信息安全周报-2020年第01周

发布时间 2020-01-06

>本周安全态势综述


2019年12月30日至2020年01月05日共收录安全漏洞50个,值得关注的是Apache Solr Velocity模板代码注入漏洞; Tencent WeChat用户名命令注入漏洞;ALE Alcatel-Lucent Omnivista 4760代码实行漏洞;Nagios XI schedulereport.php SHELL命令注入漏洞;Cisco Data Center Network Manager SOAP API OS命令注入漏洞。


本周值得关注的网络安全事件是Nagios XI远程命令实行漏洞(CVE-2019-20197);美法院授权MicroSoft接管朝鲜APT37控制的50个域名;物联网供应商Wyze意外泄露约240万客户信息;爱尔兰政府发布2019-2024国家网络安全战略;星巴克员工上传API密钥到GitHub上,可访问内部系统。


根据以上综述,本周安全威胁为


>重要安全漏洞列表


1. Apache Solr Velocity模板代码注入漏洞


Apache Solr Velocity模板VelocityResponseWriter存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,通过定义一个将该配置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”,可实行任意代码。

https://issues.apache.org/jira/browse/SOLR-13971


2. Tencent WeChat用户名命令注入漏洞


Tencent WeChat解析usernames存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/


3. ALE Alcatel-Lucent Omnivista 4760代码实行漏洞


ALE Alcatel-Lucent Omnivista实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以SYSTEM用户身份实行代码。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html


4. Nagios XI schedulereport.php SHELL命令注入漏洞


Nagios XI schedulereport.php存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意SHELL命令。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html


5. Cisco Data Center Network Manager SOAP API OS命令注入漏洞


Cisco Data Center Network Manager SOAP API存在输入验证漏洞,允许通过验证的远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令并实行。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject


>重要安全事件综述


1、Nagios XI远程命令实行漏洞(CVE-2019-20197)



Nagios XI是美国Nagios企业的一套IT基础设施监控解决方案。该方案支撑对应用、服务、操作系统等进行监控和预警。@Cody Sixteen在Twitter发布了有关Nagios XI远程命令实行漏洞(CVE-2019-20197)的相关信息,该漏洞影响了Nagios XI 5.6.9版本,经过身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数,在Web服务器用户帐户的上下文中实行任意操作系统命令。目前厂商暂未发布修复措施。


原文链接:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534


2、美法院授权MicroSoft接管朝鲜APT37控制的50个域名



MicroSoft成功接管了由朝鲜黑客组织APT37控制的50个域名,这些域名被该组织用来发起网络攻击,包括发送钓鱼邮件和托管钓鱼页面等。MicroSoft表示其数字犯罪部门(DCU)和威胁情报中心(MSTIC)已经监视APT37长达数月的时间,并于12月18日在弗吉尼亚州法院对该组织提起诉讼。该法院授予MicroSoft权限以接管APT37在犯罪活动中使用的50个域名。MicroSoft高管表示该组织的大多数目标都位于美国、日本以及韩国。


原文链接:

https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/


3、物联网供应商Wyze意外泄露约240万客户信息



物联网供应商Wyze确认其一个Elasticsearch服务器泄露了约240万用户的详细信息。该数据库并不是生产系统,但存储了有效的用户数据,包括用于创建Wyze帐户的电子邮件地址、分配给其Wyze安全摄像机的用户昵称、WiFi网络标识符SSID以及2.4万用户的Alexa令牌等。该数据库于12月4日被错误地暴露在公网上,安全企业Twelve Security于12月26日发现了该数据库并通知了Wyze,Wyze随后对数据库进行了保护。


原文链接:

https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/


4、爱尔兰政府发布2019-2024国家网络安全战略



爱尔兰政府发布了《2019-2024国家网络安全战略》,这是该国于2015年发布的首个安全战略的更新版本。该战略报告概述了政府将如何继续促进该国计算机网络和相关基础设施的安全。报告中阐明了政府对安全和可靠的网络空间的愿景以及将采取的行动,包括继续提高关键基础架构和公共服务中的网络弹性;提高企业和公民对网络安全重要性的认识;通过与教育系统、行业和学术界的合作,进一步发展全社会的网络安全学问;继续巩固爱尔兰作为技术和信息安全中心的全球声誉,并帮助促进爱尔兰成为ICT企业的首选地点。该报告还敦促进行改革以保护关键基础架构免受重大网络威胁的影响,同时还警告称外国可能会干预爱尔兰的选举。


原文链接:

https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html


5、星巴克员工上传API密钥到GitHub上,可访问内部系统



安全专家Vinoth Kumar在一个公开可用的Github存储库中发现星巴克的一个API密钥在线暴露,攻击者可以利用该密钥来访问企业的内部系统并篡改授权用户列表。该密钥可用于访问星巴克JumpCloud API,JumpCloud是一个Active Directory管理平台,提供用户管理、Web应用程序单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务。Kumar还提供了该问题的PoC代码,演示了如何列出系统和用户、控制AWS帐户、在系统上实行命令以及添加或删除有权访问内部系统的用户。星巴克确认了这一问题并迅速撤销了该密钥。


原文链接:

https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html