首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第01周

宣布时间 2020-01-06

>本周清静态势综述

2019年12月30日至2020年01月05日共收录清静误差50个，，，，，值得关注的是Apache Solr Velocity模板代码注入误差; Tencent WeChat用户名下令注入误差；；；；；；；ALE Alcatel-Lucent Omnivista 4760代码执行误差；；；；；；；Nagios XI schedulereport.php SHELL下令注入误差；；；；；；；Cisco Data Center Network Manager SOAP API OS下令注入误差。。。

本周值得关注的网络清静事务是Nagios XI远程下令执行误差（CVE-2019-20197）；；；；；；；美法院授权微软接受朝鲜APT37控制的50个域名；；；；；；；物联网供应商Wyze意外泄露约240万客户信息；；；；；；；爱尔兰政府宣布2019-2024国家网络清静战略；；；；；；；星巴克员工上传API密钥到GitHub上，，，，，可会见内部系统。。。

凭证以上综述，，，，，本周清静威胁为中。。。

>主要清静误差列表

1. Apache Solr Velocity模板代码注入误差

Apache Solr Velocity模板VelocityResponseWriter保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，通过界说一个将该设置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”，，，，，可执行恣意代码。。。

https://issues.apache.org/jira/browse/SOLR-13971

2. Tencent WeChat用户名下令注入误差

Tencent WeChat剖析usernames保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可以应用程序上下文执行执行恣意代码。。。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

3. ALE Alcatel-Lucent Omnivista 4760代码执行误差

ALE Alcatel-Lucent Omnivista实现保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可以SYSTEM用户身份执行代码。。。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html

4. Nagios XI schedulereport.php SHELL下令注入误差

Nagios XI schedulereport.php保存输入验证误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可以应用程序上下文执行恣意SHELL下令。。。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html

5. Cisco Data Center Network Manager SOAP API OS下令注入误差

Cisco Data Center Network Manager SOAP API保存输入验证误差，，，，，允许通过验证的远程攻击者可以使用误差提交特殊的请求，，，，，可注入恣意OS下令并执行。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject

>主要清静事务综述

1、Nagios XI远程下令执行误差（CVE-2019-20197）

welcome-百乐博

Nagios XI是美国Nagios公司的一套IT基础设施监控解决计划。。。该计划支持对应用、效劳、操作系统等举行监控和预警。。。@Cody Sixteen在Twitter宣布了有关Nagios XI远程下令执行误差（CVE-2019-20197）的相关信息，，，，，该误差影响了Nagios XI 5.6.9版本，，，，，经由身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数，，，，，在Web效劳器用户帐户的上下文中执行恣意操作系统下令。。。现在厂商暂未宣布修复步伐。。。

原文链接：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534

2、美法院授权微软接受朝鲜APT37控制的50个域名

welcome-百乐博

微软乐成接受了由朝鲜黑客组织APT37控制的50个域名，，，，，这些域名被该组织用来提倡网络攻击，，，，，包括发送垂纶邮件和托管垂纶页面等。。。微软体现其数字犯法部分（DCU）和威胁情报中心（MSTIC）已经监视APT37长达数月的时间，，，，，并于12月18日在弗吉尼亚州法院对该组织提起诉讼。。。该法院授予微软权限以接受APT37在犯法活动中使用的50个域名。。。微软高管体现该组织的大大都目的都位于美国、日本以及韩国。。。

原文链接：

https://www.zdnet.com/article/microsoft-takes-down-50-domains-operated-by-north-korean-hackers/

3、物联网供应商Wyze意外泄露约240万客户信息

welcome-百乐博

物联网供应商Wyze确认其一个Elasticsearch效劳器泄露了约240万用户的详细信息。。。该数据库并不是生产系统，，，，，但存储了有用的用户数据，，，，，包括用于建设Wyze帐户的电子邮件地点、分派给其Wyze清静摄像机的用户昵称、WiFi网络标识符SSID以及2.4万用户的Alexa令牌等。。。该数据库于12月4日被过失地袒露在公网上，，，，，清静公司Twelve Security于12月26日发明了该数据库并通知了Wyze，，，，，Wyze随后对数据库举行了�；；；；；；；�。。。

原文链接：

https://www.zdnet.com/article/iot-vendor-wyze-confirms-server-leak/

4、爱尔兰政府宣布2019-2024国家网络清静战略

welcome-百乐博

爱尔兰政府宣布了《2019-2024国家网络清静战略》，，，，，这是该国于2015年宣布的首个清静战略的更新版本。。。该战略报告概述了政府将怎样继续增进该国盘算机网络和相关基础设施的清静。。。报告中剖析了政府对清静和可靠的网络空间的愿景以及将接纳的行动，，，，，包括继续提高要害基础架构和公共效劳中的网络弹性；；；；；；；提高企业和公民对网络清静主要性的熟悉；；；；；；；通过与教育系统、行业和学术界的相助，，，，，进一步生长全社会的网络清静文化；；；；；；；继续牢靠爱尔兰作为手艺和信息清静中心的全球声誉，，，，，并资助增进爱尔兰成为ICT企业的首选所在。。。该报告还鞭策举行刷新以�；；；；；；；ひ〖芄姑馐苤卮笸缤驳挠跋�，，，，，同时还忠言称外国可能会干预爱尔兰的选举。。。

原文链接：

https://securityaffairs.co/wordpress/95825/laws-and-regulations/irish-national-cyber-security-strategy.html

5、星巴克员工上传API密钥到GitHub上，，，，，可会见内部系统

welcome-百乐博

清静专家Vinoth Kumar在一个果真可用的Github存储库中发明星巴克的一个API密钥在线袒露，，，，，攻击者可以使用该密钥来会见公司的内部系统并改动授权用户列表。。。该密钥可用于会见星巴克JumpCloud API，，，，，JumpCloud是一个Active Directory治理平台，，，，，提供用户治理、Web应用程序单点登录（SSO）会见控制和轻型目录会见协议（LDAP）效劳。。。Kumar还提供了该问题的PoC代码，，，，，演示了怎样列出系统和用户、控制AWS帐户、在系统上执行下令以及添加或删除有权会见内部系统的用户。。。星巴克确认了这一问题并迅速作废了该密钥。。。

原文链接：

https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究

信息清静周报-2020年第01周

关于百乐博

解决计划

联系百乐博

7*24小时效劳热线