信息安全周报-2020年第47周

发布时间 2020-11-23

> 本周安全态势综述


2020年11月16日至11月22日共收录安全漏洞61个,值得关注的是Aviatrix Systems Controller API任意文件实行漏洞;谷歌 Go CVE-2020-28366代码注入漏洞;Paradox IP150 CVE-2020-25189缓冲区溢出漏洞;QNAP QTS CVE-2020-2492命令注入漏洞;Real Time Automation 499ES EtherNet/IP栈缓冲区溢出漏洞。


本周值得关注的网络安全事件是黑客在暗网公开320万个Pluto TV用户的信息;Snow Software发布2021年有关IT管理的分析报告;Intel 471发布暗网中25种主要RaaS产品的分析报告;谷歌 Nest服务中断导致欧美用户智能家居失灵;研究人员发现数十个AWS API可被用来窃取信息。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1.Aviatrix Systems Controller API任意文件实行漏洞


Aviatrix Systems Controller API实现的可实行文件存在未授权漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行代码。

https://www.criticalstart.com/multiple-vulnerabilities-discovered-in-aviatrix/


2.谷歌 Go CVE-2020-28366代码注入漏洞


谷歌 Go存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可注入代码并以应用程序上下文实行。

https://www.vuxml.org/freebsd/db4b2f27-252a-11eb-865c-00155d646400.html



3.Paradox IP150 CVE-2020-25189缓冲区溢出漏洞


Paradox IP150存在栈缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码或使应用程序崩溃。

https://us-cert.cisa.gov/ics/advisories/icsa-20-324-02


4.QNAP QTS CVE-2020-2492命令注入漏洞


QNAP QTS存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意命令。

https://www.qnap.com/en/security-advisory/qsa-20-09


5.Real Time Automation 499ES EtherNet/IP栈缓冲区溢出漏洞


Real Time Automation 499ES EtherNet/IP存在栈缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码或使应用程序崩溃。

https://us-cert.cisa.gov/ics/advisories/icsa-20-324-03


> 重要安全事件综述


1、黑客在暗网公开320万个Pluto TV用户的信息


1.png


上周三,黑客在暗网公开了包含320万个Pluto TV用户信息的数据库。通过数据库样本可知,泄露数据包括用户名、电子邮件地址、bcrypt哈希密码、生日、设备平台和IP地址。黑客声称此次数据泄露是由ShinyHunters导致的,而该数据库可能是两年前泄露的,最新记录是在2018年10月12日创建的。目前,Pluto TV尚未证实是否发生了数据泄露,仅表示他们正在调查中。


原文链接:

https://www.bleepingcomputer.com/news/security/hacker-shares-32-million-pluto-tv-accounts-for-free-on-forum/


2、Snow Software发布2021年有关IT管理的分析报告


2.png


Snow Software发布2021年有关IT管理的分析报告。报告显示,63%的受访者称技术管理变得越来越困难,企业在App、硬件、SaaS和云上的技术支出全面增加。87%的IT领导者表示,过去一年中他们已经过微软、IBM、Oracle、Adobe和SAP等App供应商的审计,只有51%的人担心下一年的审计。此外,强大的技术情报使IT领导者能更有效地解决他们的首要任务,但只有14%的IT领导者达到了成熟技术智能的标准。


原文链接:

https://www.snowsoftware.com/company/news/cios-face-competing-and-complex-priorities-2021-finds-new-snow-software-report


3、Intel 471发布暗网中25种主要RaaS产品的分析报告


3.png


Intel 471发布了有关暗网中的25种主要RaaS产品的分析报告。Intel 471表示,它根据RaaS的复杂程度、功能和历史将这些勒索App分为三个层次。第一层为当今最著名的勒索App,包括REvil、Netwalker、DopplePaymer、Egregor(Maze)和Ryuk。第二层为勒索App世界的新兴代表,包括Avaddon、Conti、Clop、DarkSide、Mespinoza(Pysa)、RagnarLocker、Ranzy(Ako)、SunCrypt和Thanos。第三层为新发布的RaaS产品,包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、Xinof、Zeoticus和ZagreuS。


原文链接:

https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/


4、谷歌 Nest服务中断导致欧美用户智能家居失灵


4.png


本周二谷歌 Nest服务大规模中断,导致北美和欧洲用户智能家居失灵。周二凌晨,GOOGLE总部发布消息称,其发现一个问题会影响GOOGLENest设备和Nest应用。该问题导致智能家居用户无法登录其账户,无法使用智能手机观看视频直播,无法调整恒温控制器,也无法与Nest的任何系列产品互动,其中北美和北欧的用户受到的影响最大。其实,该服务在2月也发生了类似的中断,持续了16个小时。


原文链接:

https://www.theregister.com/2020/11/17/google_nest_outage/


5、研究人员发现数十个AWS API可被用来窃取信息


5.png


Palo Alto Networks研究人员发现了16个不同亚马逊 Web Services(AWS)中的22个API,可被滥用来获取信息。该问题是由于AWS后端会主动验证附加到资源的所有基于资源的策略所导致的。如果策略中包含不存在的身份,则创建或更新策略的API调用将失败,攻击者可以滥用此功能来检查AWS账户中的现有身份。研究人员称,该攻击可在aws、aws-us-gov和aws-cn分区上进行,易受攻击的AWS服务包括AWS S3、AWS KMS和AWS SQS。


原文链接:

https://www.securityweek.com/researchers-find-tens-aws-apis-leaking-sensitive-data