尊龙凯时

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第35周

宣布时间 2020-09-01

> 本周清静态势综述

2020年08月24日至30日共收录清静误差55个，值得关注的是Red Lion N-Tron未明接口误差；FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差；Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差；Foxit Studio Photo PSD越界写代码执行误差; Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差。

本周值得关注的网络清静事务是Cisco宣布清静更新，修复多个产品中的误差；Claroty宣布2020年上半年ICS误差剖析报告；印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录；微软修复Azure Sphere IoT平台中的4个误差；Cisco前员工认罪删除WebEx Teams的400多台虚拟机。

凭证以上综述，本周清静威胁为中。

> 主要清静误差列表

1.Red Lion N-Tron未明接口误差

Red Lion N-Tron保存未文档化接口误差，允许远程攻击者可以使用误差提交特殊的请求，以ROOT权限执行恣意下令。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差

FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource保存序列化误差，允许远程攻击者可以使用误差提交特殊的请求，可以应用程序上下文执行恣意代码。

https://github.com/FasterXML/jackson-databind/issues/2814

3. Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差

Advantech iView DeviceTreeTable exportTaskMgrReport保存目录遍历误差，允许远程攻击者可以使用误差提交特殊的请求，可以应用程序上下文读取系统文件或者执行恣意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/

4. Foxit Studio Photo PSD越界写代码执行误差

Foxit Studio Photo剖析PSD文件保存越界写误差，允许远程攻击者可以使用误差提交特殊的文件请求，诱使用户剖析，可以系统上下文执行恣意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/

5. Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差

Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，使用'${IFS}'变量绕过限制，可以root权限执行恣意下令。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/

> 主要清静事务综述

1、Cisco宣布清静更新，修复多个产品中的误差

Cisco宣布清静更新，以修复其多个产品中的误差。此次清静更新中修复的较为严重的误差为Treck IP客栈中的误差Ripple20，这些误差可导致远程执行代码、拒绝服务（DoS）或信息泄露；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认凭证误差（CVE-2020-3446），可被使用以治理员权限会见NFVIS CLI；思科智能软件治理器（SSM On-Prem）外地特权升级误差（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发明协议远程执行和拒绝服务误差（CVE-2020-3506和CVE-2020-3507）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2、Claroty宣布2020年上半年ICS误差剖析报告

工业网络清静公司Claroty宣布2020年上半年ICS误差剖析报告。Claroty剖析了新添加到国家误差数据库（NVD）中的365个ICS误差以及ICS-CERT（CISA）宣布的转达中涵盖的385个误差。与2019年同期披露的误差数目相比，2020年上半年新增到NVD中的误差数目约莫多出10％。在所识别的误差中，有70％以上的误差可被远程使用，有快要一半可用于远程执行代码，其中41％的误差可让攻击者读取应用程序数据，39％的误差可用于DoS攻击，37％的误差可绕过清静机制。

原文链接：

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable

3、印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录

SafetyDetectives 8月10日在网络上发明了RailYatri的没有密码�；さ腅lasticsearch服务器，泄露3700万条纪录客户和公司数据，包括用户的全名、年岁、性别、现实和电子邮件地点、手机号码、预订详细信息、GPS位置以及姓名/支付卡的前四位和后四位。而在该公司对其数据举行�；ぶ�，Meow机械人于8月12日对其爆发攻击，删除了除1GB之外的所有数据（总共43 GB）。

原文链接：

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/

4、微软修复Azure Sphere IoT平台中的4个误差

微软宣布误差补丁，修复Azure Sphere IoT平台中的4个误差。此次宣布的补丁程序修复了2个远程代码执行误差和2个提权误差，这些误差都是由Cisco Talos的清静研究职员于7月份发明。第一个为READ_IMPLIES_EXEC personality未署名代码执行误差，第二个RCE误差保存于/proc/thread-self/ mem中。别的，权限会见控制功效中保存一个提权误差，而第二个提权误差保存于Azure Sphere 20.06的uid_map功效中。微软体现会确保解决这些问题并为客户提供更新，可是拒绝宣布任何CVEs。

原文链接：

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/

5、Cisco前员工认罪删除WebEx Teams的400多台虚拟机

思科前员工Sudhish Kasaba Ramesh认罪其删除了WebEx Teams的400多台虚拟机。据其认罪协议中称，其认可在去职5个月后的2018年9月24日，未经公司的允许有意会见思科的云基础架构，并从其自己的Google Cloud Project帐户中安排了一个代码，删除了思科WebEx Teams应用程序的456个虚拟机。据悉，该事务导致16000个WebEx Teams帐户被关闭了长达两个星期，Cisco破费了约莫140万美元来恢复其应用受到的损害，并向受影响的客户退还了凌驾100万美元的款子。

原文链接：

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号