首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第07周

颁布功夫 2020-02-17

> 本周安全态势综述

2020年02月10日至16日共收录安全缝隙94个，值得关注的是Apache Dubbo反序列化代码执行缝隙; OpenVPN Access Server LDAP验证绕过缝隙；Istio验证战术exact-path逻辑匹配安全绕过缝隙；Adobe Framemaker CVE-2020-3731内存引用代码执行缝隙；Microsoft Exchange Server CVE-2020-0692权限提升缝隙。

本周值得关注的网络安全事务是思科Talos披露Apple Safari浏览器中的RCE缝隙；美德谍报部门节造瑞士公司数十年，窃取120国机密谍报；Malwarebytes颁布2020年恶意软件情况汇报；雅诗兰黛云数据库露出4.4亿条内部纪录；Palo Alto Networks颁布2020年春季云威胁汇报。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Apache Dubbo反序列化代码执行缝隙

Apache Dubbo启用HTTP和谈进行通讯时存在反序列化缝隙，允许远程攻击者利用缝隙提交特殊的POST要求，以利用法式高低文执行肆意代码。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2. OpenVPN Access Server LDAP验证绕过缝隙

OpenVPN Access Server 使用LDAP验证系统登录处置存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求绕过验证，未授权接见。

https://openvpn.net/security-advisories/

3. Istio验证战术exact-path逻辑匹配安全绕过缝隙

Istio验证战术exact-path逻辑处置存在安全缝隙，允许远程攻击者利用缝隙提交特殊的蕴含?或#字符的要求，可绕过验证。

https://istio.io/news/security/istio-security-2020-001/

4. Adobe Framemaker CVE-2020-3731内存引用代码执行缝隙

Adobe Framemaker存在内存粉碎缝隙，允许远程攻击者能够利用缝隙构建恶意文件，诱使用户要求，能够指标用户高低文执行肆意代码。

https://helpx.adobe.com/security/products/framemaker/apsb20-04.html

5. Microsoft Exchange Server CVE-2020-0692权限提升缝隙

Microsoft Exchange Server存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够获得与 Exchange Server 的其他任何用户一样的权限。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0692

> 沉要安全事务综述

1、思科Talos披露Apple Safari浏览器中的RCE缝隙

GA黄金甲·(中国区)官方网站

思科Talos团队披露Apple Safari浏览器中的一个远程代码执行缝隙(CVE-2020-3868)，当用户在Safari中打开恶意网页时，可能会触发类型混合，从而导致内存败坏和执行肆意代码。攻击者必要通过某种方式诱使用户接见恶意网页来触发此缝隙。该缝隙存在于Safari的“字体”职能中，Talos测试并确认此缝隙影响Safari版本13.0.3（15608.3.10.1.4）、Safari技术预览版96（Safari 13.1，WebKit 15609.1.9.7）和Webkit GIT e4cd3b4fab6166d1288984ded40c588439dab925，建议用户尽快更新至最新版本。

原文链接：

https://blog.talosintelligence.com/2020/02/vuln-spotlight-apple-safari-code-execution-feb-2020.html

2、美德谍报部门节造瑞士公司数十年，窃取120国机密谍报

GA黄金甲·(中国区)官方网站

据美国《华盛顿邮报》报路，美德谍报部门数十年间通过节造瑞士加密公司Crypto AG，窃取了全球约120国当局的最高机密通讯谍报。据悉，第二次世界大战战后到本世纪初，Crypto AG公司为约120个国度确当局提供加密通讯装置，伊朗、南美多国当局、印杜纂巴基斯坦皆为服务对象。但Crypto AG幕后老板其实是美国中央谍报局（CIA）以及德国联国谍报局（BND）。这两个谍报部门对Crypto装置动手脚，让装置可等闲被破解，进而解读数据。报路称，中情局内部有关于这个最高机密打算的汗青机密档案，档案指出Crypto AG靠着让西方谍报机关获得客户机密，赚进数以百万计美元。同时，档案也指出，只管使用Crypto AG产品的国度不少，但苏联/俄罗斯和中国，却从来都不是该公司的客户。

原文链接：

https://www.securityweek.com/us-german-spies-plundered-global-secrets-swiss-encryption-firm-report

3、Malwarebytes颁布2020年恶意软件情况汇报

GA黄金甲·(中国区)官方网站

Malwarebytes Labs颁布2020年恶意软件情况汇报，汇报指出与针对Windows PC的威胁相比，Mac威胁呈指数级增长。Mac威胁的总数量同比增长了400％以上，但这一数字肯定水平上可能受到2019年Malwarebytes Mac用户群增长的影响。对单个终端而言，Mac威胁依然比Windows高，险些为2：1。汇报还指出攻击性告白软件、木马和HackTools主导了针对业务端点的全球威胁，比去年同期增长了13％。攻击企业的勒索软件活动达到汗青最高水平，Ryuk和Sodinokibi等家族别离增长了543％和820％。Emotet和TrickBot依然是针对企业的重要威胁之一。

原文链接：

https://blog.malwarebytes.com/reports/2020/02/malwarebytes-labs-releases-2020-state-of-malware-report/

4、雅诗兰黛云数据库露出4.4亿条内部纪录

GA黄金甲·(中国区)官方网站

安全钻研员Jeremiah Fowler发现雅诗兰黛的一个云数据库未设密码，导致4.4亿条内部纪录泄露，其中蕴含纯文本电子邮件地址（蕴含来自@estee.com域的内部电子邮件地址）和CMS、中央件的活动日志等内容。但纪录中没有蕴含客户的付款数据或敏感的员工信息。Fowler指出这些日志数据能够用作更大的网络攻击的窥伺，例如日志中蕴含IP地址、端口、蹊径和存储信息，可用于映射公司的内部网络。雅诗兰黛在接到汇报后当天关关了对数据库的接见，但目前尚不明显该数据库在网络上露出了多长功夫以及是否已遭到黑客接见。

原文链接：

https://threatpost.com/estee-lauder-440m-records-email-network-info/152789/

5、Palo Alto Networks颁布2020年春季云威胁汇报

GA黄金甲·(中国区)官方网站

Palo Alto Networks的Unit 42近日颁布了半年一次的《云威胁汇报》2020年春季版。为了在云中越来越多地自动化构建流程，很多组织都在选取基础架构即代码（IaC）来援手简化其运营。Unit 42分析了成千上万个IaC模板，他们的发现批注IaC模板中有199000多个潜在缝隙，最沉要的是目前有超过43％的云数据库未加密，并且只有60％的云存储服务已启用日志纪录。

原文链接：

https://start.paloaltonetworks.com/unit-42-cloud-threat-report

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第07周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线