网上公布开曼银行的2TB数据;WordPress Jetpack插件漏洞影响数百万网站;Oracle EBS访问控制不当漏洞影响上万家企业。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表



1. Apache Solr solr.in.sh远程代码实行漏洞
Apache Solr没有安全地设置默认solr.in.sh配置文件的ENABLE_REMOTE_JMX_OPTS配置选项,允许远程攻击者利用漏洞提交特殊的请求,未授权上传代码并实行。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击漏洞
Apache Shiro "remember me"存在Oracle Padding漏洞,允许远程攻击者利用漏洞提交特殊的请求,可获取敏感信息。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数量限制拒绝服务漏洞
ISC BIND TCP客户端数量限制处理存在安全漏洞,允许远程攻击者可以利用漏洞提交单个链接上通过一个TCP客户端发送大量DNS请求,可使系统崩溃。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户拒绝服务漏洞
Fortinet FortiOS SSL VPN存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使SSL VPN服务崩溃。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升漏洞
Qualcomm QCA6174_9377 Bluetooth HOST权限处理存在安全漏洞,允许低权限攻击者可以利用漏洞提交特殊的请求,写恶意注册数据,提升权限。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin


>重要安全事件综述



1、NowSecure披露Android libpac库中的RCE漏洞



NowSecure研究人员发现Android系统使用的libpac库中存在RCE漏洞(CVE-2019-2205)。libpac是一个基于Chromium项目代码的库,该库使用静态链接的V8 JS引擎来解析JavaScript,这为平台应用程序带来了巨大的攻击面。研究人员发现JS函数FindProxyForUrl上下文中的ArrayBuffers分配器声明不正确,可致栈上的VPTR被覆盖,这可能被用于实行任意代码。GOOGLE在11月Android安全更新中修复了该漏洞。

原文链接:
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机漏洞可秘密拍照及录制视频



Checkmarx的研究人员在Android相机应用中发现一个新漏洞,即APP可在没有权限的情况下拍照、录制视频或获取设备的位置。该漏洞(CVE-2019-2234)相当危险,因为它可以使APP在手机锁屏的状态下秘密拍照和录像,也可以从存储的照片中提取GPS位置数据,还可以将这些数据发送回攻击者的远程服务器。根据谷歌的说法,相机应用已于2019年7月通过谷歌 Play商店更新修复了此漏洞。

原文链接:
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上公布开曼银行的2TB数据



黑客从开曼银行窃取了2TB的数据并发布在网上。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的,并通过Distributed Denial of Secrets项目发布。数据集中包含开曼银行为其全球客户管理的超过3800家企业、信托和个人账户的详细财务信息,甚至包括账户余额。开曼银行并未承认数据泄露,但安全专家注意到其许多服务于11月17日因“重大升级和维护”而处于不可用状态。

原文链接:
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件漏洞影响数百万网站



Jetpack开发团队敦促WordPress网站管理员立即应用Jetpack 7.9.1关键安全更新,以修复一个关键漏洞。虽然该团队没有披露有关该漏洞的详细信息,但根据Jetpack的公告,该漏洞影响了从5.1到2017年7月以来的所有版本。开发人员表示没有发现该漏洞被野外利用的证据。Jetpack是一个受欢迎的WordPress插件,它为管理员提供免费的安全性和站点管理功能,该插件的活跃安装量为超过500万,开发团队表示已有超过400万网站安装了更新。

原文链接:
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS访问控制不当漏洞影响上万家企业


Oracle电子商务套件(EBS)中的两个关键漏洞可导致攻击者完全控制企业的ERP解决方案。该漏洞被归类为CWE-284:访问控制不当,其CVSS得分为9.9分,被跟踪为CVE-2019-2638和CVE-2019-2633。如果成功利用这两个漏洞,未经授权的攻击者可操纵电子汇款流程并打印银行支票而不被发现。Oracle在4月重要补丁更新中修复了该漏洞,但根据Onapsis研究团队的估计,当前约有50%的Oracle EBS客户尚未部署补丁(可能多达1万个企业)。

原文链接:
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/