首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第10周

颁布功夫 2020-03-10

> 本周安全态势综述

2020年03月02日至08日共收录安全缝隙52个，值得关注的是FasterXML jackson-databind CVE-2020-9548代码执行缝隙; Rubetek SmartHome波段设计缝隙；Envoy不正确接见节造缝隙；Qualcomm MDM9206 WLAN缓冲区溢露马脚；Google Chrome media安全绕过缝隙。

本周值得关注的网络安全事务是Tesla和SpaceX的零件造作商Visser确认遭黑客攻击且数据泄露；Let's Encrypt撤回超过300万个TLS证书；CrowdStrike颁布《2020年全球威胁汇报》；英国数据监管机构对国泰航空处以50万英镑�？�；澳大利亚ACSC颁布CMS系统安全指南。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. FasterXML jackson-databind CVE-2020-9548代码执行缝隙

FasterXML jackson-databind ibatis-sqlmap以及anteros-core组件存在黑名单绕过缝隙，允许远程攻击者利用缝隙提交特殊的要求，可执行肆意代码。

https://github.com/FasterXML/jackson-databind/issues/2631

2. Rubetek SmartHome波段设计缝隙

Rubetek SmartHome使用了未加密的433 MHz波段进行通讯，允许远程攻击者能够利用缝隙提交特殊的要求，可获取敏感信息或进行回绝服务攻击。

https://pastebin.com/CckKKJcM

3. Envoy不正确接见节造缝隙

Envoy使用SDS存在不正确接见节造缝隙，允许远程攻击者利用缝隙提交特殊的要求，可未授权接见受限资源。

https://github.com/envoyproxy/envoy/security/advisories/GHSA-3x9m-pgmg-xpx8

4. Qualcomm MDM9206 WLAN缓冲区溢露马脚

Qualcomm MDM9206 WLAN存在缓冲区溢露马脚，允许远程攻击者利用缝隙提交特殊的要求，可进行回绝服务攻击或可执行肆意代码。

https://www.qualcomm.com/company/product-security/bulletins/march-2020-bulletin

5. Google Chrome media安全绕过缝隙

Google Chrome media处置安全战术存在安全缝隙，允许远程攻击者利用缝隙提交特殊的WEB要求，诱使用户解析，可绕过安全限度，未授权接见。

https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html

> 沉要安全事务综述

1、Tesla和SpaceX的零件造作商Visser确认遭黑客攻击且数据泄露

GA黄金甲·(中国区)官方网站

Tesla和SpaceX的零件造作商Visser确认遭逢数据泄露事务，该公司是一家专门为太空和国防承包商设计精密零件的造作商。在一份简短的申明中，该公司确认其近期成为“网络安全犯罪事务（蕴含接见和偷窃数据）的指标”。该公司讲话人暗示将“持续对该攻击进行全面调查，并且业务运行正常”。TechCrunch钻研人员称这次攻击很有可能是由DoppelPaymer勒索软件引起的。

原文链接：

https://techcrunch.com/2020/03/01/visser-breach/

2、4Let's Encrypt撤回超过300万个TLS证书

GA黄金甲·(中国区)官方网站

由于在后端代码中发现了一个bug，Let's Encrypt项目打算从世界标定功夫2020年3月4日00:00起头撤销超过300万个TLS证书。具体来说，该bug影响了Boulder，Let's Encrypt项目使用该服务器软件在刊行TLS证书之前验证用户及其域。该bug影响了Boulder内部CAA（证书宣告机构授权）规范的执行，“当一个证书要求蕴含N个必要进行CAA沉新查抄的域名时，Boulder将选择一个域名并查抄N次。这现实上意味着若是一个用户在功夫X验证了一个域名，并且该域名在功夫X的CAA纪录允许Let's Encrypt刊行，则该用户能够在X+30天的功夫里刊行蕴含该域名的证书，即便之后有人在该域名上装置了不容Let's Encrypt刊行的CAA纪录”。在这300万个撤销的证书中，有100万个是统一域/子域的沉复项，因而受影响证书的现实数量约为200万个。在3月4日00:00之后所有受影响的证书都将触发浏览器和其他利用法式中的谬误，域名所有者将必必要求新的TLS证书并代替旧的TLS证书。

原文链接：

https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/

3、CrowdStrike颁布《2020年全球威胁汇报》

GA黄金甲·(中国区)官方网站

CrowdStrike的《2020年全球威胁汇报》对从前一年中顶级网络威胁趋向进行了深刻分析，该汇报的重点蕴含：大型攻击活动（BGH）不休升级，赎金要求飙升至数百万，并且造成极大的粉碎；网络犯罪分子在使敏感数据兵器化，以增长对勒索软件受害者的压力；eCrime生态系统不休发展，变得成熟和专业化水平不休提高；在BGH之表，针对全球金融机构的eCrime活动有所增长；朝向无恶意软件战术的趋向在加快；国度赞助的有针对性的入侵活动持续针对知识产权/竞争谍报，推进社区内部的割裂，并观察到了与先进eCrime攻击者的合作。

原文链接：

https://www.crowdstrike.com/resources/reports/2020-crowdstrike-global-threat-report/

4、英国数据监管机构对国泰航空处以50万英镑�？�

GA黄金甲·(中国区)官方网站

英国信息专员办公室因2018年940万乘客数据泄露事务对国泰航空公司处以50万英镑的�？�。该攻击疑似产生在2018年3月份，并于5月份得到确认，其时国泰航空的数据库遭到了暴力破解攻击。ICO调查称国泰的系统受到了数据网络类恶意软件的影响，并发现国泰在安全性方面的一些不及，蕴含不受密码�；さ谋阜菸募⑽创虿苟〉腤eb服务器、已过期的操作系统和不足防病毒�；さ�。

原文链接：

https://www.theregister.co.uk/2020/03/04/ico_fines_cathay_pacific_500000/

5、澳大利亚ACSC颁布CMS系统安全指南

GA黄金甲·(中国区)官方网站

澳大利亚网络安全中心（ACSC）颁布一份用于�；MS系统的网络安全指南，该指南概述了若何在web服务器上鉴别和最幼化潜在风险的战术，其指标受多是掌管使用CMS开发和�；ね净騑eb利用法式的人。攻击者能够使用自动化工具扫描Internet上的安全缝隙。一旦CMS被入侵，攻击者能够利用其权限来：获得Web利用法式的验证区域和特权区域的接见权限；上传恶意软件来获得远程接见，例如上传Web Shell或RAT；在合法网页上注入恶意内容。攻击者还能够将受习染的Web服务器用作“水坑”攻击的一部门，或用作C&C的基础设施。ACSC建议采取的缓解措施蕴含：使用CMS托管服务；优良的补丁治理；缝隙评估；账户治理；加强CMS装置的安全性节造措施；监控CMS装置上对托管内容的未授权更改等。

原文链接：

https://www.cyber.gov.au/publications/securing-content-management-systems

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第10周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线