信息安全周报-2020年第34周

发布时间 2020-08-24

> 本周安全态势综述


2020年08月17日至23日共收录安全漏洞53个,值得关注的是Micro Air Vehicle Link身份验证绕过漏洞;Silicon Labs Bluetooth Low Energy SDK CVE-2020-15531缓冲区溢出漏洞;Apache Shiro身份验证绕过漏洞;Beijing Kuangshi Technology MEGVII Koala未授权访问漏洞; ZKTeco FaceDepot权限提升漏洞。


本周值得关注的网络安全事件是CactusPete APT利用Bisonal攻击欧洲金融和军事组织;黑客组织TeamTNT利用加密蠕虫窃取AWS凭证;邮轮公司Carnival感染勒索软件,部分数据或已泄露;Microsoft发布Windows带外安全更新,修复提权漏洞;Thales的产品存在漏洞,可影响数百万IoT设备。


根据以上综述,本周安全威胁为中。


> 本周安全态势综述


1.Micro Air Vehicle Link身份验证绕过漏洞


Micro Air Vehicle Link (MAVLink)使用问答机制进行版本协商,没有采用身份验证机制,允许远程攻击者利用漏洞提交特殊的请求,绕过身份验证,直接与自动驾驶系统进行交互。

https://github.com/aliasrobotics/RVD/issues/3316


2. Silicon Labs Bluetooth Low Energy SDK CVE-2020-15531缓冲区溢出漏洞


Silicon Labs Bluetooth Low Energy SDK处理报文数据存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://github.com/darkmentorllc/jackbnimble/blob/master/host/pocs/silabs_efr32_extadv_rce.py


3. Apache Shiro身份验证绕过漏洞


Apache Shiro处理HTTP请求存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过验证未授权访问。

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


4. Beijing Kuangshi Technology MEGVII Koala未授权访问漏洞


Beijing Kuangshi Technology MEGVII Koala 5000端口存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可获取物理访问权限。

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/8137/megvii-koala-291c3s-architectural-vulnerability-on-network-relays


5. ZKTeco FaceDepot权限提升漏洞


ZKTeco FaceDepot存在令牌重用安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可创建任意用户,提升权限,并下载数据库等。

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/8134/zkteco-facedepot-7b-10213-and-zkbiosecurity-server-10020190723-improper-privilege-vulnerability


> 重要安全事件综述


1、CactusPete APT利用Bisonal攻击欧洲金融和军事组织


1.jpg


卡巴斯基发现CactusPete APT正进行一场针对整个东欧军事和金融组织的活动,并使用了后门Bisonal的新变体。该组织于2013年首次被发现,与欧洲、俄罗斯、日本和韩国的网络犯罪活动有关,专门从事情报收集和间谍活动。CactusPete使用的Bisonal是一种网络间谍工具,能够保持对受感染机器的持久性,可扫描驱动器、列出并泄露敏感的文件、删除内容、杀死系统进程以及执行代码。


原文链接:

https://www.zdnet.com/article/cactuspete-threat-group-goes-on-the-rampage-with-a-new-bisonal-backdoor/


2、黑客组织TeamTNT利用加密蠕虫窃取AWS凭证


2.jpg


TeamTNT是一个针对Docker安装的网络犯罪组织,或许为第一个使用具有窃取AWS凭证功能的加密挖掘恶意软件的组织。Trend Micro今年早些时候发现,该组织从4月开始活跃,通过在互联网上扫描配置错误的Docker系统访问暴露的API,并在Docker部署服务器来运行DDoS和加密恶意软件。研究人员发现他还可以扫描运行在AWS基础架构上服务器中的 ~/.aws/credentials and ~/.aws/config文件,来获取Amazon Web Services(AWS)凭证。


原文链接:

https://www.zdnet.com/article/crypto-mining-worm-steal-aws-credentials/


3、邮轮公司Carnival感染勒索软件,部分数据或已泄露


3.jpg


全球最大的邮轮公司Carnival Corp在8月15日遭到了勒索软件攻击,部分数据或已泄露。该公司表示,黑客访问并加密了其分公司的信息技术系统,并且窃取了文件。根据对该事件的初步评估,嘉年华认为,攻击者可能已经访问了某些来宾和员工的个人数据。但是Carnival没有透露有关此事件的详细信息,例如勒索软件名称,或其攻击影响范围等。


原文链接:

https://www.zdnet.com/article/worlds-largest-cruise-line-operator-discloses-ransomware-attack/


4、Microsoft发布Windows带外安全更新,修复提权漏洞


4.jpg


Microsoft为Windows 8.1和Windows Server 2012 R2发布了带外安全更新,旨在修复提权漏洞,该漏洞会影响Windows远程访问服务。此次修复的两个漏洞被追踪为CVE-2020-1530和CVE-2020-1537,攻击者在成功利用后可获得更高的权限。但是在利用这些漏洞之前,攻击者需要先在受害者的设备上编写执行特权代码。此次更新通过更正Windows Remote Access处理内存和文件操作的方式来解决漏洞。


原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-issues-out-of-band-kb4578013-windows-security-update/


5、Thales的产品存在漏洞,可影响数百万IoT设备


5.jpg


IBM的安全研究人员发现Thales的产品的通信模块中存在严重漏洞,可影响数百万IoT设备。该漏洞被追踪为CVE-2020-15858,于2019年9月首次在Thales的Cinterion EHS8 M2M模块中被发现,并于2020年2月被修复。后来还发现它还会影响其他十个模块。该漏洞与包含有加密密钥、密码和证书之类信息的Java代码有关,攻击者可以利用此漏洞绕过安全机制并访问这些信息,然后利用该信息来控制设备或访问包含该设备的网络。


原文链接:

https://www.securityweek.com/vulnerability-thales-product-could-expose-millions-iot-devices-attacks