首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第04周

颁布功夫 2020-02-04

> 本周安全态势综述

2020年01月20日至26日共收录安全缝隙42个，值得关注的是Cisco Webex Video Mesh WEB接口肆意号令执行缝隙; Ruckus Wireless Unleashed emfd肆意OS号令执行缝隙；Trustwave ModSecurity Transaction::addRequestHeader回绝服务缝隙；Honeywell Maxpro VMS & NVR反序列化代码执行缝隙；Philips Hue Bridge ZCL堆溢露马脚。

本周值得关注的网络安全事务是美国国度尺度技术钻研院颁布隐衷风险治理框架1.0版；GDPR监管机构迄今为止已�？�1.26亿美元；微软泄露2.5亿条呼叫中心纪录，客户邮箱及IP地址露出；钻研人员披露FortiSIEM中的硬编码SSH密钥缝隙；苹果颁布通明度汇报，披露列国当局要求苹果用户数据情况。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Cisco Webex Video Mesh WEB接口肆意号令执行缝隙

Cisco Webex Video Mesh WEB接口存在输入验证缝隙，允许通过验证的远程攻击者利用缝隙提交特殊的要求，能够root权限执行肆意号令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

2. Ruckus Wireless Unleashed emfd肆意OS号令执行缝隙

Ruckus Wireless Unleashed emfd admin/_cmdstat.jsp不正确处置xcmd=import-category属性，允许远程攻击者利用缝隙提交特殊的POST要求，能够利用法式高低文执行肆意OS号令。

https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html

3. Trustwave ModSecurity Transaction::addRequestHeader回绝服务缝隙

Trustwave ModSecurity Transaction::addRequestHeader存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可进行回绝服务攻击。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-denial-of-service-details-cve-2019-19886/

4. Honeywell Maxpro VMS & NVR反序列化代码执行缝隙

Honeywell Maxpro VMS & NVR处置WEB要求存在反序列化缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-021-01

5. Philips Hue Bridge ZCL堆溢露马脚

Philips Hue Bridge处置超长ZCL字符串存在堆溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://www2.meethue.com/en-us/support/release-notes/bridge

> 沉要安全事务综述

1、美国国度尺度技术钻研院颁布隐衷风险治理框架1.0版

GA黄金甲·(中国区)官方网站

美国国度尺度技术钻研院（NIST）上周颁布了隐衷框架1.0版，该工具旨在援手组织治理隐衷风险。NIST于2019年9月颁布了隐衷框架初稿并网络公家定见，该机构最初但愿在2019年底之前颁布1.0版，但直到1月16日才正式颁布。NIST隐衷框架旨在通过关注三个重要方面来援手各类规模和各个部门的组织治理隐衷风险：在开发产品或服务时要思考到隐衷、互换隐衷通例以及跨组织的合作。该框架蕴含三个重要部门：主题、概要和实现层。主题提供一组细化的活动和了局，其主张是实现内部沟通。概要层暗示组织已确定主题职能、类别和子类此外优先级别。最后，执行层可援手组织优化实现概要层所需的资源。

原文链接：

https://www.securityweek.com/nist-releases-framework-privacy-risk-management

2、GDPR监管机构迄今为止已�？�1.26亿美元

GA黄金甲·(中国区)官方网站

一项新的调查发现，迄今为止监管机构已对数据泄露和其他GDPR侵权行为处以了价值1.26亿美元的�？�。凭据DLA Piper的GDPR数据违规调查，数据�；ぜ喙芑乖�2018年5月25日至2020年1月27日期间对GDPR有关的�？钗�1.14亿欧元（约合1.26亿美元/ 9,700万英镑）。这家国际律师事务所指出，法国、德国和奥地利的�？钭芏钭罡�，别离为5100万欧元，2450万欧元和1800万欧元。该汇报并未涵盖英国信息专员办公室（ICO）对英国航空公司（British Airways）处以1.83亿英镑的GDPR�？罴岸酝蚝拦使荆∕arriott International）进行9990万英镑的GDPR�？�，由于截至汇报实现时ICO尚未最终确定处以�？�。

原文链接：

https://www.tripwire.com/state-of-security/security-data-protection/gdpr-regulators-have-imposed-126m-in-fines-thus-far-finds-survey/

3、微软泄露2.5亿条呼叫中心纪录，客户邮箱及IP地址露出

GA黄金甲·(中国区)官方网站

去年年底，Comparitech的安全钻研团队发现了几台服务器，每台服务器都蕴含与Microsoft支持代理和客户一样的2.5亿呼叫中心纪录。这些纪录所覆盖的功夫段为2005年至2019年12月，其并没有使用密码�；せ蚣用�，这也意味着，任何能够接见互联网的人都能够对其进行接见。大无数幼我身份信息已从纪录中删除。但是，依然存在大量以纯文本体式存储的信息，蕴含：客户电子邮件地址、IP地址、地位、CSS申明和案例的描述、Microsoft支持代理电子邮件、案例编号、案例解决规划，案例备注和象征为“机密”的内部注解。

原文链接：

https://www.infosecurity-magazine.com/news/microsoft-exposes-250-million-call/

4、钻研人员披露FortiSIEM中的硬编码SSH密钥缝隙

GA黄金甲·(中国区)官方网站

Cybera的安全专家Andrew Klaus发现Fortinet安全信息和事务治理器 FortiSIEM中的硬编码SSH公钥缝隙，可被滥用于接见FortiSIEM Supervisor。该硬编码SSH密钥属于用户“tunneluser”。在所有装置之间都一样。使用此密钥的攻击者能够以该用户身份成功通过FortiSIEM Supervisor进行身份验证。固然该用户的shell仅限于运行剧本/opt/phoenix/phscripts/bin/tunnelshell，SSH认证依然是成功的。Fortinet颁布安全布告称，该缝隙的编号是 CVE-2019-17659，它可导致回绝服务。

原文链接：

https://securityaffairs.co/wordpress/96649/security/hardcoded-ssh-key-fortinet.html

5、苹果颁布通明度汇报，披露列国当局要求苹果用户数据情况

GA黄金甲·(中国区)官方网站

1月18日，苹果周五颁布了半年度通明度汇报，披露了列国当局在全球领域内向其索取用户数据的次数。凭据苹果颁布的汇报，在2019年1月1日至6月30日之间，列国当局提出了31778次设备要求，比2018年上半年增长了约500次。这类信息蕴含哪些用户与哪些设备有关联，以及采办、客户服务和维建信息。苹果在其中82%的时辰满足了对方的要求。德国提出设备要求再次位居榜首，达到13558次，美国在6个月内提出了4796次设备要求。帐户要求（例如，有关iCloud和iTunes帐户的具体信息）在6个月内达到了6480次。苹果在85％的情况下城市提供具体信息。大部门账号要求来自美国，达到3619次。

原文链接：

https://www.apple.com/legal/transparency/pdf/requests-2019-H1-en.pdf

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第04周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线