首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第31周

颁布功夫 2019-08-12

> 本周安全态势综述

2019年8月05日至11日共收录安全缝隙49个，值得关注的是Cisco Enterprise NFV Infrastructure Software OS号令注入缝隙；MicroDigital N-series cameras代码执行缝隙；Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢露马脚；MongoDB Server权限提升缝隙；Android Qualcomm HLOS组件权限提升缝隙。

本周值得关注的网络安全事务是高通芯片存在QualPwn缝隙，波及骁龙855等多款SoC;卡巴斯基颁布2019年第二季度DDoS攻击趋向汇报;钻研人员披露波音787内部网络中的多个安全缝隙;钻研团队颁布2019年工控威胁汇报，九大犯罪团伙专一于ICS;Google和NASA因Jira服务器配置谬误导致敏感数据泄露。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1. Cisco Enterprise NFV Infrastructure Software OS号令注入缝隙

Cisco Enterprise NFV Infrastructure Software Web门户框架存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，以root权限执行肆意号令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfv-commandinj

2. MicroDigital N-series cameras代码执行缝隙

MicroDigital N-series cameras ‘action’参数处置存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://pastebin.com/PSyqqs1g

3. Cisco Small Business 220 Series Smart Switches WEB界面缓冲器溢露马脚

Cisco Small Business 220 Series Smart Switches WEB界面存在缓冲区溢露马脚，允许攻击者能够利用缝隙提交特殊的要求，可使设备崩�；蛑葱兴烈獯�。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce

4. MongoDB Server权限提升缝隙

MongoDB Server存在会话沉用缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可沉用已成立的会话，未授权接见。

https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0829

5. Android Qualcomm HLOS组件权限提升缝隙

Android Qualcomm HLOS组件存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可提升权限。
https://source.android.com/security/bulletin/2019-08-01.html

> 沉要安全事务综述

1、高通芯片存在QualPwn缝隙，波及骁龙855等多款SoC

高通多款SoC受到两个缝隙的影响，这两个缝隙被称为QualPwn，别离是影响高通WLAN组件及Android内核的缓冲区溢露马脚（CVE-2019-10538）以及高通WLAN及Modem固件中的缓冲区溢露马脚（CVE-2019-10540）。凭据高通颁布的安全布告，后者影响的产品蕴含SD 820、SD 835、SD 845、SD 850、SD 855等20多款芯片。高通和Android团队已经颁布了有关建复补丁。

原文链接：https://www.zdnet.com/article/qualpwn-vulnerabilities-in-qualcomm-chips-let-hackers-compromise-android-devices/

2、卡巴斯基颁布2019年第二季度DDoS攻击趋向汇报

宝运莱·(中国区)最新官方网站

凭据卡巴斯基的2019年Q2 DDoS攻击汇报，本季度的DDoS攻击数量比上一季度少得多。这种沉静可能是由于夏季网络犯罪活动的传统性削减所致，与2018年Q2相比，攻击总数现实上增长了18个百分点，这意味着自2019岁首以来观察到的DDoS增长趋向依然存在。本季度中国还是DDoS攻击数量最多的地域（63.80％），其次是美国（17.57％）。本季度持续功夫最长的攻击达509个幼时，创下了新的汗青纪录。

原文链接：https://securelist.com/ddos-report-q2-2019/91934/

3、钻研人员披露波音787内部网络中的多个安全缝隙

宝运莱·(中国区)最新官方网站

IOActive钻研人员Ruben Santamarta在Black Hat大会上披露了波音787梦幻客机中的多个安全缝隙。这些缝隙与飞机的成员信息服务/守护系统（CIS/MS）有关，攻击者可利用这些缝隙向飞机的关键安整系统（例如引擎、造动系统、传感器）发送恶意号令。此表，攻击者还可通过入侵飞机的卫星设备及无线通讯渠路向守护工程师提供谬误的系统信息。波音宣称这些问题不会组成网络威胁，由于其防护措施能够阻止此类攻击。

原文链接：https://www.wired.com/story/boeing-787-code-leak-security-flaws/?verso=true

4、钻研团队颁布2019年工控威胁汇报，九大犯罪团伙专一于ICS

宝运莱·(中国区)最新官方网站

工控安全厂商Dragos颁布2019年工控威胁汇报，汇报中分析了专门针对ICS网络的9个犯罪团伙。其中5个犯罪团伙重要针对石油和天然气公司，蕴含HEXANE、MAGNALLIUM、CHRYSENE、XENOTIME和DYMALLOY，其余4个犯罪团伙重要针对能源部门，蕴含ELECTRUM、RASPITE、ALLANITE和COVELLITE。该汇报指出由于可造成高度震荡的政治和经济影响，石油和天然气部门依然面对粉碎性网络攻击的风险。

原文链接：https://dragos.com/wp-content/uploads/Dragos-Oil-and-Gas-Threat-Perspective-2019.pdf

5、Google和NASA因Jira服务器配置谬误导致敏感数据泄露

宝运莱·(中国区)最新官方网站

Jira是一个盛行的项目治理解决规划，安全钻研员Avinash Jain发现当在Jira Cloud中创建新的filter和dashboard时，其默认可见性是“所佑妆，这很容易被理解为“企业内部所有人”但现实上它指的是“互联网上的所有人”。这种配置谬误使得很多组织的敏感项目信息曝光，蕴含Google、Yahoo、NASA、Lenovo、1Password、Zendesk以及当局机构等。

原文链接：https://www.bleepingcomputer.com/news/security/misconfigured-jira-servers-leak-info-on-users-and-projects/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

信息安全周报-2019年第31周

关于宝运莱官方网站

解决规划

联系宝运莱官方网站

7*24幼时服务热线