盘点〡2020上半年漏洞事件

韩小咪

漏洞与信息化进程相伴而生，为加强网络安全防护、避免漏洞所引发的威胁，漏洞管理成为重要IT策略。2020年上半年，因漏洞导致的各类安全事件频发，涉及政治、生活的方方面面，提高安全意识已势在必行。

这里，华小安梳理了2020年上半年因漏洞导致的安全事件。一起回顾吧~
Ripple 20 0day漏洞曝光扫荡全球各行业数亿台联网设备



6月16日，以色列网络安全公司JSOF警告，在Treck Inc.开发的TCP/IP软件库中发现了一系列零日漏洞，这19个漏洞（即Ripple20）使全球数至少亿台IoT设备可能会受到远程攻击。专家指出，Ripple20问题是迄今为止Treck TCP/ IP中报告的唯一漏洞。
Treck发布了安全补丁来解决Ripple20漏洞，但专家指出，在某些情况下，无法安装它们。
英特尔处理器又曝两个SGX新漏洞，攻击者可轻松提取敏感数据



6月11日，来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员曝光了英特尔 SGX 软件防护扩展指令的两个漏洞。
攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。
SAP ASE漏洞可能使攻击者入侵数据库服务器



6月3日，网络安全公司Trustwave披露SAP Sybase数据库软件中发现的一组六个新的关键漏洞，它们存在于Sybase Adaptive Server Enterprise（ASE）中，可以使无特权的攻击者在某些情况下完全控制目标数据库，甚至是底层操作系统。
研究人员披露苹果登录系统的一个严重漏洞



6月1日，安全专家曝出了苹果登录系统的一个严重漏洞，该漏洞可能导致某些用户的帐户被接管。漏洞通过「使用 Apple 登录」功能，可接管未实施其它安全措施的第三方应用账户，如：「使用 Apple 登录」功能登录的应用Dropbox、Spotify、Airbnb、Giphy。目前，苹果公司已修复了该漏洞。
Java库fastjson被曝存“高危”远程代码执行漏洞





5月31日，某安全运营中心监测到，fastjson<= 1.2.68版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限，漏洞等级定为“高危”。
该远程代码执行漏洞原理是，autotype 开关的限制可以被绕过，链式反序列化攻击者可以通过精心构造反序列化利用链，最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。
新的DNS漏洞导致DDoS攻击




5月19日，据外媒报道，一个存在于DNS协议中，名为NXNS Attack的漏洞会影响所有递归DNS解析器。目前，被证实影响NLnet Labs的Unbound、BIND、Knot Resolver和Power DNS等DNS软件，以及由谷歌、微软、Cloudflare、亚马逊、Oracle(DYN)、Verisign、IBM Quad9和ICANN提供的DNS服务。受影响的供应商对该漏洞分别分配了CVE编号，包括CVE-2020-8616(BIND)、CVE-2020-12662(Unbound)、CVE-2020-12667(Knot)、CVE-2020-10995(Power DNS)。
针对该漏洞，远程攻击者可以通过向易受攻击的解析器发送DNS查询来放大网络流量，该解析器会查询攻击者的权威服务器控制器。攻击者服务器将伪造的服务器名称委派给指向受害者DNS域的伪造服务器名，从而使解析程序生成对受害者的DNS服务器的查询，导致超过1620放大系数的DDoS攻击。
研究人员发现一系列影响Oracle iPlanet Web Server的漏洞





据外媒5月11日报道，Nightwatch网络安全研究人员于2020年1月19日首次在企业服务器管理系统的Web管理控制台中发现了一系列影响Oracle iPlanet Web Server的漏洞。
漏洞编号分别为CVE-2020-9315和CVE-2020-9314的安全漏洞允许敏感数据公开和有限注入攻击。
由于iPlanet Web Server 7.0.x是旧产品，Oracle不再支持（.PDF），因此没有计划发布安全修复程序。

专家发布了针对OpenSSL中CVE-2020-1967 DoS漏洞的PoC攻击代码





5月5日，安全研究员发布了针对OpenSSL中CVE-2020-1967的PoC攻击代码，同时还提供了有关如何利用它的技术细节。
此前，OpenSSL发布了针对CVE-2020-1967的安全更新，更新修补了攻击者可以利用该漏洞发起拒绝服务（DoS）攻击这一高危漏洞。
福特、大众畅销车曝安全漏洞，黑客可窃取隐私、操控车辆



4月16日，一份来自英国消费者协会杂志《Which?》调查报告发现，福特和大众的两款畅销车存在严重安全漏洞，黑客可利用该漏洞发动攻击，窃取车主的个人隐私信息，甚至是操控车辆，对车主的信息安全和生命安全产生极大的威胁。

Zoom客户端爆出安全漏洞 可向攻击者泄露Windows登陆凭据





4月1日，外媒 Bleeping Computer 指出Windows版Zoom客户端容易受到 NUC 路径注入攻击的安全漏洞。音视频会议应用Zoom允许用户在聊天界面通过发送文本消息来互相交流，攻击者正是利用聊天模块的漏洞，可窃取点击了相关链接的用户的 Windows 登陆凭据
严重的RCE漏洞影响了数百万基于OpenWrt的网络设备





