信息安全周报-2020年第26周

发布时间 2020-06-29

> 本周安全态势综述


2020年06月22日至06月28日共收录安全漏洞56个,值得关注的是Apache Dubbo hessian远程代码实行漏洞; 用友NC反序列化远程代码实行漏洞;Apache Shiro身份验证绕过漏洞;Apache Tomcat HTTP/2请求拒绝服务漏洞;Atlassian JIRA Server and Data Center服务器端模板代码注入漏洞。


本周值得关注的网络安全事件是Unit 42发布恶意AppAcidBox的分析报告;美国200多个地方警局24年数据泄露,被称为BlueLeaks;摩洛哥政府或在利用NSO Group的间谍App监视该国记者;黑客使用谷歌 Analytics平台绕过CSP窃取信用卡信息;DarkCrewFriends回归,利用内容管理系统构建僵尸网络。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表


1.Apache Dubbo hessian远程代码实行漏洞


Apache Dubbo hessian存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7


2. 用友NC反序列化远程代码实行漏洞


用友NC存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://www.yonyoucloud.com/


3. Apache Shiro身份验证绕过漏洞


使用Spring dynamic controller的Apache Shiro存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过身份验证未授权访问。

https://access.redhat.com/security/cve/cve-2020-11989


4. Apache Tomcat HTTP/2请求拒绝服务漏洞


ApacheTomcat处理HTTP/2请求存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使服务程序崩溃,造成拒绝服务攻击。

https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E


5. Atlassian JIRA Server and Data Center服务器端模板代码注入漏洞


Atlassian JIRA Server and Data Center处理服务器端模板存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意代码并实行。

https://jira.atlassian.com/browse/JRASERVER-70944



> 重要安全事件综述


1、Unit 42发布恶意AppAcidBox的分析报告



原文链接:

https://unit42.paloaltonetworks.com/acidbox-rare-malware/


2、美国200多个地方警局24年数据泄露,被称为BlueLeaks



原文链接:

https://www.bleepingcomputer.com/news/security/blueleaks-data-dump-exposes-over-24-years-of-police-records/


3、摩洛哥政府或在利用NSO Group的间谍App监视该国记者



原文链接:

https://www.cyberscoop.com/nso-group-spyware-amnesty-international-omar-radi-morocco/


4、黑客使用谷歌 Analytics平台绕过CSP窃取信用卡信息



原文链接:

https://www.bleepingcomputer.com/news/security/hackers-use-google-analytics-to-steal-credit-cards-bypass-csp/


5、DarkCrewFriends回归,利用内容管理系统构建僵尸网络



原文链接:

https://threatpost.com/darkcrewfriends-returns-botnet/156963/