首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第3周

颁布功夫 2019-01-21

本周安全态势综述

2019年1月14日至20日共收录安全缝隙50个，值得关注的是Brocade Network Advisor CVE-2018-6443硬编码凭证缝隙；systemd-journald栈缓冲区溢露马脚；SAS Web Infrastructure Platform反序列化代码执行缝隙；IDenticard Premisys数据库默认凭证缝隙；LCDS LAquis SCADA未授权接见缝隙。

本周值得关注的网络安全事务是机票预约系统Amadeus严沉缝隙，影响全球141家航空公司;美Oklahoma州当局服务器意暴露出3TB敏感数据;英国BSIA颁布互联安整系统最佳实际指南;VoIP服务商VOIPO意表泄露从前四年的客户数据;ES文件浏览器两个缝隙使得超过1亿Android用户面对风险。

凭据以上综述，本周安全威胁为中。

沉要安全缝隙列表

1. Brocade Network Advisor CVE-2018-6443硬编码凭证缝隙
Brocade Network Advisor存在硬编码缝隙，允许远程攻击者利用缝隙提交特殊的要求，可登录到JBoss Administration界面并装置其他JEE利用法式。
https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-743

2. systemd-journald栈缓冲区溢露马脚
systemd-journald实现存在缓冲区溢露马脚，允许远程攻击者利用缝隙提交特殊的要求，使systemd-journald崩�；蛞詊ournald权限执行代码。
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16864

3. SAS Web Infrastructure Platform反序列化代码执行缝隙
SAS Web Infrastructure Platform的反序列化缝隙，允许远程攻击者利用缝隙提交特殊的要求，可执行肆意代码。
https://support.sas.com/kb/63/391.html

4. IDenticard Premisys数据库默认凭证缝隙
IDenticard Premisys Identicard服务在装置时使用默认的数据库用户名和密码，允许远程攻击者利用缝隙提交特殊的要求，未授权接见数据库权限。
http://www.securityfocus.com/bid/106552

5. LCDS LAquis SCADA未授权接见缝隙
LCDS LAquis SCADA实现存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，绕过身份验证，获取敏感信息。
https://ics-cert.us-cert.gov/advisories/ICSA-19-015-01

沉要安全事务综述

1、机票预约系统Amadeus严沉缝隙，影响全球141家航空公司

以色列安全钻研员Noam Rotem发现机票预约系统Amadeus存在一个严沉的安全缝隙，可导致用户信息泄露和账户更改。Rotem在以色列航空公司ELAL预约机票时发现了这一问题，在预约航班后，搭客会收到PNR号码和用于查看预约信息的链接。Rotem发现通过将该链接上的RULE_SOURCE_1_ID参数批改为其它人的PNR号码即可查看他人的预约信息，攻击者还可利用这些信息接见ELAL门户网站并更改受害者的账户信息，蕴含兑换里程、更改邮件地址和电话号码等。由于Amadeus开发的机票预约系统被全球至少141家航空公司使用（蕴含美国结合航空公司、德国汉莎航空公司和加拿大航空公司等），因而该缝隙可能影响了数亿搭客。目前Amadeus已经建复了该问题。

原文链接：
https://thehackernews.com/2019/01/airlines-flight-hacking.html

2、美Oklahoma州当局服务器意暴露出3TB敏感数据

GA黄金甲·(中国区)官方网站

UpGuard钻研人员Greg Pollock发现属于美国俄克拉荷马州证券部ODS的一台服务器可公开接见，导致蕴含数百万敏感文件的约3TB敌灾数据露出。这些数据蕴含证券委员会数十年的机密文件和很多敏感的FBI调查文件，以及约1万名股票经纪人的电子邮件、社会安全号码、姓名和地址信息等。Shodan显示该服务器至少从2018年11月30日起头可公开接见，约一周后ODS收到通知并对该服务器执行了�；ご胧�。

原文链接：
https://thehackernews.com/2019/01/oklahoma-fbi-data-leak.html

3、英国BSIA颁布互联安整系统最佳实际指南

GA黄金甲·(中国区)官方网站

英国安防行业协会（BSIA）颁布互联安整系统最佳实际指南。该指南旨在最大限度地削减电子安整系统中的网络衔接设备、软件和系统的数自炱坏风险。该指南以行业的最佳国际实际为基础，并参考公认的国际指南和尺度，能够援手互联安整系统供给链中的设计者、造作商、装置人员、守护人员、服务提供商和用户提升安全衔接的信念。

原文链接：
https://www.infosecurity-magazine.com/news/bsia-guidelines-digital-sabotage/

4、VoIP服务商VOIPO意表泄露从前四年的客户数据

GA黄金甲·(中国区)官方网站

钻研人员Justin Paine通过Shodan发现一个可公开接见的ElasticSearch数据库，该数据库属于VoIP服务商VOIPO，其中蕴含了该公司从前四年的客户数据。凭据Paine的说法，该数据库蕴含可追忆至2017年7月的670万条通话纪录、可追忆至2015年12月的600万条短信/彩信日志以及100万条蕴含内部系统API KEY的日志。钻研人员于1月8日向VOIPO传递了这一发现，该公司在统一天将数据库进行了脱机�；�。

原文链接：
https://thehackernews.com/2019/01/voip-service-database-hacking.html

5、ES文件浏览器两个缝隙使得超过1亿Android用户面对风险

GA黄金甲·(中国区)官方网站

安全钻研员Robert Baptiste在ES文件浏览器中发现一个始终在后盾运行的暗藏Web服务器（端口59777），与受害者处于统一本地网络的攻击者可获取受害者手机的大量有效信息（蕴含设备信息、app装置信息、文件等)，甚至能够远程启动app。该缝隙被跟踪为CVE-2019-6447，钻研人员还颁布了POC剧本。此表，ESET钻研人员Lukas Stefanko发现了另一个中央人（MitM）攻击缝隙，影响了4.1.9.7.4及之前的版本。ES文件浏览器开发团队暗示建复补丁将在约莫两天后推出。

原文链接：
https://www.bleepingcomputer.com/news/security/es-file-explorer-flaws-put-100-million-users-data-at-risk-fix-promised/

申明：本资讯由GA黄金甲维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第3周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线