信息安全周报-2020年第33周
发布时间 2020-08-17> 本周安全态势综述
2020年08月10日至08月16日共收录安全漏洞77个,值得关注的是Apache Struts CVE-2019-0230代码执行漏洞;Citrix Systems XenMobile Server CVE-2020-8211未明任意代码执行漏洞;Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路径遍历漏洞;SAP Business Objects Business Intelligence Platform Xvfb验证绕过漏洞; Shenzhen Hichip Vision Technology Firmware P2P服务代码执行漏洞。
本周值得关注的网络安全事件是FBI警告伊朗黑客利用F5 BIG-IP漏洞攻击ADC设备;Check Point发现高通的Snapdragon芯片存在400多个漏洞;Nusenu发现未知组织劫持Tor近四分之一的出口节点;Adobe发布安全更新,修复多款产品中的26个漏洞;FBI和NSA联合披露俄罗斯针对Linux的恶意软件Drovorub。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1. Apache Struts CVE-2019-0230代码执行漏洞
Apache Struts框架在被强制使用时,会对标签的属性进行二次求值漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意代码。只有在Struts标签属性中强制使用OGNL表达式时,才能触发漏洞。
https://cwiki.apache.org/confluence/display/ww/s2-059
2. Citrix Systems XenMobile Server CVE-2020-8211未明任意代码执行漏洞
Citrix Systems XenMobile Server存在未明安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.auscert.org.au/bulletins/ESB-2020.2780/
3. Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路径遍历漏洞
Schneider Electric APC Easy UPS On-Line `FileUploadServlet`存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可上传任意文件到任意目录。
https://us-cert.cisa.gov/ics/advisories/icsa-20-224-02
4. SAP Business Objects Business Intelligence Platform Xvfb验证绕过漏洞
SAP Business Objects Business Intelligence Platform Xvfb存在验证绕过漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问应用。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345
5. Shenzhen Hichip Vision Technology Firmware P2P服务代码执行漏洞
Shenzhen Hichip Vision Technology Firmware P2P服务存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://redprocyon.com
> 重要安全事件综述
1、FBI警告伊朗黑客利用F5 BIG-IP漏洞攻击ADC设备
原文链接:
https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-critical-f5-big-ip-flaw/
2、Check Point发现高通的Snapdragon芯片存在400多个漏洞
原文链接:
https://www.hackread.com/chip-flaws-turn-android-phones-into-spying-tool/
3、Nusenu发现未知组织劫持Tor近四分之一的出口节点
原文链接:
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/
4、Adobe发布安全更新,修复多款产品中的26个漏洞
原文链接:
https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/
5、FBI和NSA联合披露俄罗斯针对Linux的恶意软件Drovorub
原文链接:
https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/