首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第3周

发布时间 2019-01-21

本周安全态势综述


2019年1月14日至20日共收录安全漏洞50个,值得关注的是Brocade Network Advisor CVE-2018-6443硬编码凭证漏洞;systemd-journald栈缓冲区溢出漏洞;SAS Web Infrastructure Platform反序列化代码执行漏洞;IDenticard Premisys数据库默认凭证漏洞;LCDS LAquis SCADA未授权访问漏洞。

本周值得关注的网络安全事件是机票预订系统Amadeus严重漏洞,影响全球141家航空公司;美Oklahoma州政府服务器意外暴露3TB敏感数据;英国BSIA发布互联安全系统最佳实践指南;VoIP服务商VOIPO意外泄露过去四年的客户数据;ES文件浏览器两个漏洞使得超过1亿Android用户面临风险。

根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1. Brocade Network Advisor CVE-2018-6443硬编码凭证漏洞
Brocade Network Advisor存在硬编码漏洞,允许远程攻击者利用漏洞提交特殊的请求,可登录到JBoss Administration界面并安装其他JEE应用程序。
https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-743

2. systemd-journald栈缓冲区溢出漏洞
systemd-journald实现存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,使systemd-journald崩溃或以journald权限执行代码。
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16864

3. SAS Web Infrastructure Platform反序列化代码执行漏洞
SAS Web Infrastructure Platform的反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意代码。
https://support.sas.com/kb/63/391.html

4. IDenticard Premisys数据库默认凭证漏洞
IDenticard Premisys Identicard服务在安装时使用默认的数据库用户名和密码,允许远程攻击者利用漏洞提交特殊的请求,未授权访问数据库权限。
http://www.securityfocus.com/bid/106552

5. LCDS LAquis SCADA未授权访问漏洞
LCDS LAquis SCADA实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,绕过身份验证,获取敏感信息。
https://ics-cert.us-cert.gov/advisories/ICSA-19-015-01


 重要安全事件综述


1、机票预订系统Amadeus严重漏洞,影响全球141家航空公司



以色列安全研究员Noam Rotem发现机票预订系统Amadeus存在一个严重的安全漏洞,可导致用户信息泄露和账户更改。Rotem在以色列航空公司ELAL预订机票时发现了这一问题,在预订航班后,旅客会收到PNR号码和用于查看预订信息的链接。Rotem发现通过将该链接上的RULE_SOURCE_1_ID参数修改为其它人的PNR号码即可查看他人的预订信息,攻击者还可利用这些信息访问ELAL门户网站并更改受害者的账户信息,包括兑换里程、更改邮件地址和电话号码等。由于Amadeus开发的机票预订系统被全球至少141家航空公司使用(包括美国联合航空公司、德国汉莎航空公司和加拿大航空公司等),因此该漏洞可能影响了数亿旅客。目前Amadeus已经修复了该问题。

原文链接:
https://thehackernews.com/2019/01/airlines-flight-hacking.html



2、美Oklahoma州政府服务器意外暴露3TB敏感数据



UpGuard研究人员Greg Pollock发现属于美国俄克拉荷马州证券部ODS的一台服务器可公开访问,导致包含数百万敏感文件的约3TB政府数据暴露。这些数据包含证券委员会数十年的机密文件和许多敏感的FBI调查文件,以及约1万名股票经纪人的电子邮件、社会安全号码、姓名和地址信息等。Shodan显示该服务器至少从2018年11月30日开始可公开访问,约一周后ODS收到通知并对该服务器实施了保护措施。

原文链接:
https://thehackernews.com/2019/01/oklahoma-fbi-data-leak.html


3、英国BSIA发布互联安全系统最佳实践指南



英国安防行业协会(BSIA)发布互联安全系统最佳实践指南。该指南旨在最大限度地减少电子安全系统中的网络连接设备、软件和系统的数字破坏风险。该指南以行业的最佳国际实践为基础,并参考公认的国际指南和标准,可以帮助互联安全系统供应链中的设计者、制造商、安装人员、维护人员、服务提供商和用户提升安全连接的信心。

原文链接:
https://www.infosecurity-magazine.com/news/bsia-guidelines-digital-sabotage/


4、VoIP服务商VOIPO意外泄露过去四年的客户数据



研究人员Justin Paine通过Shodan发现一个可公开访问的ElasticSearch数据库,该数据库属于VoIP服务商VOIPO,其中包含了该公司过去四年的客户数据。根据Paine的说法,该数据库包含可追溯至2017年7月的670万条通话记录、可追溯至2015年12月的600万条短信/彩信日志以及100万条包含内部系统API KEY的日志。研究人员于1月8日向VOIPO通报了这一发现,该公司在同一天将数据库进行了脱机保护。

原文链接:
https://thehackernews.com/2019/01/voip-service-database-hacking.html



5、ES文件浏览器两个漏洞使得超过1亿Android用户面临风险



安全研究员Robert Baptiste在ES文件浏览器中发现一个始终在后台运行的隐藏Web服务器(端口59777),与受害者处于同一本地网络的攻击者可获取受害者手机的大量有用信息(包括设备信息、app安装信息、文件等),甚至可以远程启动app。该漏洞被跟踪为CVE-2019-6447,研究人员还发布了POC脚本。此外,ESET研究人员Lukas Stefanko发现了另一个中间人(MitM)攻击漏洞,影响了4.1.9.7.4及之前的版本。ES文件浏览器开发团队表示修复补丁将在大约两天后推出。

原文链接:
https://www.bleepingcomputer.com/news/security/es-file-explorer-flaws-put-100-million-users-data-at-risk-fix-promised/


声明:本资讯由启明星辰维他命安全小组翻译和整理

上一篇 下一篇