首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第09周

宣布时间 2020-03-03

> 本周清静态势综述

2020年02月24日至3月01日共收录清静误差54个，值得关注的是Google Chrome V8类型混淆误差; Moxa PT-7528 WEB服务器缓冲区溢出误差；Cisco NX-OS Software CDP协议恣意代码执行误差；Red Hat Undertow文件上传代码执行误差；Tonnet TAT-76默认密码身份验证绕过误差。

本周值得关注的网络清静事务是遐想、惠普及戴尔外围装备受未署名固件误差影响，4G LTE新误差允许攻击者注册付费的订阅或网站服务，博通Wi-Fi芯片Kr??k加密误差，影响凌驾十亿台装备，Exchange Server远程代码执行误差（CVE-2020-0688），欧洲网络与信息清静局宣布医院网络清静采购指南。

凭证以上综述，本周清静威胁为中。

>主要清静误差列表

1. Google Chrome V8类型混淆误差

Google Chrome V8保存类型混淆误差，允许远程攻击者可以使用误差提交特殊的WEB页请求，诱使用户剖析，使应用程序崩�；蚩梢杂τ贸绦蛏舷挛闹葱许б獯�。

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html

2. Moxa PT-7528 WEB服务器缓冲区溢出误差

Moxa PT-7528 WEB服务器保存缓冲区溢出误差，允许远程攻击者可以使用误差提交特殊的请求，可使应用程序崩�；蛑葱许б獯�。

https://www.us-cert.gov/ics/advisories/icsa-20-056-03

3. Cisco NX-OS Software CDP协议恣意代码执行误差

Cisco NX-OS Software CDP协议处置惩罚保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可以ROOT权限执行恣意代码。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp

4. Red Hat Undertow文件上传代码执行误差

Red Hat Undertow保存AJP文件读取和包括误差，允许远程攻击者可以使用误差提交特殊的请求，可执行恣意代码。

https://access.redhat.com/security/cve/cve-2020-1745

5. Tonnet TAT-76默认密码身份验证绕过误差

Tonnet TAT-76 DVR固件包括有过失设置的身份验证机制，允许远程攻击者可以使用误差获取默认密码，提交特殊的请求，可未授权会见。

https://tvn.twcert.org.tw/taiwanvn/TVN-201910003

> 主要清静事务综述

1、遐想、惠普及戴尔外围装备受未署名固件误差影响

优发国际·随优而动一触即发

凭证Eclypsium的研究，Wi-Fi适配器、USB集线器、触控板和摄像头中的未署名固件误差可能使数百万外围装备面临网络攻击的危害。受影响的产品包括遐想条记本电脑中的TouchPad和TrackPoint固件、惠普条记本电脑中的HP Wide Vision FHD摄像头固件以及戴尔XPS条记本电脑中的Wi-Fi适配器等。由于这些产品在举行固件更新时缺乏适当的代码署名验证和身份验证，攻击者可能通过恶意固件更新来执行信息泄露、远程代码执行、拒绝服务等攻击。

原文链接：

https://threatpost.com/lenovo-hp-dell-peripherals-unpatched-firmware/152936/

2、4G LTE新误差允许攻击者注册付费的订阅或网站服务

优发国际·随优而动一触即发

波鸿鲁尔大学的一项新研究批注，4G移动通讯标准中的一个误差可能使攻击者冒充用户来注册订阅或付费网站服务。这项攻击手艺被称为IMP4GT，研究职员称其影响了所有的LTE通讯装备，这包括“险些所有的”智能手机、平板电脑和部分IoT装备。IMP4GT的要害要素是使用软件界说的无线电来阻挡和诱骗移动装备与基站之间的通讯信道。虽然数据包在手机和基站之间以加密方法传输，但由于缺乏完整性�；�，可以通过修改数据包来触发过失。

原文链接：

https://www.zdnet.com/article/lte-security-flaw-can-be-abused-to-take-out-subscriptions-at-your-expense/?&web_view=true

3、博通Wi-Fi芯片Kr??k加密误差，影响凌驾十亿台装备

优发国际·随优而动一触即发

ESET研究职员在Broadcom（博通）和Cypress的Wi-Fi芯片中发明新误差Kr??k，该误差（CVE-2019-15126）可导致易受攻击的装备使用全零加密密钥来加密用户的部分通讯信息。在乐成的攻击中，攻击者可以解密由易受攻击的装备传输的某些无线网络数据包。该误差影响的装备包括亚马逊（Echo、Kindle）、苹果（iPhone、iPad、MacBook）、谷歌（Nexus）、三星（Galaxy）、树莓派（Pi 3）、小米（RedMi）的某些客户端装备以及华硕和华为的某些AP和路由器装备，守旧预计有凌驾十亿装备受影响。Cypress已经向供应商宣布了固件修复程序，用户可通过其装备制造商获取响应更新。研究职员没有在高通、Realtek、Ralink和Mediatek的WiFi芯片中发明该误差。

原文链接：

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/

4、Exchange Server远程代码执行误差（CVE-2020-0688）

优发国际·随优而动一触即发

ZDI披露微软Exchange Server中远程代码执行误差（CVE-2020-0688）的手艺细节。微软最初称该误差是由内存损坏导致的，但厥后将形貌修正为该误差是由Exchange Server在装置时未能准确建设唯一的加密密钥导致的。该误差保存于Exchange控制面板（ECP）组件中，由于使用了静态密钥，经由身份验证的攻击者可以诱使服务器反序列化恶意制作的ViewState数据，从而在服务器上ECP应用（SYSTEM权限）的上下文中执行恣意.NET代码。

原文链接：

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

5、欧洲网络与信息清静局宣布医院网络清静采购指南

优发国际·随优而动一触即发

欧洲网络与信息清静局（ENISA）宣布医院网络清静采购指南。该指南旨在资助医院在采购新资产时知足信息清静方面的要求，提供了将网络清静作为医院采购历程中一项划定的优异实践和建议，并且先容了医院资产荟萃以及与之相关的最突出网络清静威胁。该报告主要针对在医院担当手艺职务的医疗保健专业职员（CIO，CISO，CTO，IT团队以及医疗保健组织中的采购职员），并且可以为医疗装备制造商提供参考。

原文链接：

https://www.helpnetsecurity.com/2020/02/25/cybersecurity-procurement-hospitals/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2020年第09周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线