信息安全周报-2019年第43周

发布时间 2019-11-04

>本周安全态势综述



2019年10月28日至11月03日共收录安全漏洞47个,值得关注的是Apple WebKit CVE-2019-8812内存破坏任意代码实行漏洞; MikroTik RouterOS NPK目录遍历漏洞;rConfig ‘rootUname’参数命令注入漏洞;ZTE 9000E CVE-2019-3425账户密码更改漏洞;Apache Thrift越界读漏洞。


本周值得关注的网络安全事件是我国通过《密码法》,将于2020年1月1日起实行;英国NCSC发布2019年网络安全年度报告;格鲁吉亚遭遇大规模网络攻击,波及1.5万个网站;Pwn2Own黑客大赛首次涉及工业控制系统;我国多个重要单位被境外APT黑客组织攻陷。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表



1. Rittal Chiller SK 3232-Series未授权访问漏洞
Rittal Chiller SK 3232-Series WEB接口存在安全漏
1. Apple WebKit CVE-2019-8812内存破坏任意代码实行漏洞
Apple WebKit处理WEB内容存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的页面请求,诱使用户解析,可进行拒绝服务攻击或者实行任意代码。
https://support.apple.com/zh-cn/HT210726

2. MikroTik RouterOS NPK目录遍历漏洞
MikroTik RouterOS处理升级包名字字段漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可进行目录遍历攻击,安装恶意包获取权限。
https://zh-cn.tenable.com/security/research/tra-2019-46?tns_redirect=true

3. rConfig ‘rootUname’参数命令注入漏洞
rConfig ‘rootUname’参数处理没有经过输入校验,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文实行任意OS命令。
https://drive.google.com/file/d/1bTpTn4-alJ8qGCEATLq-oVM6HbhE65iY/view?usp=sharing

4. ZTE 9000E CVE-2019-3425账户密码更改漏洞
ZTE 9000E存在设计漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,直接设置更改其它账户的密码。
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1011682

5. Apache Thrift越界读漏洞
Apache Thrift使用TJSONProtocol或 TSimpleJSONProtocol存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。
http://mail-archives.apache.org/mod_mbox/thrift-dev/201910.mbox/%3C277A46CA87494176B1BBCF5D72624A2A%40HAGGIS%3E


>重要安全事件综述



1、我国通过《密码法》,将于2020年1月1日起实行


十三届全国人大常委会第十四次会议26日表决通过《中华人民共和国密码法》,将自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。密码法共五章四十四条,将密码分为核心密码、普通密码和商用密码,并对相关制度、法律责任及职权部门进行了规定。

原文链接:
http://www.xinhuanet.com/politics/2019-10/26/c_1125156896.htm


2、英国NCSC发布2019年网络安全年度报告



根据英国国家网络安全网站(NCSC)发布的2019网络安全年度报告,2018年9月1日至2019年8月31日期间NCSC共阻止了600多起网络攻击事件,其中大多数攻击是由海外攻击者发起的。该报告指出,大多数攻击针对政府机构、大学、信息技术、医疗保健和运输等行业。NCSC还警告了56家银行有关ATM盗窃威胁。该报告中称俄罗斯、中国、伊朗和朝鲜继续对英国构成战略性国家安全威胁。

原文链接:
https://securityaffairs.co/wordpress/93015/intelligence/ncsc-report-cyber-attacks.html

3、格鲁吉亚遭遇大规模网络攻击,波及1.5万个网站



当地时间10月28日,格鲁吉亚遭遇史上最大规模的网络攻击,在此期间超过1.5万个网站受到攻击并离线,各种政府机构、银行、法院、当地报纸和电视台的网站都受到影响。该事件与本地网络托管服务提供商Pro-Service被黑客入侵有关,攻击发生在当地早晨,到晚上8点时工作人员已经恢复了受损站点的一半以上。黑客在被入侵的网站上发布了被流放的前总统Mikheil Saakashvili的照片,并写上“我会回来!”的信息。当地执法机构正在对此事件进行调查。 


原文链接:

https://www.zdnet.com/article/largest-cyber-attack-in-georgias-history-linked-to-hacked-web-hosting-provider/

4、Pwn2Own黑客大赛首次涉及工业控制系统



Pwn2Own黑客大赛将提供超过25万美金的奖励,以鼓励挖掘ICS和相关协议漏洞。该活动将于明年(1月21日至1月23日)在迈阿密S4会议期间举办。“和其他竞赛一样,Pwn2Own试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”,Pwn2Own组织者、ZDI发起人Brian Gorenc在周一的帖子中表示,“Pwn2Own的目标始终是在攻击者积极利用之前修复这些漏洞”。Pwn2Own Miami为五个ICS类别的漏洞提供了各种奖励,包括控制服务器解决方案、OPC服务器、DNP3通信协议、HMI/操作员站和工程工作站App。


原文链接:

https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/

5、我国多个重要单位被境外APT黑客组织攻陷


10月30日消息,一昵称为@MisterCh0c的推特用户发布消息称,发现了一款木马控制平台的登录地址http://lmhostsvc[.]net/healthne/login.php。此后,其他推特用户发帖曝光该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息,在曝光的被控主机中,有9个属于中国。该后台所有者是印度政府背景的APT组织Bitter(又名“蔓灵花”),这是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙。这9个属于中国的IP地址主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作。

原文链接:
http://tech.ifeng.com/c/7rCKq4uSCJl