信息安全周报-2020年第11周

发布时间 2020-03-16

> 本周安全态势综述


2020年03月09日至15日共收录安全漏洞67个,值得关注的是微软 Server Message Block压缩算法代码实行漏洞; Apache ShardingSphere unmarshal数据处理代码实行漏洞;SAP Solution Manager验证绕过漏洞;Johnson Controls Kantech EntraPass SmartService API服务选项代码实行漏洞;Barracuda Load Balancer ADC LDAP服务配置漏洞。


本周值得关注的网络安全事件是MicroSoft发布针对SMBv3漏洞的KB4551762安全更新;Whisper数据库可公开访问,泄露约9亿条记录;欧洲电力运营商联盟ENTSO-E办公网络遭黑客入侵;我国8项网络安全国家标准获批发布;两种新的AMD侧信道攻击,影响Zen架构。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. 微软 Server Message Block压缩算法代码实行漏洞


微软 Server Message Block SMBv3协议在处理恶意压缩数据包存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以系统上下文实行任意代码。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796


2. Apache ShardingSphere unmarshal数据处理代码实行漏洞


Apache ShardingSphere WEB控制台SnakeYAML解析数据存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E


3. SAP Solution Manager验证绕过漏洞


SAP Solution Manager验证检查存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,通过SMDAgents未授权访问。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305


4. Johnson Controls Kantech EntraPass SmartService API服务选项代码实行漏洞


Johnson Controls Kantech EntraPass SmartService API服务选项存在代码上传漏洞,允许远程攻击者利用漏洞提交特殊的上传请求,可以应用程序上下文实行任意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04


5. Barracuda Load Balancer ADC LDAP服务配置漏洞


Barracuda Load Balancer ADC LDAP服务配置存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问LDAP服务。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/


> 重要安全事件综述


1、MicroSoft发布针对SMBv3漏洞的KB4551762安全更新



MicroSoft今天早些时候发布了针对SMBv3 RCE漏洞(CVE-2020-0796)的补丁更新(KB4551762),用户可以通过Windows Update检查更新或从MicroSoft补丁目录(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762)上手动下载适合自己Windows版本的KB4551762。MicroSoft表示虽然没有发现利用此漏洞的攻击,但建议用户优先安装此更新。此漏洞也被称为SMBGhost或EternalDarkness,仅影响运行Windows 10版本1903和1909以及Windows Server Server Core安装版本1903和1909的设备。


原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/


2、Whisper数据库可公开访问,泄露约9亿条记录



据《华盛顿邮报》报道,匿名秘密共享应用Whisper由于数据库可公开访问,导致约9亿条记录泄露。研究人员Matthew Porter和Dan Ehrlich发现了该数据库,数据库中存储的数据是从2012年该APP发布一直到现在的所有数据。尽管记录中不包含用户名,但其中包含昵称、年龄、种族、性别、家乡、团体成员关系以及与发帖相关的位置数据。这些位置信息包括来自用户最近发帖的坐标,例如特定的学校、工作场所和居民区。Whisper在接到通知后撤销了该数据库的访问权限,并通知了联邦执法机构。


原文链接:

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/


3、欧洲电力运营商联盟ENTSO-E办公网络遭黑客入侵



欧洲电力运营商联盟(ENTSO-E)在一份简短的声明中表示,近期其办公网络遭到黑客入侵。由于该办公网络并未连接到任何运营中的电力传输系统,这意味着攻击仅限于IT系统,没有影响关键控制系统。ENTSO-E总部位于布鲁塞尔,由35个欧洲国家的42家电网运营商组成。ENTSO-E表示已经进行了风险评估和制定了应急计划,以减少进一步攻击的风险和影响,但没有透露与入侵何时开始以及谁可能对攻击负责有关的详细信息。


原文链接:

https://www.cyberscoop.com/european-entso-breach-fingrid/


4、我国8项网络安全国家标准获批发布



根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》等8项国家标准正式发布。具体清单包括GB/T 17901.1-2020《信息技术 安全技术 秘钥管理 第1部分:框架》、GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》、GB/T 38541-2020《信息安全技术 电子文件密码应用指南》、GB/T 38543-2020《信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架》、GB/T 38556-2020《信息安全技术 动态口令密码应用技术规范》、GB/T 338558-2020《信息安全技术 办公设备安全测试方法》以及GB/T 38561-2020《信息安全技术 网络安全管理支撑系统技术要求》。所有8项标准的实施日期都是2020-10-01。


原文链接:

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229


5、两种新的AMD侧信道攻击,影响Zen架构



格拉茨技术大学发布的一篇新论文详细先容了两种新的AMD CPU侧信道攻击,即Collide+Probe和Load+Reload攻击,攻击者可通过操纵L1D缓存预测变量来泄漏AMD处理器的机密数据。研究人员称该漏洞影响了从2011年到2019年的所有AMD处理器,这意味着Zen架构也受到影响。该大学表示它已于2019年8月23日向AMD披露了这些漏洞,但AMD尚未发布微代码更新,并称这些攻击并不是新的基于推测的攻击。


原文链接:

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/