信息安全周报-2020年第06周

发布时间 2020-02-11

> 本周安全态势综述



2020年02月03日至09日共收录安全漏洞45个,值得关注的是QEMU libslirp越界堆访问漏洞; MikroTik WinBox CVE-2020-5720目录遍历漏洞;Cisco NX-OS Software Cisco Discovery Protocol字段处理缓冲区溢出漏洞;Squid ext_lm_group_acl越界写漏洞;Clam AntiVirus DLP缓冲区溢出漏洞。


本周值得关注的网络安全事件是在线任务管理网站Trello泄露大量用户数据;美国防部为国防承包商确定首套网络安全标准;攻击者滥用Bitbucket服务,已导致50多万主机感染恶意App;思科修复发现协议(CDP)中五个高危漏洞,影响数百万设备;研究人员披露海思芯片中尚未修复的后门漏洞及PoC。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表




1. QEMU libslirp越界堆访问漏洞


QEMU libslirp存在越界堆访问漏洞,允许本地攻击者利用漏洞提交特殊的请求,以HOST上的QEMU进程上下文实行任意代码。


https://www.openwall.com/lists/oss-security/2020/02/06/2



2. MikroTik WinBox CVE-2020-5720目录遍历漏洞


MikroTik WinBox存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行目录遍历攻击,写任意文件到系统。


https://www.tenable.com/security/research/tra-2020-07



3. Cisco NX-OS Software Cisco Discovery Protocol字段处理缓冲区溢出漏洞


Cisco NX-OS Software处理CDP消息字段存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或可实行任意代码。


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce



4. Squid ext_lm_group_acl越界写漏洞


Squid ext_lm_group_acl解析NTLM验证凭据存在越界写漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取敏感信息或者进行拒绝服务攻击。


http://www.squid-cache.org/Advisories/SQUID-2020_3.txt



5. Clam AntiVirus DLP缓冲区溢出漏洞


Clam AntiVirus DLP模块存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。


https://blog.clamav.net/2020/02/clamav-01022-security-patch-released.html


> 重要安全事件综述


1、在线任务管理网站Trello泄露大量用户数据



根据Naked Security的一份报告,在线任务管理网站Trello泄露了大量用户的私人数据,包括姓名、地址、性能评级和企业培训视频等。泄露的原因是部分用户错误地将其Trello面板配置为public,这使得任何人都可以查看其中的内容,甚至谷歌之类的搜索引擎可以将面板中的内容纳入索引,仅需要通过一种称为“dork”的特殊类型即可搜索到。


原文链接:

https://www.techworm.net/2020/02/trello-search-exposes-private-data.html


2、美国防部为国防承包商确定首套网络安全标准



美国防部1月31日正式发布网络安全成熟度模型认证(CMMC)框架1.0版本。国防部宣布,到2026年国防承包商在回应政府采购计划的提案请求时,必须满足基本的网络安全标准。随着CMMC的推出,国防部希翼通过提高国防工业基础(DIB)分包商的网络安全准备程度,来加强对供应链未分类信息(联邦合同信息(FCI)和受控未分类信息(CUI))的保护。CMMC旨在通过使用5种级别的认证来简化大型和小型国防承包商的网络就绪性认证,重点是网络安全实践和流程。


原文链接:


https://www.bleepingcomputer.com/news/security/dod-to-require-cybersecurity-certification-from-defense-

contractors/


3、攻击者滥用Bitbucket服务,已导致50多万主机感染恶意App



攻击者正在滥用代码托管服务Bitbucket存储7种恶意Apppayload,该攻击活动已在全球范围内感染了超过50万台商用计算机。根据安全厂商Cybereason发布的一份报告,攻击者部署到目标系统的恶意payload包括Predator、Azorult、Evasive Monero Miner、勒索AppSTOP、Vidar、Amadey bot和IntelRapid。该攻击活动主要针对寻找盗版商业App(例如Adobe Photoshop、微软 Office等)的用户。


原文链接:

https://www.bleepingcomputer.com/news/security/bitbucket-abused-to-infect-500-000-hosts-with-malware-cocktail/


4、思科修复发现协议(CDP)中五个高危漏洞,影响数百万设备




物联网安全企业Armis在思科发现协议(CDP)中发现五个高危漏洞,影响数百万设备。CDP是思科设备使用的专有第2层(数据链路层)协议,用于发现本地网络上的其它思科设备。默认情况下,几乎所有思科产品(包括路由器、交换机以及IP电话和摄像机)均启用此协议。这五个漏洞被称为CDPwn,包括四个远程代码实行漏洞(CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119)和一个拒绝服务漏洞(CVE-2020-3120)。过去十年中发布的思科固件版本均受到这些漏洞的影响,这些漏洞可能使渗透到企业网络中的本地攻击者能够实行中间人攻击、监视语音或视频呼叫、收集和泄漏数据以及破坏网络分段。目前思科已经发布了相关产品的固件更新来修复这些漏洞。



原文链接:

https://www.bleepingcomputer.com/news/security/cisco-patches-critical-cdp-flaws-affecting-millions-of-devices/



5、研究人员披露海思芯片中尚未修复的后门漏洞及PoC




俄罗斯安全专家Vladislav Yarmak公布了他在海思芯片中发现的后门机制的技术细节,并表示由于对供应商缺乏信任,他没有向海思披露该漏洞。该后门机制可以使攻击者获得root shell访问权限并完全控制设备,具体来说,攻击者可能利用 后门通过在TCP端口9530上向基于海思芯片的设备发送一系列命令,这些命令允许攻击者在设备上启用Telnet服务,然后攻击者可以使用六个Telnet凭据之一登录,并获得对root帐户的访问权限。Yarmak还在github上发布了该漏洞的PoC代码。



原文链接:

https://securityaffairs.co/wordpress/97367/hacking/hisilicon-chips-backdoor.html