信息安全周报-2019年第51周

发布时间 2019-12-30

>本周安全态势综述


2019年12月23日至29日共收录安全漏洞43个,值得关注的是Palo Alto Networks PA-7080 ROOT权限获取漏洞; Mozilla Network Security Services缓冲区溢出漏洞;Docker docker-credential-secretservice内存错误应用权限提升漏洞;TigerVNC ZlibInStream远程代码实行漏洞;D-Link DCS-960L HNAP SOAPAction栈溢出代码实行漏洞。


本周值得关注的网络安全事件是游戏开发商Zynga泄露近1.73亿用户账户信息;Citrix所有产品存在代码实行漏洞(CVE-2019-19781);俄罗斯政府宣布成功进行互联网断开测试;P2P僵尸网络Mozi主要针对网件、D-Link和HUAWEI路由器;阿联酋被指控监视ToTok数百万用户,GOOGLE苹果紧急下架。


根据以上综述,本周安全威胁为


>重要安全漏洞列表


1. Palo Alto Networks PA-7080 ROOT权限获取漏洞


Palo Alto Networks PA-7080没有正确限制对Log Forwarding Card通信的限制,允许本地攻击者利用漏洞提交特殊的请求,可获取root权限。

https://nvd.nist.gov/vuln/detail/CVE-2019-17440


2. Mozilla Network Security Services缓冲区溢出漏洞


Mozilla Network Security Services cryptographic primitives长度处理存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞构建恶意WEB页,诱使请求,可使应用程序崩溃或实行任意代码。

https://access.redhat.com/security/cve/cve-2019-17006


3. Docker docker-credential-secretservice内存错误应用权限提升漏洞


Docker docker-credential-secretservice存在两次释放漏洞,允许本地攻击者利用漏洞提交特殊的请求,可提升权限并实行代码。

https://www.zerodayinitiative.com/advisories/ZDI-19-1030/


4. TigerVNC ZlibInStream远程代码实行漏洞


TigerVNC ZlibInStream存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的服务请求,可使应用程序崩溃或者实行任意代码。

https://github.com/CendioOssman/tigervnc/commit/d61a767d6842b530ffb532ddd5a3d233119aad40


5. D-Link DCS-960L HNAP SOAPAction栈溢出代码实行漏洞


D-Link DCS-960L HNAP SOAPAction存在栈溢出漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,可使应用程序崩溃或实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-19-1031/


>重要安全事件综述


1、游戏开发商Zynga泄露近1.73亿用户账户信息



游戏开发商Zynga在9月份遭到黑客入侵,近1.73亿个用户名和密码泄露。虽然Zynga于9月底承认了这一事件,但数据泄露通知网站HaveIBeenPwned现在收集到了有关受影响账户数量的官方数字。根据该网站的更新,共有1.729亿个不同的电子邮件地址以及用户名和密码在此次攻击中泄露,好消息是这些密码以加盐的SHA-1散列形式存储,使其难以被破解。


原文链接:

https://www.infosecurity-magazine.com/news/zynga-breach-hit-173-million/


2、Citrix所有产品存在代码实行漏洞(CVE-2019-19781)



安全专家Mikhail Klyuchnikov在Citrix Application Delivery Controller和Citrix Gateway产品中发现一个严重的代码实行漏洞,该漏洞(CVE-2019-19781)使158个国家的超过8万家企业面临风险。由于利用该漏洞的攻击者无需身份验证即可访问企业的内部网络,因此该漏洞尤其危险。成功利用该漏洞可导致任意代码实行。根据Citrix,该漏洞影响了所有受支撑的产品版本和平台,尽管Citrix尚未发布新固件来解决该问题,但该企业已发布了一套针对独立系统和集群的缓解措施,并强烈建议受影响的客户采用它们。


原文链接:

https://www.bleepingcomputer.com/news/security/critical-citrix-flaw-may-expose-thousands-of-firms-to-attacks/


3、俄罗斯政府宣布成功进行互联网断开测试



俄罗斯政府周一宣布成功进行互联网断开测试。该项测试从上周开始进行,持续了多天,涉及俄罗斯政府机构、本地互联网服务提供商和俄罗斯本地互联网企业。实验的目的是测试该国家的互联网基础设施(在俄罗斯内部称为RuNet)是否可以在不访问全球DNS系统和外部互联网的情况下运行。互联网流量在俄罗斯内部进行了重新路由,有效地使俄罗斯的RuNet成为世界上最大的内联网。政府没有透露有关测试及其组件的任何技术细节,只是表明政府测试了几种断开连接的场景,包括模拟国外网络攻击的场景。政府在发布会上表示该实验获得了成功。


原文链接:

https://www.zdnet.com/article/russia-successfully-disconnected-from-the-internet/


4、P2P僵尸网络Mozi主要针对网件、D-Link和HUAWEI路由器



研究人员发现新P2P僵尸网络Mozi正在积极针对网件、D-Link和HUAWEI的路由器。该僵尸网络与恶意AppGafgyt有关,因为它重用了后者的部分代码。Mozi的主要目的是用于DDoS攻击。研究人员发现该僵尸网络使用一种定制的扩展分布式哈希表(DHT)协议来实现,该协议通常被torrent客户端和其他P2P平台用于存储节点联系信息。Mozi还使用ECDSA384和XOR算法来确保僵尸网络组件和P2P网络的完整性和安全性。Mozi主要通过telnet利用弱密码访问易受攻击的设备,并在加载恶意App后搜索和感染其它易受攻击的设备。


原文链接:

https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/


5、阿联酋被指控监视ToTok数百万用户,GOOGLE苹果紧急下架



根据《纽约时报》报道,阿联酋政府使用流行的通讯应用ToTok作为监视工具,跟踪用户的对话和活动。该APP目前已被Apple和谷歌在线商店下架。ToTok的用户包括阿联酋和中东其他国家的数百万民众。该报告称,美国情报官员和安全研究人员确定阿联酋政府正在使用该APP进行监视活动。ToTok否认了与政府监控计划有关,并表示该应用被下架是由于“技术问题”。


原文链接:

https://securityaffairs.co/wordpress/95586/intelligence/totok-app-surveillance.html