3月25日，软件公司For All Secure的安全专家发现了基于OpenWrt Linux的网络设备操作系统中的一个严重漏洞。该漏洞被命名为CVE-2020-7982，是影响操作系统的关键远程代码执行漏洞，存在于OpenWrt的OPKG软件包管理器中。
攻击者利用通达OA漏洞释放勒索病毒，用户数据遭到加密



3月20日，通达OA官方论坛发布了一则安全更新，披露了近期出现攻击者利用通达OA文件上传和文件包含漏洞释放勒索病毒的攻击事件，攻击者通过漏洞上传webshell伪装OA插件的下载提示页面，诱导用户点击下载运行勒索病毒，官方紧急发布了各版本的安全加固补丁。
从官方发布的补丁分析，通达OA V11以下版本仅存在未授权任意文件上传漏洞；通达OA V11版本则存在未授权任意文件上传以及任意文件包含两个漏洞，攻击者可在通达OA V11版本利用两个漏洞构造组合利用链，最终在目标服务器上执行任意代码。
披露英特尔处理器新漏洞Load Value Injection





3月11日，研究人员披露了最新发现并命名为Load Value Injection（LVI） 的英特尔处理器漏洞，该漏洞可窃取英特尔 SGX（代表 Software Guard eXtensions）中储存的秘密信息。LVI与 Meltdown 和 Spectre 等类似，都属于瞬态执行利用，源自于CPU 的 “预测执行”优化技术。
CVE-2019-0090漏洞影响过去5年中发布的英特尔芯片



3月7日，有外媒报道，Positive Technologies的安全专家警告，漏洞编号为CVE-2019-0090的漏洞影响了过去5年中发布的所有Intel处理器，这些漏洞可能被攻击者利用，以绕过所有启用硬件的安全保护，且该漏洞目前无法修补。
黑客在PayPal集成的Google Pay中发现漏洞，进行未经授权的付款





2月26日，据外媒ZDNet报道，黑客在PayPal的Google Pay中发现了一个漏洞，该漏洞可通过PayPal帐户进行未经授权的交易。同日，已有用户报告称，在其PayPal历史中突然出现了源自其Google Pay帐户的神秘交易。

WordPress主题插件严重漏洞修复，影响将近20万个网站



2月18日，WordPress的Theme Grill Demo Importer程序开发人员发布更新了该插件，删除一个严重漏洞。该漏洞为未经身份验证的用户提供了管理员特权。攻击者可以以管理员身份登录，并将网站的整个数据库还原为默认状态，从而完全控制这些网站。
Theme Grill Demo Importer插件用于轻松导入Theme Grill主题演示内容、小工具和设置，使用户更轻松地快速自定义主题。该插件目前安装在近20万个WordPress网站上，而最流行的1.4到1.6版本最容易受到攻击。

“几乎所有”思科（http://CSCO.US）设备都中招：五个危急的零日漏洞



2月6人，物联网安全方案提供商Armis在实施思科CDP协议的设备中发现了五个危急的零日漏洞。这些漏洞可使远程攻击者无需任何用户干预就可以全面接管设备。CDP是思科私有的一种设备发现协议，它能够运行在大部分的思科设备上面。通过运行CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及IP地址，硬件平台等相关信息。

微软发布公告称IE 0day漏洞已遭利用，且无补丁



1月17日，微软发布安全公告( ADV200001 )称，一个IE 0day(CVE-2020-0674) 已遭利用，且暂无补丁，仅有应变措施和缓解措施。
微软表示该 0day只发生在“有限的目标攻击中”，仅针对少量用户，未遭大规模利用。目前正在推出解决方案，将在后续发布。
抖音修复了可能使黑客操纵帐户并访问个人数据的安全漏洞



1月8日，据ZDNet报道，Check Point的研究人员发现，抖音中的安全漏洞可能会使用户的隐私受到威胁，使攻击者能够操纵用户帐户并暴露个人数据，包括姓名，电子邮件地址和生日。目前不能确认该漏洞是否被利用，但已经修复。抖音全球下载量已超过10亿。

Mozilla释出补丁修复一个正被利用的Firefox漏洞



1月9日，Mozilla发布了Firefox v72.0.1和ESR68.4.1版本，紧急修复了一个正被利用的漏洞。该漏洞属于类型混淆，影响Ion Monkey，它是Fire fox JS引擎Spider Monkey的JIT编译器。这是Mozilla在过去一年修复的第三个0day漏洞。

华云安介绍
华云安在网络空间威胁治理、漏洞管理、攻防渗透方面具备深厚的技术积累，推出了华云安新一代自适应网络安全威胁与漏洞管理平台，面向网络空间安全领域，采用自主网络安全漏洞元语言模型，基于知识图谱的下一代人工智能引擎，形成自动化的漏洞挖掘与利用能力，进行持续的风险检测和威胁防御，实现安全检测、分析、响应的自动化及网络安全攻防对抗服务。 “以攻促防，攻防兼备”是公司的核心理念。公司具有一流的网络安全攻防团队，以及漏洞管理、自动化渗透、安全接入等网络安全产品，提供集网络安全情报采集分析与分享能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全威胁检测与防御平台。主要服务于国家机构及金融、能源、教育、医疗等关键信息基础设施行业。

侯小猴

前排支持下了哦~