信息宁静周报-2020年第01周

宣布时间 2020-01-06

>本周宁静态势综述


2019年12月30日至2020年01月05日共收录宁静漏洞50个,值得关注的是Apache Solr Velocity模板代码注入漏洞; Tencent WeChat用户名命令注入漏洞 ;ALE Alcatel-Lucent Omnivista 4760代码执行漏洞 ;Nagios XI schedulereport.php SHELL命令注入漏洞 ;Cisco Data Center Network Manager SOAP API OS命令注入漏洞 。


本周值得关注的网络宁静事件是Nagios XI远程命令执行漏洞(CVE-2019-20197) ;美法院授权微软接管朝鲜APT37控制的50个域名 ;物联网供应商Wyze意外泄露约240万客户信息 ;爱尔兰政府宣布2019-2024国家网络宁静战略 ;星巴克员工上传API密钥到GitHub上,可访问内部系统 。


凭据以上综述,本周宁静威胁为 。


>重要宁静漏洞列表


1. Apache Solr Velocity模板代码注入漏洞


Apache Solr Velocity模板VelocityResponseWriter存在宁静漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,通过界说一个将该配置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”,可执行任意代码 。

https://issues.apache.org/jira/browse/SOLR-13971


2. Tencent WeChat用户名命令注入漏洞


Tencent WeChat解析usernames存在宁静漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用法式上下文执行执行任意代码 。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/


3. ALE Alcatel-Lucent Omnivista 4760代码执行漏洞


ALE Alcatel-Lucent Omnivista实现存在宁静漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以SYSTEM用户身份执行代码 。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html


4. Nagios XI schedulereport.php SHELL命令注入漏洞


Nagios XI schedulereport.php存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用法式上下文执行任意SHELL命令 。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html


5. Cisco Data Center Network Manager SOAP API OS命令注入漏洞


Cisco Data Center Network Manager SOAP API存在输入验证漏洞,允许通过验证的远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令并执行 。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject


>重要宁静事件综述


1、Nagios XI远程命令执行漏洞(CVE-2019-20197)


东森·(中国区)官方网站


Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案 。该方案支持对应用、服务、操作系统等进行监控和预警 。@Cody Sixteen在Twitter宣布了有关Nagios XI远程命令执行漏洞(CVE-2019-20197)的相关信息,该漏洞影响了Nagios XI 5.6.9版本,经过身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数,在Web服务器用户帐户的上下文中执行任意操作系统命令 。目前厂商暂未宣布修复措施 。


原文链接:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534


2、美法院授权微软接管朝鲜APT37控制的50个域名


东森·(中国区)官方网站


微软乐成接管了由朝鲜黑客组织APT37控制的50个域名,这些域名被该组织用来提倡网络攻击,包罗发送钓鱼邮件和托管钓鱼页面等 。微软体现其数字犯罪部门(DCU)和威胁情报中心(MSTIC)已经监视APT37长达数月的时间,并于12月18日在弗吉尼亚州法院对该组织提起诉讼 。该法院授予微软权限以接管APT37在犯罪活动中使用的50个域名 。微软高管体现该组织的大多数目标都位于美国、日本以及韩国 。


原文链接:

https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/


3、物联网供应商Wyze意外泄露约240万客户信息


东森·(中国区)官方网站


物联网供应商Wyze确认其一个Elasticsearch服务器泄露了约240万用户的详细信息 。该数据库并不是生产系统,但存储了有效的用户数据,包罗用于创建Wyze帐户的电子邮件地址、分配给其Wyze宁静摄像机的用户昵称、WiFi网络标识符SSID以及2.4万用户的Alexa令牌等 。该数据库于12月4日被错误地袒露在公网上,宁静公司Twelve Security于12月26日发现了该数据库并通知了Wyze,Wyze随后对数据库进行了� ;� 。


原文链接:

https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/


4、爱尔兰政府宣布2019-2024国家网络宁静战略


东森·(中国区)官方网站


爱尔兰政府宣布了《2019-2024国家网络宁静战略》,这是该国于2015年宣布的首个宁静战略的更新版本 。该战略陈诉概述了政府将如何继续促进该国计算机网络和相关基础设施的宁静 。陈诉中分析了政府对宁静和可靠的网络空间的愿景以及将接纳的行动,包罗继续提高要害基础架构和公共服务中的网络弹性 ;提高企业和公民对网络宁静重要性的认识 ;通过与教育系统、行业和学术界的合作,进一步生长全社会的网络宁静文化 ;继续牢固爱尔兰作为技术和信息宁静中心的全球声誉,并资助促进爱尔兰成为ICT企业的首选所在 。该陈诉还敦促进行革新以� ;ひ〖芄姑馐苤卮笸缤驳挠跋�,同时还警告称外国可能会干预爱尔兰的选举 。


原文链接:

https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html


5、星巴克员工上传API密钥到GitHub上,可访问内部系统


东森·(中国区)官方网站


宁静专家Vinoth Kumar在一个果然可用的Github存储库中发现星巴克的一个API密钥在线袒露,攻击者可以利用该密钥来访问公司的内部系统并改动授权用户列表 。该密钥可用于访问星巴克JumpCloud API,JumpCloud是一个Active Directory管理平台,提供用户管理、Web应用法式单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务 。Kumar还提供了该问题的PoC代码,演示了如何列出系统和用户、控制AWS帐户、在系统上执行命令以及添加或删除有权访问内部系统的用户 。星巴克确认了这一问题并迅速取消了该密钥 。


原文链接:

https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html