信息安全周报-2020年第30周
发布时间 2020-07-27> 本周安全态势综述
2020年07月20日至07月26日共收录安全漏洞57个,值得关注的是Tenda AC15 AC1900任意命令执行漏洞;Tesla Model 3未授权打开车门漏洞;Phoenix Contact PLCnext Engineer CVE-2020-12499路径遍历漏洞;Adobe Photoshop CC CVE-2020-9687越界写漏洞; HPE nagios plugin for iLO PHP代码注入漏洞。
本周值得关注的网络安全事件是Mozilla发布雷鸟安全更新,修复多个严重的漏洞;AvertX IP系列摄像头存在3个漏洞,可被利用发起暴力攻击;Adobe发布紧急安全更新,修复多款产品中任意代码执行漏洞;黑客利用Google云发起钓鱼攻击,窃取Office 365凭证;思科发布安全更新,修复ASA和FTD中的路径遍历漏洞。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1.Tenda AC15 AC1900任意命令执行漏洞
Tenda AC15 AC1900 goform/AdvSetLanip端点存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的‘lanIp POST’参数请求,可执行任意系统命令。
https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68
2. Tesla Model 3未授权打开车门漏洞
Tesla Model 3存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可借助合法钥匙卡并实施NFC中继攻击利用该漏洞打开车门。
https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers
3. Phoenix Contact PLCnext Engineer CVE-2020-12499路径遍历漏洞
Phoenix Contact PLCnext Engineer存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行目录遍历攻击,可获取Web服务文件系统内的任意文件。
https://cert.vde.com/en-us/advisories/vde-2020-025
4. Adobe Photoshop CC CVE-2020-9687越界写漏洞
Adobe Photoshop CC存在越界写漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可进行拒绝服务攻击或者以应用程序上下文执行任意代码。
https://helpx.adobe.com/security/products/photoshop/apsb20-45.html
5. HPE nagios plugin for iLO PHP代码注入漏洞
HPE nagios plugin for iLO存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可注入任意PHP代码并执行。
https://github.com/HewlettPackard/nagios-plugins-hpilo/commit/7617b2736a95c7f354198f092febe37e7005c677
> 重要安全事件综述
1、Mozilla发布雷鸟安全更新,修复多个严重的漏洞
原文链接:
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird
2、AvertX IP系列摄像头存在3个漏洞,可被利用发起暴力攻击
原文链接:
https://www.ehackingnews.com/2020/07/vulnerabilities-with-avertx-ip-security.html
3、Adobe发布紧急安全更新,修复多款产品中任意代码执行漏洞
原文链接:
https://www.bleepingcomputer.com/news/security/adobe-photoshop-gets-fixes-for-critical-security-vulnerabilities/
4、黑客利用Google云发起钓鱼攻击,窃取Office 365凭证
原文链接:
https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-google-cloud-services-to-steal-office-365-logins/
5、思科发布安全更新,修复ASA和FTD中的路径遍历漏洞
原文链接:
https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software