信息安全周报-2020年第07周

发布时间 2020-02-17

> 本周安全态势综述



2020年02月10日至16日共收录安全漏洞94个,值得关注的是Apache Dubbo反序列化代码实行漏洞; OpenVPN Access Server LDAP验证绕过漏洞;Istio验证策略exact-path逻辑匹配安全绕过漏洞;Adobe Framemaker CVE-2020-3731内存引用代码实行漏洞;微软 Exchange Server CVE-2020-0692权限提升漏洞。


本周值得关注的网络安全事件是思科Talos披露Apple Safari浏览器中的RCE漏洞;美德情报部门控制瑞士企业数十年,窃取120国机密情报;Malwarebytes发布2020年恶意App状况报告;雅诗兰黛云数据库暴露4.4亿条内部记录;Palo Alto Networks发布2020年春季云威胁报告。


根据以上综述,本周安全威胁为中


>重要安全漏洞列表



1. Apache Dubbo反序列化代码实行漏洞


Apache Dubbo启用HTTP协议进行通信时存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的POST请求,以应用程序上下文实行任意代码。


https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5



2. OpenVPN Access Server LDAP验证绕过漏洞


OpenVPN Access Server 使用LDAP验证系统登录处理存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求绕过验证,未授权访问。


https://openvpn.net/security-advisories/



3. Istio验证策略exact-path逻辑匹配安全绕过漏洞


Istio验证策略exact-path逻辑处理存在安全漏洞,允许远程攻击者利用漏洞提交特殊的包含?或#字符的请求,可绕过验证。


https://istio.io/news/security/istio-security-2020-001/



4. Adobe Framemaker CVE-2020-3731内存引用代码实行漏洞


Adobe Framemaker存在内存破坏漏洞,允许远程攻击者可以利用漏洞构建恶意文件,诱使用户请求,可以目标用户上下文实行任意代码。


https://helpx.adobe.com/security/products/framemaker/apsb20-04.html



5. 微软 Exchange Server CVE-2020-0692权限提升漏洞


微软 Exchange Server存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以获得与 Exchange Server 的其他任何用户相同的权限。


https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0692


> 重要安全事件综述



1、思科Talos披露Apple Safari浏览器中的RCE漏洞



思科Talos团队披露Apple Safari浏览器中的一个远程代码实行漏洞(CVE-2020-3868),当用户在Safari中打开恶意网页时,可能会触发类型混淆,从而导致内存损坏和实行任意代码。攻击者需要通过某种方式诱使用户访问恶意网页来触发此漏洞。该漏洞存在于Safari的“字体”功能中,Talos测试并确认此漏洞影响Safari版本13.0.3(15608.3.10.1.4)、Safari技术预览版96(Safari 13.1,WebKit 15609.1.9.7)和Webkit GIT e4cd3b4fab6166d1288984ded40c588439dab925,建议用户尽快更新至最新版本。


原文链接:

https://blog.talosintelligence.com/2020/02/vuln-spotlight-apple-safari-code-execution-feb-2020.html


2、美德情报部门控制瑞士企业数十年,窃取120国机密情报



据美国《华盛顿邮报》报道,美德情报部门数十年间通过控制瑞士加密企业Crypto AG,窃取了全球约120国政府的最高机密通讯情报。据悉,第二次世界大战战后到本世纪初,Crypto AG企业为约120个国家的政府提供加密通讯装置,伊朗、南美多国政府、印度与巴基斯坦皆为服务对象。但Crypto AG幕后老板其实是美国中央情报局(CIA)以及德国联邦情报局(BND)。这两个情报部门对Crypto装置动手脚,让装置可轻易被破解,进而解读数据。报道称,中情局内部有关于这个最高机密计划的历史机密档案,档案指出Crypto AG靠着让西方情报机关取得客户机密,赚进数以百万计美金。同时,档案也指出,尽管使用Crypto AG产品的国家不少,但苏联/俄罗斯和中国,却从来都不是该企业的客户。


原文链接:

https://www.securityweek.com/us-german-spies-plundered-global-secrets-swiss-encryption-firm-report


3、Malwarebytes发布2020年恶意App状况报告



Malwarebytes Labs发布2020年恶意App状况报告,报告指出与针对Windows PC的威胁相比,Mac威胁呈指数级增长。Mac威胁的总数量同比增长了400%以上,但这一数字一定程度上可能受到2019年Malwarebytes Mac用户群增长的影响。对单个终端而言,Mac威胁仍然比Windows高,几乎为2:1。报告还指出攻击性广告App、木马和HackTools主导了针对业务端点的全球威胁,比去年同期增长了13%。攻击企业的勒索App活动达到历史最高水平,Ryuk和Sodinokibi等家族分别增长了543%和820%。Emotet和TrickBot仍然是针对企业的主要威胁之一。


原文链接:

https://blog.malwarebytes.com/reports/2020/02/malwarebytes-labs-releases-2020-state-of-malware-report/


4、雅诗兰黛云数据库暴露4.4亿条内部记录



安全研究员Jeremiah Fowler发现雅诗兰黛的一个云数据库未设密码,导致4.4亿条内部记录泄露,其中包括纯文本电子邮件地址(包括来自@estee.com域的内部电子邮件地址)和CMS、中间件的活动日志等内容。但记录中没有包含客户的付款数据或敏感的员工信息。Fowler指出这些日志数据可以用作更大的网络攻击的侦察,例如日志中包含IP地址、端口、路径和存储信息,可用于映射企业的内部网络。雅诗兰黛在接到报告后当天关闭了对数据库的访问,但目前尚不清楚该数据库在网络上暴露了多长时间以及是否已遭到黑客访问。


原文链接:

https://threatpost.com/estee-lauder-440m-records-email-network-info/152789/


5、Palo Alto Networks发布2020年春季云威胁报告



Palo Alto Networks的Unit 42近日发布了半年一次的《云威胁报告》2020年春季版。为了在云中越来越多地自动化构建流程,许多组织都在采用基础架构即代码(IaC)来帮助简化其运营。Unit 42分析了成千上万个IaC模板,他们的发现表明IaC模板中有199000多个潜在漏洞,最重要的是目前有超过43%的云数据库未加密,并且只有60%的云存储服务已启用日志记录。


原文链接:

https://start.paloaltonetworks.com/unit-42-cloud-threat-report