首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第01周

颁布功夫 2020-01-06

>本周安全态势综述

2019年12月30日至2020年01月05日共收录安全缝隙50个，值得关注的是Apache Solr Velocity模板代码注入缝隙; Tencent WeChat用户名号令注入缝隙；ALE Alcatel-Lucent Omnivista 4760代码执行缝隙；Nagios XI schedulereport.php SHELL号令注入缝隙；Cisco Data Center Network Manager SOAP API OS号令注入缝隙。

本周值得关注的网络安全事务是Nagios XI远程号令执行缝隙（CVE-2019-20197）；美法院授权微软收受朝鲜APT37节造的50个域名；物联网供给商Wyze意表泄露约240万客户信息；爱尔兰当局颁布2019-2024国度网络安全战术；星巴克员工上传API密钥到GitHub上，可接见内部系统。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Apache Solr Velocity模板代码注入缝隙

Apache Solr Velocity模板VelocityResponseWriter存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，通过界说一个将该配置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”，可执行肆意代码。

https://issues.apache.org/jira/browse/SOLR-13971

2. Tencent WeChat用户名号令注入缝隙

Tencent WeChat解析usernames存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够利用法式高低文执行执行肆意代码。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

3. ALE Alcatel-Lucent Omnivista 4760代码执行缝隙

ALE Alcatel-Lucent Omnivista实现存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够SYSTEM用户身份执行代码。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html

4. Nagios XI schedulereport.php SHELL号令注入缝隙

Nagios XI schedulereport.php存在输入验证缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意SHELL号令。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html

5. Cisco Data Center Network Manager SOAP API OS号令注入缝隙

Cisco Data Center Network Manager SOAP API存在输入验证缝隙，允许通过验证的远程攻击者能够利用缝隙提交特殊的要求，可注入肆意OS号令并执行。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject

>沉要安全事务综述

1、Nagios XI远程号令执行缝隙（CVE-2019-20197）

GA黄金甲·(中国区)官方网站

Nagios XI是美国Nagios公司的一套IT基础设施监控解决规划。该规划支持对利用、服务、操作系统等进行监控和预警。@Cody Sixteen在Twitter颁布了有关Nagios XI远程号令执行缝隙（CVE-2019-20197）的有关信息，该缝隙影响了Nagios XI 5.6.9版本，经过身份验证的用户能够通过向schedulereport.php文件发送带有shell元字符的‘id’参数，在Web服务器用户帐户的高低文中执行肆意操作系统号令。目前厂商暂未颁布建复措施。

原文链接：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534

2、美法院授权微软收受朝鲜APT37节造的50个域名

GA黄金甲·(中国区)官方网站

微软成功收受了由朝鲜黑客组织APT37节造的50个域名，这些域名被该组织用来提议网络攻击，蕴含发送垂钓邮件和托管垂钓页面等。微软暗示其数字犯罪部门（DCU）和威胁谍报中心（MSTIC）已经监督APT37长达数月的功夫，并于12月18日在弗吉尼亚州法院对该组织提告状讼。该法院授予微软权限以收受APT37在犯罪活动中使用的50个域名。微软高管暗示该组织的大无数指标都位于美国、日本以及韩国。

原文链接：

https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/

3、物联网供给商Wyze意表泄露约240万客户信息

GA黄金甲·(中国区)官方网站

物联网供给商Wyze确认其一个Elasticsearch服务器泄露了约240万用户的具体信息。该数据库并不是出产系统，但存储了有效的用户数据，蕴含用于创建Wyze帐户的电子邮件地址、分配给其Wyze安全摄像机的用户昵称、WiFi网络标识符SSID以及2.4万用户的Alexa令牌等。该数据库于12月4日被谬误地露出在公网上，安全公司Twelve Security于12月26日发现了该数据库并通知了Wyze，Wyze随后对数据库进行了�；�。

原文链接：

https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/

4、爱尔兰当局颁布2019-2024国度网络安全战术

GA黄金甲·(中国区)官方网站

爱尔兰当局颁布了《2019-2024国度网络安全战术》，这是该国于2015年颁布的首个安全战术的更新版本。该战术汇报概述了当局将若何持续推进该国推算机网络和有关基础设施的安全。汇报中阐了然当局对安全和靠得住的网络空间的愿景以及将采取的行动，蕴含持续提高关键基础架构和公共服务中的网络弹性；提高企业和公民对网络安全沉要性的意识；通过与教育系统、行业和学术界的合作，进一步发展全社会的网络安全文化；持续坚韧爱尔兰作为技术和信息安全中心的全球名誉，并援手推进爱尔兰成为ICT企业的首选地址。该汇报还督推进行鼎新以�；す丶〖芄姑馐艹链笸缤驳挠跋�，同时还忠告称表国可能会过问爱尔兰的选举。

原文链接：

https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html

5、星巴克员工上传API密钥到GitHub上，可接见内部系统

GA黄金甲·(中国区)官方网站

安全专家Vinoth Kumar在一个公开可用的Github存储库中发现星巴克的一个API密钥在线露出，攻击者能够利用该密钥来接见公司的内部系统并篡改授权用户列表。该密钥可用于接见星巴克JumpCloud API，JumpCloud是一个Active Directory治理平台，提供用户治理、Web利用法式单点登录（SSO）接见节造和轻型目录接见和谈（LDAP）服务。Kumar还提供了该问题的PoC代码，演示了若何列出系统和用户、节造AWS帐户、在系统上执行号令以及增长或删除有权接见内部系统的用户。星巴克确认了这一问题并迅快撤销了该密钥。

原文链接：

https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第01周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线