信息安全周报-2020年第10周

发布时间 2020-03-10

> 本周安全态势综述


2020年03月02日至08日共收录安全漏洞52个,值得关注的是FasterXML jackson-databind CVE-2020-9548代码实行漏洞; Rubetek SmartHome波段设计漏洞;Envoy不正确访问控制漏洞;Qualcomm MDM9206 WLAN缓冲区溢出漏洞;谷歌 Chrome media安全绕过漏洞。


本周值得关注的网络安全事件是Tesla和SpaceX的零件制造商Visser确认遭黑客攻击且数据泄露;Let's Encrypt撤回超过300万个TLS证书;CrowdStrike发布《2020年全球威胁报告》;英国数据监管机构对国泰航空处以50万英镑罚款;澳大利亚ACSC发布CMS系统安全指南。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. FasterXML jackson-databind CVE-2020-9548代码实行漏洞


FasterXML jackson-databind ibatis-sqlmap以及anteros-core组件存在黑名单绕过漏洞,允许远程攻击者利用漏洞提交特殊的请求,可实行任意代码。

https://github.com/FasterXML/jackson-databind/issues/2631


2. Rubetek SmartHome波段设计漏洞


Rubetek SmartHome使用了未加密的433 MHz波段进行通信,允许远程攻击者可以利用漏洞提交特殊的请求,可获取敏感信息或进行拒绝服务攻击。

https://pastebin.com/CckKKJcM


3. Envoy不正确访问控制漏洞


Envoy使用SDS存在不正确访问控制漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问受限资源。

https://github.com/envoyproxy/envoy/security/advisories/GHSA-3x9m-pgmg-xpx8


4. Qualcomm MDM9206 WLAN缓冲区溢出漏洞


Qualcomm MDM9206 WLAN存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行拒绝服务攻击或可实行任意代码。

https://www.qualcomm.com/company/product-security/bulletins/march-2020-bulletin


5. 谷歌 Chrome media安全绕过漏洞


谷歌 Chrome media处理安全策略存在安全漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可绕过安全限制,未授权访问。

https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html


> 重要安全事件综述


1、Tesla和SpaceX的零件制造商Visser确认遭黑客攻击且数据泄露



Tesla和SpaceX的零件制造商Visser确认遭遇数据泄露事件,该企业是一家专门为太空和国防承包商设计精密零件的制造商。在一份简短的声明中,该企业确认其近期成为“网络安全犯罪事件(包括访问和盗窃数据)的目标”。该企业发言人表示将“继续对该攻击进行全面调查,并且业务运行正常”。TechCrunch研究人员称这次攻击很有可能是由DoppelPaymer勒索App引起的。


原文链接:

https://techcrunch.com/2020/03/01/visser-breach/


2、4Let's Encrypt撤回超过300万个TLS证书



由于在后端代码中发现了一个bug,Let's Encrypt项目计划从世界标准时间2020年3月4日00:00开始撤销超过300万个TLS证书。具体来说,该bug影响了Boulder,Let's Encrypt项目使用该服务器App在发行TLS证书之前验证用户及其域。该bug影响了Boulder内部CAA(证书颁发机构授权)规范的实施,“当一个证书请求包含N个需要进行CAA重新检查的域名时,Boulder将选择一个域名并检查N次。这实际上意味着如果一个用户在时间X验证了一个域名,并且该域名在时间X的CAA记录允许Let's Encrypt发行,则该用户可以在X+30天的时间里发行包含该域名的证书,即使之后有人在该域名上安装了禁止Let's Encrypt发行的CAA记录”。在这300万个撤销的证书中,有100万个是同一域/子域的重复项,因此受影响证书的实际数量约为200万个。在3月4日00:00之后所有受影响的证书都将触发浏览器和其他应用程序中的错误,域名所有者将必须请求新的TLS证书并替换旧的TLS证书。


原文链接:

https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/


3、CrowdStrike发布《2020年全球威胁报告》



CrowdStrike的《2020年全球威胁报告》对过去一年中顶级网络威胁趋势进行了深入分析,该报告的要点包括:大型攻击活动(BGH)不断升级,赎金要求飙升至数百万,并且造成极大的破坏;网络犯罪分子正在使敏感数据武器化,以增加对勒索App受害者的压力;eCrime生态系统不断发展,变得成熟和专业化程度不断提高;在BGH之外,针对全球金融机构的eCrime活动有所增加;朝向无恶意App策略的趋势正在加速;国家资助的有针对性的入侵活动继续针对常识产权/竞争情报,促进社区内部的分裂,并观察到了与先进eCrime攻击者的合作。


原文链接:

https://www.crowdstrike.com/resources/reports/2020-crowdstrike-global-threat-report/


4、英国数据监管机构对国泰航空处以50万英镑罚款



英国信息专员办公室因2018年940万乘客数据泄露事件对国泰航空企业处以50万英镑的罚款。该攻击疑似发生在2018年3月份,并于5月份得到确认,当时国泰航空的数据库遭到了暴力破解攻击。ICO调查称国泰的系统受到了数据收集类恶意App的影响,并发现国泰在安全性方面的一些不足,包括不受密码保护的备份文件、未打补丁的Web服务器、已过时的操作系统和缺乏防病毒保护等。


原文链接:

https://www.theregister.co.uk/2020/03/04/ico_fines_cathay_pacific_500000/


5、澳大利亚ACSC发布CMS系统安全指南



澳大利亚网络安全中心(ACSC)发布一份用于保护CMS系统的网络安全指南,该指南概述了如何在web服务器上识别和最小化潜在风险的策略,其目标受众是负责使用CMS开发和保护网站或Web应用程序的人。攻击者可以使用自动化工具扫描Internet上的安全漏洞。一旦CMS被入侵,攻击者可以利用其权限来:获得Web应用程序的验证区域和特权区域的访问权限;上传恶意App来获得远程访问,例如上传Web Shell或RAT;在合法网页上注入恶意内容。攻击者还可以将受感染的Web服务器用作“水坑”攻击的一部分,或用作C&C的基础设施。ACSC建议采取的缓解措施包括:使用CMS托管服务;良好的补丁管理;漏洞评估;账户管理;加强CMS安装的安全性控制措施;监控CMS安装上对托管内容的未授权更改等。


原文链接:

https://www.cyber.gov.au/publications/securing-content-management-systems