信息安全周报-2019年第45周

发布时间 2019-11-18

>本周安全态势综述



2019年11月11日至17日共收录安全漏洞48个,值得关注的是Microsoft Windows OpenType字体解析CVE-2019-1456远程执行代码漏洞; eQ-3 Homematic CCU3 testtcl.cgi代码执行漏洞;SAP Diagnostics Agent任意OS命令注入漏洞;Istio拒绝服务漏洞;Adobe Illustrator CVE-2019-8248内存破坏任意代码执行漏洞。


本周值得关注的网络安全事件是托管服务商SmarterASP.NET遭勒索软件攻击;俄罗斯新法案强制手机和PC预安装本国软件;5G新漏洞可跟踪电话位置及广播虚假警报;McAfee杀毒软件代码执行漏洞(CVE-2019-3648);高通芯片组QSEE漏洞可致Android设备数据泄露。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Microsoft Windows OpenType字体解析CVE-2019-1456远程执行代码漏洞
Microsoft Windows OpenType字体解析处理Opentype字体存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,可使应用程序崩溃或执行任意代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1456

2. eQ-3 Homematic CCU3 testtcl.cgi代码执行漏洞
eQ-3 Homematic CCU3 save.cgi脚本可用来上传脚本并被testtcl.cgi脚本执行,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://psytester.github.io/CVE-2019-18938/

3. SAP Diagnostics Agent任意OS命令注入漏洞
SAP Diagnostic Agent存在未明安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意OS命令。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528880390

4. Istio拒绝服务漏洞
Istio存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃。
https://github.com/istio/istio/issues/18229

5. Adobe Illustrator CVE-2019-8248内存破坏任意代码执行漏洞
Adobe Illustrator处理文件存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,可执行任意代码或者进行拒绝服务攻击。
https://helpx.adobe.com/security/products/illustrator/apsb19-36.html


>重要安全事件综述


1、托管服务商SmarterASP.NET遭勒索软件攻击



SmarterASP.NET是一家拥有超过44万个客户的ASP.NET托管服务商,该公司在周末遭到勒索软件攻击。当前SmarterASP.NET表示正在努力恢复客户的服务器,但不清楚该公司是支付了赎金还是在从备份中恢复。此次攻击中不仅客户数据受到影响,而且SmarterASP.NET本身亦受影响。该公司的网站在星期六全天都下线,直到星期天早上才重新上线。服务器恢复工作进展缓慢,许多客户仍然无法访问其账户和数据,包括网站文件和后端数据库。根据在Twitter上发布的截图,被加密的客户文件后附加了“.kjhbx”扩展名,目前研究人员仍在试图确认勒索软件的种类。

原文链接:
https://www.zdnet.com/article/major-asp-net-hosting-provider-infected-by-ransomware/

2、俄罗斯新法案强制手机和PC预安装本国软件



俄罗斯议会正在推动一项立法,该法案将强制要求所有在俄罗斯销售的电子设备(包括智能手机、PC和智能电视等)预安装本国科技公司的应用。这可能会带来安全隐患。立法者表示该法案是为了保护本地的技术市场免受外国(可能是指美国)的竞争。政府将针对每种设备类型发布一份软件列表,设备供应商需要在俄罗斯销售的设备上预安装这些软件。如果供应商不遵守规定,将被处以最高20万卢布(约合3100美元)的罚款。该法案得到了所有主要政党的支持,这意味着它很有可能将在2020年7月1日生效。

原文链接:
https://www.zdnet.com/article/phones-and-pcs-sold-in-russia-will-have-to-come-pre-installed-with-russian-apps/

3、5G新漏洞可跟踪电话位置及广播虚假警报



普渡大学(Purdue University)和爱荷华大学(University of Iowa)的安全研究人员发现将近12个5G安全漏洞,研究人员表示这些漏洞可允许攻击者获取目标用户电话的新/旧临时网络标识符,从而跟踪电话的位置,甚至劫持寻呼信道进行虚假的紧急警报广播。在某些情况下,这些漏洞可能被用来将蜂窝连接降级为不太安全的标准。一些新的攻击也可能在现有的4G网络上被利用。鉴于漏洞的性质,研究人员表示他们不打算公开其PoC代码,但他们将这些发现通知了全球蜂窝网络GSM协会(GSMA)。GSMA没有透露是否可以修复漏洞,也没有透露修复时间。


原文链接:

https://finance.yahoo.com/news/5g-flaws-track-phone-locations-163014364.html

4、McAfee杀毒软件代码执行漏洞(CVE-2019-3648)


SafeBreach Labs发现McAfee防病毒软件受代码执行漏洞(CVE-2019-3648)的影响,攻击者可绕过McAfee的自卫机制,可能导致对受感染系统的进一步攻击。该漏洞是由于未验证加载DLL的签名导致的,攻击者可将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的多个服务中。该攻击还可以绕过应用程序白名单保护并避免被安全软件检测到。


原文链接:

https://www.zdnet.com/article/mcafee-antivirus-software-impacted-by-code-execution-vulnerability/

5、高通芯片组QSEE漏洞可致Android设备数据泄露



根据安全厂商CheckPoint的一份报告,高通芯片组中的安全执行环境(QSEE)中存在漏洞(CVE-2019-10574),可导致Android设备中的个人数据泄露。QSEE是基于ARM TrustZone技术的受信任执行环境(TEE)的实现,是主处理器上的一个硬件隔离的安全区域,其中通常包含专用加密密钥、密码、信用卡和借记卡凭据等敏感信息。Check Point研究人员逆向了该系统,并利用模糊测试对三星、LG和摩托罗拉设备进行了测试。总体而言,研究人员发现三星的受信任代码包含四个漏洞,摩托罗拉和LG分别包含一个漏洞,但所有代码均来自高通公司。三星、高通和LG已针对这些QSEE漏洞发布了补丁更新。

原文链接:
https://thehackernews.com/2019/11/qualcomm-android-hacking.html