信息安全周报-2020年第16周

发布时间 2020-04-20

> 本周安全态势综述


2020年04月13日至19日共收录安全漏洞72个,值得关注的是谷歌 Chrome speech recognizer代码实行漏洞; VeeamOne Agent PerformHandshake代码实行漏洞;Apache Heron反序列化代码实行漏洞;Cisco UCS Director ApplianceStorageUtil unzip目录遍历代码实行漏洞;Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO栈溢出漏洞。


本周值得关注的网络安全事件是巴基斯坦1.15亿移动用户数据在暗网出售;丹麦水泵制造商DESMI遭网络攻击,系统仍未恢复;Oracle发布4月重要补丁更新,修复397个漏洞;英特尔发布4月安全更新,修复多款产品中的9个漏洞;EA Sports遭大规模DDoS攻击,全球服务中断。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. 谷歌 Chrome speech recognizer代码实行漏洞


谷歌 Chrome speech recognizer存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或实行任意代码。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html


2. Veeam One Agent PerformHandshake代码实行漏洞


Veeam One Agent PerformHandshake方法存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-545/


3. Apache Heron反序列化代码实行漏洞


Apache Heron存在反序列化漏洞,允许通过验证的管理员用户利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://lists.apache.org/thread.html/r16dd39f4180e4443ef4ca774a3a5a3d7ac69f91812c183ed2a99e959%40%3Cdev.heron.apache.org%3E


4. Cisco UCS Director ApplianceStorageUtil unzip目录遍历代码实行漏洞


Cisco UCS Director ApplianceStorageUtil unzip处理文件操作存在目录遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以root账户上下文实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-539/


5. Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO栈溢出漏洞


Triangle MicroWorks SCADA Data Gateway处理DNP3 GET_FILE_INFO存在栈溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-547


> 重要安全事件综述


1、巴基斯坦1.15亿移动用户数据在暗网出售



巴基斯坦安全厂商Rewterz发现,目前有1.15亿巴基斯坦移动用户的数据在暗网论坛出售,价格为300 BTC(约合210万美金)。这些数据包括用户的详细个人信息,例如姓名、完整地址、手机号码以及NIC号和税务号码。Rewterz威胁情报专家认为这些数据可能是一次或多次泄露的结果,目前还不清楚是否有任何特定的电信运营商或是所有电信运营商成为此次攻击的受害者。该泄露数据的规模引发了对电信企业数据安全性和隐私性的担忧。


原文链接:

http://www.rewterz.com/articles/115-million-pakistani-mobile-users-data-go-on-sale-on-dark-web


2、丹麦水泵制造商DESMI遭网络攻击,系统仍未恢复



丹麦水泵制造商DESMI遭到网络攻击,该攻击事件发生在上周四的晚上,遭到攻击后企业的所有系统均被关闭。根据该企业在官网上发布的警告,企业的所有系统均被关闭,并且正在还原过程中,首批部分系统将在几天内启动并运行,其余的系统将在几周之内运行。目前调查仍在进行之中,尚不清楚攻击的程度,DESMI已将事件报告给丹麦当局和警察。


原文链接:

https://securityaffairs.co/wordpress/101495/hacking/desmi-discloses-cyber-attack.html


3、Oracle发布4月重要补丁更新,修复397个漏洞



Oracle在其4月重要补丁更新中修复了397个漏洞,其中Oracle Database Server产品中修复了8个漏洞;电子商务套件中修复了74个漏洞,包括70个无需身份验证即可远程利用的漏洞;Oracle融合中间件中修复了51个漏洞,其中44个无需身份验证即可远程利用;Java SE中修复了15个漏洞,所有漏洞均可以在不进行身份验证的情况下进行远程利用;MySQL中修复了45个漏洞,其中9个漏洞无需身份验证即可远程利用。完整漏洞列表请参考以下官方链接,建议用户尽快应用更新。


原文链接:

https://www.oracle.com/security-alerts/cpuapr2020.html


4、英特尔发布4月安全更新,修复多款产品中的9个漏洞



英特尔在4月补丁更新中修复了9个漏洞,这些漏洞均为中高危漏洞,影响多个App、固件及平台。英特尔修复了PROSet/无线WiFi产品在Windows 10上的两个漏洞-经过身份验证的攻击者由于不安全的继承权限而可能通过本地访问进行特权升级(CVE-2020-0557);由于内核驱动程序中的缓冲区限制不当,无特权的攻击者可能通过相邻网络访问来导致拒绝服务(CVE-2020-0558)。英特尔还修复了NUC mini PC的系统固件中和模块化服务器MFS2600KISPP计算模块中的两个漏洞,包括不正确的缓冲区限制导致的LPE漏洞(CVE-2020-0600)和条件检查不当导致的提权漏洞(CVE-2020-0578)。


原文链接:

https://www.bleepingcomputer.com/news/security/intel-april-platform-update-fixes-high-severity-security-issues/


5、EA Sports遭大规模DDoS攻击,全球服务中断



游戏企业EA Sports又一次遭到大规模的DDoS攻击,导致该企业的服务器在全球范围内脱机。此次攻击发生在4月14日下午4:19。根据Down Detector的实时地图,此次攻击主要影响了欧洲地区的客户,但加拿大、埃及、南非等地的客户也受到了或多或少的影响。4月15日凌晨1点25分,EA Sports承认该企业“经历了一系列DDoS攻击”。在发布本文时,EA Sports的客户仍在抱怨服务宕机,这表明该企业仍在遭受攻击。值得注意的是,暴雪也在4月14日凌晨4点15分左右遭到一系列DDoS攻击,导致全球服务中断。


原文链接:

https://www.hackread.com/ea-sports-down-gaming-giant-hit-by-ddos-attacks/