信息安全周报-2020年第12周

发布时间 2020-03-24

> 本周安全态势综述


2020年03月16日至22日共收录安全漏洞77个,值得关注的是Insulet Omnipod Insulin Management System未授权访问漏洞; 谷歌 Chrome WebGL CVE-2020-6422内存错误引用代码实行漏洞;Foxit Studio Photo TIF堆溢出代码实行漏洞;Docker Desktop任意文件写入漏洞;Adobe ColdFusion远程文件包含漏洞。


本周值得关注的网络安全事件是安全厂商发布Turla APT基础设施的跟踪报告;2019年开源代码漏洞数量首次超过6000个,增长近50%;Intel CPU易受新Snoop攻击,可泄露缓存数据;金融企业Advantage和Argus云数据库泄露425GB数据;德国外卖平台Lieferando.de遭DDoS攻击导致服务瘫痪。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Insulet Omnipod Insulin Management System未授权访问漏洞


Insulet Omnipod Insulin Management System的wireless RF通信协议缺少正确的验证授权漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可绕过安全限制,实行恶意操作。

https://www.us-cert.gov/ics/advisories/icsma-20-079-01


2. 谷歌 Chrome WebGL CVE-2020-6422内存错误引用代码实行漏洞


谷歌 Chrome WebGL存在释放后使用漏洞,允许远程攻击者利用漏洞构建恶意WEB页,诱使用户解析,可使应用程序崩溃或实行任意代码。

https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop_18.html


3. Foxit Studio Photo TIF堆溢出代码实行漏洞


Foxit Studio Photo TIF解析存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-311/


4. Docker Desktop任意文件写入漏洞

Docker Desktop存在安全漏洞,允许本地攻击者可以利用漏洞提交特殊的请求,覆盖任意的DACL权限并写入任意文件。

https://github.com/active-labs/Advisories/blob/master/2020/ACTIVE-2020-002.md


5. Adobe ColdFusion远程文件包含漏洞


Adobe ColdFusion存在文件包含漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取敏感信息或实行任意代码。

https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html


> 重要安全事件综述


1、安全厂商发布Turla APT基础设施的跟踪报告



Turla APT是一个成熟、复杂且具有战略重点的网络间谍组织,该组织针对全球科研、外交和军事机构的攻击已有十多年的历史,并且一直在针对北大西洋公约组织(NATO)和独联体(CIS)国家。Turla不断开发自己独有的、先进的恶意App和工具,并采用新的攻击和混淆方法,Insikt Group评估认为Turla在未来几年内仍将是一个活跃的、先进的威胁。Recorded Future的新研究提供了主动跟踪和识别Turla基础架构的方法,重点关注几种与Turla有关的恶意App类型,包括Mosquito后门和劫持的伊朗TwoFace ASPX Web Shell。


原文链接:

https://www.recordedfuture.com/turla-apt-infrastructure/


2、2019年开源代码漏洞数量首次超过6000个,增长近50%



根据开源安全与合规企业WhiteSource的一份报告,去年开源代码中的漏洞激增。该报告称,2017年和2018年开源漏洞的数量稳定在4000多个,与2017年之前从未突破2000个的数字相比,漏洞数量增加了一倍以上。然后在2019年,开源漏洞数量再次飙升,首次超过6000个,这代表了近50%的增长。到目前为止开源漏洞中最常见的类型是跨站点脚本(XSS),该类型几乎占所有漏洞的四分之一,其次是输入验证不正确、缓冲区错误、越界读取和信息泄露。


原文链接:

https://nakedsecurity.sophos.com/2020/03/16/open-source-bugs-have-soared-in-the-past-year/


3、Intel CPU易受新Snoop攻击,可泄露缓存数据



Intel CPU容易受到新的“Snoop”攻击影响,该攻击可能会泄漏CPU内部存储器(缓存)中的数据。Intel表示2018年8月针对Foreshadow(L1TF)漏洞发布的补丁也适用于此新攻击。AWSApp工程师Pawel Wieczorkiewicz发现并报告了此攻击方法,该攻击被描述为“Snoop辅助L1数据采集”,或只是“Snoop”(CVE-2020-0550)。在技术层面上,新的Snoop攻击利用了多级缓存、缓存一致性和总线监听等CPU机制。Intel列出了易受攻击的CPU列表,该列表中包含Core和Xeon处理器等。


原文链接:

https://www.zdnet.com/article/intel-cpus-vulnerable-to-new-snoop-attack/


4、金融企业Advantage和Argus云数据库泄露425GB数据



vpnMentor研究人员发现一个属于金融企业Advantage Capital Funding和Argus Capital Funding的可公开访问的数据库泄露了425GB敏感文件。该数据库与这两个企业开发的MCA Wizard应用有关,该应用现在已不再在官方应用商店中提供。vpnMentor首次在2019年12月发现了该数据库,数据库中包含来自Advantage和Argus的私人法律和财务文件,包括信用报告、银行对帐单、合同、法律文件、驾驶执照副本、购买订单和收据、纳税申报表、社会保险信息以及交易报告。这些记录不仅与Advantage和Argus有关,还影响了他们的客户、承包商、员工和合作伙伴。vpnMentor尝试与Advantage和Argus联系,但并未得到回复,研究人员最终直接与AWS联系,该数据库于2020年1月9日关闭。


原文链接:

https://www.zdnet.com/article/financial-apps-leak-425gb-in-company-data-through-open-database/


5、德国外卖平台Lieferando.de遭DDoS攻击导致服务瘫痪



德国外卖平台Lieferando.de遭DDoS攻击导致服务瘫痪。该平台关联了1.5万多家德国餐馆,由于COVID-19期间德国对餐厅进行了严格的限制,例如限制客人的人数、增大桌子之间的距离、在下午6点至早上6点之间必须关门等,因此这次DDoS攻击影响了大量选择使用外卖订餐的用户。一些客户抱怨称尽管该平台的系统因攻击而瘫痪,但该服务仍接受新订单,只是没有对其进行处理。该平台称将退还已支付且未交付的订单,但客户必须通过电子邮件与他们联系。据称攻击者要求2比特币(约合1.1万美金)的赎金来停止攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/food-delivery-service-in-germany-under-ddos-attack/