首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第43周

颁布功夫 2019-11-04

>本周安全态势综述

2019年10月28日至11月03日共收录安全缝隙47个，值得关注的是Apple WebKit CVE-2019-8812内存粉碎肆意代码执行缝隙; MikroTik RouterOS NPK目录遍历缝隙；rConfig ‘rootUname’参数号令注入缝隙；ZTE 9000E CVE-2019-3425账户密码更改缝隙；Apache Thrift越界读缝隙。

本周值得关注的网络安全事务是我国通过〖码法》，将于2020年1月1日起尝试；英国NCSC颁布2019年网络安整年度汇报；格鲁吉亚遭逢大规模网络攻击，波及1.5万个网站；Pwn2Own黑客大赛初次涉及工业节造系统；我国多个沉要单元被境表APT黑客组织攻下。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Rittal Chiller SK 3232-Series未授权接见缝隙
Rittal Chiller SK 3232-Series WEB接口存在安全漏
1. Apple WebKit CVE-2019-8812内存粉碎肆意代码执行缝隙
Apple WebKit处置WEB内容存在内存粉碎缝隙，允许远程攻击者能够利用缝隙提交特殊的页面要求，诱使用户解析，可进行回绝服务攻击或者执行肆意代码。
https://support.apple.com/zh-cn/HT210726

2. MikroTik RouterOS NPK目录遍历缝隙
MikroTik RouterOS处置升级包名字字段缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可进行目录遍历攻击，装置恶意包获取权限。
https://zh-cn.tenable.com/security/research/tra-2019-46?tns_redirect=true

3. rConfig ‘rootUname’参数号令注入缝隙
rConfig ‘rootUname’参数处置没有经过输入校验，允许远程攻击者能够利用缝隙提交特殊的要求，以利用法式高低文执行肆意OS号令。
https://drive.google.com/file/d/1bTpTn4-alJ8qGCEATLq-oVM6HbhE65iY/view?usp=sharing

4. ZTE 9000E CVE-2019-3425账户密码更改缝隙
ZTE 9000E存在设计缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，直接设置更改其它账户的密码。
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1011682

5. Apache Thrift越界读缝隙
Apache Thrift使用TJSONProtocol或 TSimpleJSONProtocol存在缓冲区溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。
http://mail-archives.apache.org/mod_mbox/thrift-dev/201910.mbox/%3C277A46CA87494176B1BBCF5D72624A2A%40HAGGIS%3E

>沉要安全事务综述

1、我国通过〖码法》，将于2020年1月1日起尝试

GA黄金甲·(中国区)官方网站

十三届全国人大常委会第十四次会议26日表决通过《中华人民共和国密码法》，将自2020年1月1日起执行。密码法旨在规芳码利用和治理，推进密码事业发展，保险网络与信息安全，提升密码治理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性司法。密码法共五章四十四条，将密码分为主题密码、通常密码和商用密码，并对有关造度、司法责任及权柄部门进行了划定。

原文链接：
http://www.xinhuanet.com/politics/2019-10/26/c_1125156896.htm

2、英国NCSC颁布2019年网络安整年度汇报

GA黄金甲·(中国区)官方网站

凭据英国国度网络安全中心（NCSC）颁布的2019网络安整年度汇报，2018年9月1日至2019年8月31日期间NCSC共阻止了600多起网络攻击事务，其中大无数攻击是由海表攻击者提议的。该汇报指出，大无数攻击针对当局机构、大学、信息技术、医疗保健和运输等行业。NCSC还忠告了56家银行有关ATM偷窃威胁。该汇报中称俄罗斯、中国、伊朗和朝鲜持续对英国组成战术性国度安全威胁。

原文链接：
https://securityaffairs.co/wordpress/93015/intelligence/ncsc-report-cyber-attacks.html

3、格鲁吉亚遭逢大规模网络攻击，波及1.5万个网站

GA黄金甲·(中国区)官方网站

本地功夫10月28日，格鲁吉亚遭逢史上最大规模的网络攻击，在此期间超过1.5万个网站受到攻击并离线，各类当局机构、银杏注法院、本地报纸和电视台的网站都受到影响。该事务与本地网络托管服务提供商Pro-Service被黑客入侵有关，攻击产生在本地早晨，到晚上8点时工作人员已经复原了受损站点的一半以上。黑客在被入侵的网站上颁布了被放逐的前总统Mikheil Saakashvili的照片，并写上“我会回来！”的信息。本地法律机构在对此事务进行调查。

原文链接：

https://www.zdnet.com/article/largest-cyber-attack-in-georgias-history-linked-to-hacked-web-hosting-provider/

4、Pwn2Own黑客大赛初次涉及工业节造系统

GA黄金甲·(中国区)官方网站

Pwn2Own黑客大赛将提供超过25万美元的嘉奖，以激励挖掘ICS和有关和谈缝隙。该活动将于明年（1月21日至1月23日）在迈阿密S4会议期间进行。“和其他较量一样，Pwn2Own试图通过揭示缝隙并将钻研了局提供给供给商来强化这些平台”，Pwn2Own组织者、ZDI提议人Brian Gorenc在周一的帖子中暗示，“Pwn2Own的指标始终是在攻击者积极利用之前建复这些缝隙”。Pwn2Own Miami为五个ICS类此外缝隙提供了各类嘉奖，蕴含节造服务器解决规划、OPC服务器、DNP3通讯和谈、HMI/操作怨鼐和工程工作站软件。

原文链接：

https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/

5、我国多个沉要单元被境表APT黑客组织攻下

GA黄金甲·(中国区)官方网站

10月30日新闻，一昵称为@MisterCh0c的推特用户颁布新闻称，发现了一款木马节造平台的登录地址http://lmhostsvc[.]net/healthne/login.php。尔后，其他推特用户发帖曝光该后盾至少纪录了12台被控主机的IP地址、推算机名、用户名、操作系统、被控功夫及最后一次上线功夫等信息，在曝光的被控主机中，有9个属于中国。该后盾所有者是印度当局布景的APT组织Bitter（别名“蔓灵花”），这是一个持久针对中国、巴基斯坦等国度确当局、军工、电力、核等部门发起网络攻击的APT团伙。这9个属于中国的IP地址重要涉及北京、上海、浙江、广西等地，该平台还具备下发木马插件的职能，可对受控主机施前进一步操作。

原文链接：
http://tech.ifeng.com/c/7rCKq4uSCJl

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第43周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线