信息安全周报-2020年第21周

发布时间 2020-05-26

> 本周安全态势综述


2020年05月18日至05月24日共收录安全漏洞60个,值得关注的是Cisco Unified Contact Center Express反序列化代码实行漏洞; Apache Tomcat session反序列化代码实行漏洞;谷歌 Chrome reader mode内存错误引用代码实行漏洞;Emerson Electric OpenEnterpris远程代码实行漏洞;Centreon main.get.php OS命令注入漏洞。


本周值得关注的网络安全事件是苹果邮件应用Edison Mail存在漏洞,泄露用户信息;澳大利亚企业BlueScope遭到攻击导致部分业务中断;Daimler 580多个Git存储库暴露,奔驰组件OLU源代码泄露;Adobe发布紧急带外更新,修复远程实行代码漏洞;黑客盗取Wishbone中4000万条用户信息,并在暗网标价出售。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Cisco Unified Contact Center Express反序列化代码实行漏洞


Cisco Unified Contact Center Express Java远程管理界面存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以root权限实行任意代码。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN


2. Apache Tomcat session反序列化代码实行漏洞


Apache Tomcat存在安全漏洞,当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令实行。

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E


3. 谷歌 Chrome reader mode内存错误引用代码实行漏洞


谷歌 Chrome reader mode存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或者以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html


4. Emerson Electric OpenEnterpris远程代码实行漏洞


Emerson Electric OpenEnterprise某通信服务存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-140-02


5. Centreon main.get.php OS命令注入漏洞


Centreon main.get.php处理RRDdatabase_status_path参数存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令。

https://github.com/centreon/centreon/pull/8467



> 重要安全事件综述


1、苹果邮件应用Edison Mail存在漏洞,泄露用户信息



原文链接:

https://news.softpedia.com/news/iphone-email-app-bug-caused-users-messages-to-show-up-on-other-phones-530003.shtml


2、澳大利亚企业BlueScope遭到攻击导致部分业务中断



原文链接:

https://www.zdnet.com/article/bluescope-reports-cyber-incident-affecting-australian-operations/


3、Daimler 580多个Git存储库暴露,奔驰组件OLU源代码泄露



原文链接:

https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/


4、Adobe发布紧急带外更新,修复远程实行代码漏洞



原文链接:

https://www.bleepingcomputer.com/news/security/adobe-releases-critical-out-of-band-security-update/


5、黑客盗取Wishbone中4000万条用户信息,并在暗网标价出售



原文链接:

https://www.zdnet.com/article/hacker-selling-40-million-user-records-from-popular-wishbone-app/