信息安全周报-2019年第48周

发布时间 2019-12-09

>本周安全态势综述


2019年12月02日至08日共收录安全漏洞48个,值得关注的是谷歌 Kubernetes API重定向漏洞; D-Link DAP-1860命令注入代码实行漏洞;OpenBSD验证绕过漏洞;Apache Olingo AbstractService ObjectInputStream反序列化代码实行漏洞;Mozilla Firefox ESR worker destruction内存错误引用漏洞。


本周值得关注的网络安全事件是欧洲网络安全局发布海事部门网络安全指南;Android漏洞StrandHogg可伪装成任意应用;GoAhead Web服务器RCE漏洞影响大量IoT设备;Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞;PCI SSC发布非接触式支付的新数据安全标准。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. 谷歌 Kubernetes API重定向漏洞


谷歌 Kubernetes API server没有正确验证URL的重定向,允许远程攻击者可以利用漏洞提交特殊的请求,将API服务器请求重定向到任意主机。

https://github.com/kubernetes/kubernetes/issues/85867


2. D-Link DAP-1860命令注入代码实行漏洞


D-Link DAP-1860 HNAP_TIME和SOAPAction存在命令注入漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/


3. OpenBSD验证绕过漏洞


OpenBSD验证系统存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求用户名,如"-option"或"-schallenge",绕过安全限制,未授权访问系统。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html


4. Apache Olingo AbstractService ObjectInputStream反序列化代码实行漏洞


Apache Olingo AbstractService ObjectInputStream存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E


5. Mozilla Firefox ESR worker destruction内存错误引用漏洞


Mozilla Firefox ESR worker destruction存在内存错误引用两次释放漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或实行任意代码。

https://www.auscert.org.au/bulletins/ESB-2019.4555/


>重要安全事件综述


1、欧洲网络安全局发布海事部门网络安全指南


欧洲网络安全局(ENISA)以《港口网络安全-海事部门网络安全实践》为题发布了海事部门网络安全指南,为港口生态系统尤其是港口当局和码头运营商中的CIO和CISO制定网络安全策略提供引导和帮助。该指南列出了港口生态系统面临的主要威胁,并描述了可能对港口生态系统造成影响的关键网络攻击场景。该指南为终端保护和生命周期管理、漏洞管理、人力资源安全、供应链管理等设计了安全措施。


原文链接:

https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector/


2、Android漏洞StrandHogg可伪装成任意应用



Promon安全研究人员发现一个新的Android漏洞StrandHogg,该漏洞允许恶意应用伪装成任意合法应用。该漏洞利用了Android的多任务处理功能,当用户点击一个正常应用的图标时,恶意应用可以利用该漏洞拦截指令并向用户显示一个虚假的界面,从而诱导用户授予各种权限。研究人员已经发现了36个正在积极利用此漏洞的恶意应用,包括银行木马BankBot。研究人员称该漏洞的影响范围非常大,因为默认情况下大多数应用都易受攻击,而且目前没有可靠的方法来探测或阻止这种攻击。GOOGLE尚未在任何版本的Android上修复此问题。


原文链接:

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/


3、GoAhead Web服务器RCE漏洞影响大量IoT设备



思科Talos的安全专家在GoAhead嵌入式Web服务器中发现了两个漏洞,其中包括一个关键的远程代码实行漏洞(CVE-2019-5096)。该漏洞与GoAhead处理multi-part/form-data请求的方式有关,未经身份验证的攻击者可利用该漏洞触发use-after-free,并通过发送恶意HTTP请求在服务器上实行任意代码。第二个漏洞(CVE-2019-5097)存在于同一组件中,可导致拒绝服务攻击。受影响的版本包括v5.0.1、v.4.1.1和v3.6.5。根据Shodan的搜索结果,暴露在公网上的GoAhead服务器数量已超过130万。


原文链接:

https://thehackernews.com/2019/12/goahead-web-server-hacking.html


4、Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞



SafeBreach Labs研究人员披露Autodesk、趋势科技和卡巴斯基App中的DLL劫持漏洞。趋势科技安全App16.0.1221及以下版本受到CVE-2019-15628影响,该漏洞存在于coreServiceShell.exe组件中。由于未对加载的DLL签名进行验证,因此攻击者可加载和实行任意DLL,导致白名单绕过、获得持久性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面应用也分别受到类似的漏洞CVE-2019-15689和CVE-2019-7365的影响。


原文链接:

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/


5、PCI SSC发布非接触式支付的新数据安全标准



PCI安全标准委员会(PCI SSC)发布了用于非接触式支付的新数据安全标准。该标准允许带有NFC的COTS移动设备接受非接触式支付。PCI CPoC标准是该委员会为解决移动非接触式支付发布的第二个标准。具体来说,PCI CPoC标准规定了供应商在保护数据、测试要求和评估解决方案方面的一些安全上的要求。标准的CPoC解决方案包括具有嵌入式NFC接口的COTS设备、经验证的付款App以及独立于COTS设备的后端系统。


原文链接:

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1