信息安全周报-2020年第43周

发布时间 2020-10-26

> 本周安全态势综述


2020年10月19日至10月25日共收录安全漏洞82个,值得关注的是Adobe Illustrator内存破坏CVE-2020-24412代码实行漏洞;Mozilla Firefox usersctp内存错误引用代码实行漏洞;Oracle Solaris CVE-2020-14871未明远程代码实行漏洞;HPE Intelligent Management Center UrlAccessController验证绕过漏洞;VMware ESXi OpenSLP内存错误引用代码实行漏洞。


本周值得关注的网络安全事件是Hiscox发布2020年度Cyber Readiness分析报告;Discord修复其桌面应用中可导致远程代码实行的漏洞;谷歌发布Chrome安全更新,修复已被利用的0day;Rapid7披露10个针对七款浏览器应用的地址栏欺骗漏洞;Sophos发现LockBit可使用自动攻击工具来识别可疑目标。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1.Adobe Illustrator内存破坏CVE-2020-24412代码实行漏洞


Adobe Illustrator存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://helpx.adobe.com/security/products/illustrator/apsb20-53.html


2.Mozilla Firefox usersctp内存错误引用代码实行漏洞


Mozilla Firefox usersctp库存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/


3.Oracle Solaris CVE-2020-14871未明远程代码实行漏洞


Oracle Solaris协议处理存在未明安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以系统上下文实行任意代码。

https://www.oracle.com/security-alerts/cpuoct2020.html


4.HPE Intelligent Management Center UrlAccessController验证绕过漏洞


HPE Intelligent Management Center UrlAccessController存在验证绕过漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us


5.VMware ESXi OpenSLP内存错误引用代码实行漏洞


VMware ESXi OpenSLP服务存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://www.vmware.com/security/advisories/VMSA-2020-0023.html


> 重要安全事件综述


1、Hiscox发布2020年度Cyber Readiness分析报告


1.jpg


Hiscox发布2020年度Cyber Readiness分析报告,发现过去一年中全球网络损失增长了近六倍。该报告显示,受影响企业的总损失为18亿美金,比去年的12亿美金增长了50%。报告中有6%以上的受访者支付了赎金,损失总计为3.81亿美金。据统计,恶意App、勒索App、企业电子邮件泄露和分布式拒绝服务(DDoS)仍然是最常用的攻击媒介,而DDoS攻击也成了勒索App攻击的另一种形式。


原文链接:

https://www.hiscox.co.uk/sites/uk/files/documents/202006/Hiscox_Cyber_Readiness_Report_2020_UK.PDF


2、Discord修复其桌面应用中可导致远程代码实行的漏洞


2.jpg


Discord已修复桌面版应用程序中的一个关键漏洞,可导致远程代码实行(RCE)攻击。该漏洞存在于Discon桌面应用程序使用的App框架Electron中,其contextIsolation被设置为false,这允许应用程序外部的JavaScript代码影响内部代码,例如web页面外部的JavaScript代码使用node.js功能。该漏洞被追踪为CVE-2020-15174,与其他两个漏洞结合利用可绕过导航限制并使用iframe XSS漏洞访问包含恶意代码的网页来实行RCE攻击。


原文链接:

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/


3、谷歌发布Chrome安全更新,修复已被利用的0day


3.jpg


谷歌发布了Chrome版本86.0.4240.111的安全更新,修复已被在野利用的0day。该漏洞被追踪为CVE-2020-15999,是FreeType字体渲染库中的内存损坏漏洞。GOOGLEProject Zero的研究人员发现了利用此FreeType漏洞进行的野外攻击,但是有关该漏洞的利用活动的详细信息尚未公开。这是在过去一年来的第三个被在野利用的Chrome 0day,前两个是CVE-2019-13720(2019年10月)和CVE-2020-6418(2020年2月)。


原文链接:

https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/


4、Rapid7披露10个针对七款浏览器应用的地址栏欺骗漏洞


4.jpg


网络安全企业Rapid7披露了10个针对七款浏览器应用的地址栏欺骗漏洞。此次披露的漏洞分别为UC浏览器中的CVE-2020-7363和CVE-2020-7364、Opera Mini和Opera Touch中的CVE TBD-Opera、Yandex浏览器中的CVE-2020-7369、Bolt浏览器中的CVE-2020-7370、RITS浏览器中的CVE-2020-7371和Apple Safari中的CVE-2020-9987。该问题于今年年初被发现,并于8月报告给制造商,目前大型厂商马上进行了修复,而小型厂商仍无人理会。


原文链接:

https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/


5、Sophos发现LockBit可使用自动攻击工具来识别可疑目标


5.jpg


Sophos发布报告,称LockBit可使用自动攻击工具来识别可疑目标。研究人员通过分析一年前出现的样本,发现LockBit已经迅速成熟,并采用了一些新的方法来绕过Windows用户帐户控制(UAC)来提升特权。此外,LockBit可使用PowerShell和Windows的VBscript主机的重命名副本以及基于PowerShell渗透测试工具的脚本,来搜索包含有价值数据的系统,以攻击小型组织。


原文链接:

https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/