首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第09周

颁布功夫 2020-03-03

> 本周安全态势综述

2020年02月24日至3月01日共收录安全缝隙54个，值得关注的是Google Chrome V8类型混合缝隙; Moxa PT-7528 WEB服务器缓冲区溢露马脚；Cisco NX-OS Software CDP和谈肆意代码执行缝隙；Red Hat Undertow文件上传代码执行缝隙；Tonnet TAT-76默认密码身份验证绕过缝隙。

本周值得关注的网络安全事务是遐想、惠遍及戴尔表围设备受未署名固件缝隙影响，4G LTE新缝隙允许攻击者注册付费的订阅或网站服务，博通Wi-Fi芯片Kr??k加密缝隙，影响超过十亿台设备，Exchange Server远程代码执行缝隙（CVE-2020-0688），欧洲网络与信息安全局颁布医院网络安全采购指南。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Google Chrome V8类型混合缝隙

Google Chrome V8存在类型混合缝隙，允许远程攻击者能够利用缝隙提交特殊的WEB页要求，诱使用户解析，使利用法式崩�；蚰芄焕梅ㄊ礁叩臀闹葱兴烈獯�。

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html

2. Moxa PT-7528 WEB服务器缓冲区溢露马脚

Moxa PT-7528 WEB服务器存在缓冲区溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。

https://www.us-cert.gov/ics/advisories/icsa-20-056-03

3. Cisco NX-OS Software CDP和谈肆意代码执行缝隙

Cisco NX-OS Software CDP和谈处置存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够ROOT权限执行肆意代码。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp

4. Red Hat Undertow文件上传代码执行缝隙

Red Hat Undertow存在AJP文件读取和蕴含缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。

https://access.redhat.com/security/cve/cve-2020-1745

5. Tonnet TAT-76默认密码身份验证绕过缝隙

Tonnet TAT-76 DVR固件蕴含有谬误配置的身份验证机造，允许远程攻击者能够利用缝隙获取默认密码，提交特殊的要求，可未授权接见。

https://tvn.twcert.org.tw/taiwanvn/TVN-201910003

> 沉要安全事务综述

1、遐想、惠遍及戴尔表围设备受未署名固件缝隙影响

宝运莱·(中国区)最新官方网站

凭据Eclypsium的钻研，Wi-Fi适配器、USB集线器、触控板和摄像头中的未署名固件缝隙可能使数百万表围设备面对网络攻击的风险。受影响的产品蕴含遐想笔记本电脑中的TouchPad和TrackPoint固件、惠普笔记本电脑中的HP Wide Vision FHD摄像头固件以及戴尔XPS笔记本电脑中的Wi-Fi适配器等。由于这些产品在进行固件更新时不足适当的代码署名验证和身份验证，攻击者可能通过恶意固件更新来执行信息泄露、远程代码执杏注回绝服务等攻击。

原文链接：

https://threatpost.com/lenovo-hp-dell-peripherals-unpatched-firmware/152936/

2、4G LTE新缝隙允许攻击者注册付费的订阅或网站服务

宝运莱·(中国区)最新官方网站

波鸿鲁尔大学的一项新钻研批注，4G移动通讯尺度中的一个缝隙可能使攻击者假冒用户来注册订阅或付费网站服务。这项攻击技术被称为IMP4GT，钻研人员称其影响了所有的LTE通讯设备，这蕴含“险些所有的”智能手机、平板电脑和部门IoT设备。IMP4GT的关键身分是利用软件界说的无线电来拦截和糊弄移动设备与基站之间的通讯信路。固然数据包在手机和基站之间以加密方式传输，但由于不足齐全性�；�，能够通过批改数据包来触发谬误。

原文链接：

https://www.zdnet.com/article/lte-security-flaw-can-be-abused-to-take-out-subscriptions-at-your-expense/?&web_view=true

3、博通Wi-Fi芯片Kr??k加密缝隙，影响超过十亿台设备

宝运莱·(中国区)最新官方网站

ESET钻研人员在Broadcom（博通）和Cypress的Wi-Fi芯片中发现新缝隙Kr??k，该缝隙（CVE-2019-15126）可导致易受攻击的设备使用全零加密密钥来加密用户的部门通讯信息。在成功的攻击中，攻击者能够解密由易受攻击的设备传输的某些无线网络数据包。该缝隙影响的设备蕴含亚马逊（Echo、Kindle）、苹果（iPhone、iPad、MacBook）、谷歌（Nexus）、三星（Galaxy）、树莓派（Pi 3）、幼米（RedMi）的某些客户端设备以及华硕和华为的某些AP和路由器设备，守旧估计有超过十亿设备受影响。Cypress已经向供给商颁布了固件建复法式，用户可通过其设备造作商获取相应更新。钻研人员没有在高通、Realtek、Ralink和Mediatek的WiFi芯片中发现该缝隙。

原文链接：

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/

4、Exchange Server远程代码执行缝隙（CVE-2020-0688）

宝运莱·(中国区)最新官方网站

ZDI披露微软Exchange Server中远程代码执行缝隙（CVE-2020-0688）的技术细节。微软最初称该缝隙是由内存败坏导致的，但后来将描述建改为该缝隙是由Exchange Server在装置时未能正确创建唯一的加密密钥导致的。该缝隙存在于Exchange节造面板（ECP）组件中，由于使用了静态密钥，经过身份验证的攻击者能够诱使服务器反序列化恶意造作的ViewState数据，从而在服务器上ECP利用（SYSTEM权限）的高低文中执行肆意.NET代码。

原文链接：

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

5、欧洲网络与信息安全局颁布医院网络安全采购指南

宝运莱·(中国区)最新官方网站

欧洲网络与信息安全局（ENISA）颁布医院网络安全采购指南。该指南旨在援手医院在采购新资产时满足信息安全方面的要求，提供了将网络安全作为医院采购过程中一项划定的优良实际和建议，并且介绍了医院资产集中以及与之有关的最凸起网络安全威胁。该汇报重要针对在医院担任技术职务的医疗保健专业人员（CIO，CISO，CTO，IT团队以及医疗保健组织中的采购人员），并且可以为医疗设备造作商提供参考。

原文链接：

https://www.helpnetsecurity.com/2020/02/25/cybersecurity-procurement-hospitals/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

信息安全周报-2020年第09周

关于宝运莱官方网站

解决规划

联系宝运莱官方网站

7*24幼时服务热线