信息安全周报-2020年第36周

发布时间 2020-09-08

> 本周安全态势综述


2020年08月31日至09月06日共收录安全漏洞56个,值得关注的是Gigadevice GD32F103代码执行漏洞;Gigadevice GD32F103固件提取漏洞;NETGEAR R8300命令注入漏洞;Education openSIS SQL注入漏洞;Education openSIS EmailCheck.php SQL注入漏洞。


本周值得关注的网络安全事件是工信部通报101款APP侵犯用户权益,轻松筹等平台上榜;挪威议会邮件系统遭攻击,工党和中心党均受影响;Cisco警告其IOS XR存在0day并已被在野利用;Cisco Jabber存在远程执行代码漏洞,现已被修复;英特尔发布微代码安全更新,主要适用于Win10系列。


根据以上综述,本周安全威胁为中。


> 本周安全态势综述


1.Gigadevice GD32F103代码执行漏洞


Gigadevice GD32F103安全保护存在安全漏洞,允许物理能访问攻击者可以利用漏洞提交特殊的请求,重定向控制流执行任意代码。

https://www.usenix.org/system/files/woot20-paper-obermaier.pdf


2. Gigadevice GD32F103固件提取漏洞


Gigadevice GD32F103闪存读出保护存在安全漏洞,允许物理能访问攻击者可以利用漏洞提交特殊的请求,可从调试接口获取固件。

https://www.usenix.org/system/files/woot20-paper-obermaier.pdf


3.NETGEAR R8300命令注入漏洞


NETGEAR R8300存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。


https://kb.netgear.com/000062158/Security-Advisory-for-Pre-Authentication-Command-Injection-on-R8300-PSV-2020-0211


4. Education openSIS SQL注入漏洞


Open Solutions for Education openSIS存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或执行任意代码。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1081


5. Education openSIS EmailCheck.php SQL注入漏洞


Open Solutions for Education EmailCheck.php存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或执行任意代码。。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1073


> 重要安全事件综述


1、工信部通报101款APP侵犯用户权益,轻松筹等平台上榜


1.jpg


工业和信息化部官网发布关于侵害用户权益行为的APP通报。蛋壳公寓、轻松筹、宝宝树孕育、ZAKER新闻、网易公开课、驾考宝典、美丽说、蚂蚁短租、快剪辑、360清理大师、得物、搜狐视频、映客直播等101款APP存在侵害用户权益行为。这些应用软件主要涉及问题是违规收集个人信息,另外还涉及APP强制、频繁、过度索取权限,强制用户使用定向推送功能,超范围收集个人信息等问题。


原文链接:

http://tech.cnr.cn/techgd/20200831/t20200831_525234083.shtml


2、挪威议会邮件系统遭攻击,工党和中心党均受影响


2.jpg


挪威议会(Storting)发布声明,表示有黑客攻击其成员的电子邮件帐户并窃取数据。该事件正在调查中,目前尚不清楚被盗数据的数量、种类以及攻击的破坏程度。挪威工党的Jarle RoheimHåkonsen证实,工党成员和政客在这次攻击中均受到影响,同时中心党也确认其代表和员工受到了影响。


原文链接:

https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/


3、Cisco警告其IOS XR存在0day并已被在野利用


3.jpg


思科上周六警告说,其IOS XR存在一个新的0day,目前已被黑客在野利用。该漏洞被跟踪CVE-2020-3566,影响了操作系统IOS XR版本附带的距离矢量组播路由协议(DVMRP)功能,该版本的操作系统通常安装在电信级和数据中心路由器上。思科表示,该漏洞是由于Internet组管理协议(IGMP)数据包的队列管理不足所致,攻击者可以通过发送特制的IGMP流量来利用此漏洞。成功利用该漏洞可导致内存耗尽,从而导致其他进程(如内部和外部路由协议)不稳定。


原文链接:

https://www.zdnet.com/article/cisco-warns-of-actively-exploited-ios-xr-zero-day/


4、Cisco Jabber存在远程执行代码漏洞,现已被修复


4.jpg


Watchcom的Olav Sortland Thoresen发现Windows版Cisco Jabber中存在严重的代码执行漏洞,现已被修复。该漏洞被跟踪为CVE-2020-3495, CVSS为9.9分,是由于传入消息内容的输入验证不正确引起的。经过身份验证的远程攻击者可以使用恶意的可扩展消息和状态协议(XMPP)消息利用该漏洞,成功利用后攻击者可在目标系统上执行任意程序。思科产品安全事件响应小组(PSIRT)表示,该漏洞目前尚未被广泛利用。


原文链接:

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bug-in-jabber-for-windows/


5、英特尔发布微代码安全更新,主要适用于Win10系列


5.jpg


Microsoft发布了Intel微代码更新,以修复Intel CPU中的硬件漏洞。此次更新发布了八个可选更新,主要针对Windows 10 2004、1909、1903、1809、1803、1709、1703和1607等版本,修复了Amber Lake、Avoton、Broadwell和Cascade Lake等56款CPU中漏洞。此外,英特尔微码更新并不能通过Windows Update安装,必须手动安装。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/new-intel-microcode-updates-for-windows-10-fix-cpu-hardware-bugs/