首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2018年第51周

宣布时间 2018-12-24

本周清静态势综述

2018年12月17日23日共收录清静误差49个，，，值得关注的是WordPress two-factor-authentication插件跨站请求伪造误差；；；；；；；ABB GATE-E1和GATE-E2验证绕过误差；；；；；；；Advantech WebAccess/SCADA CVE-2018-18999缓冲区溢出误差；；；；；；；DedeCMS uploads/include/dialog/select_images_post.php恣意代码执行误差；；；；；；；TRENDnet TEW-632BRP和TEW-673GRU apply.cgi缓冲区溢出误差。。。。。

本周值得关注的网络清静事务是美DoD称其弹道导弹防御系统未通过网络清静审计；；；；；；；欧洲议会和理事会宣布《欧盟电子通讯规范（EECC）》；；；；；；；Elasticsearch Kibana控制台文件包括误差，，，PoC代码已宣布；；；；；；；NASA披露数据泄露事务，，，部分员工的PII信息被盗；；；；；；；SandboxEscaper第三次在Twitter上披露未修复的Windows 0day。。。。。

凭证以上综述，，，本周清静威胁为中。。。。。

主要清静误差列表

1. WordPress two-factor-authentication插件跨站请求伪造误差

WordPress two-factor-authentication插件保存跨站请求伪造误差，，，允许远程攻击者可以使用误差构建恶意URI，，，诱使请求，，，可以目的用户上下文执行恶意操作。。。。。

https://wordpress.org/plugins/two-factor-authentication/#developers

2. ABB GATE-E1和GATE-E2验证绕过误差

ABB GATE-E1和GATE-E2在治理telnet或web接口中保存验证设置误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，可重置装备、读取或修改注册表、修改IP地点等。。。。。

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01

3. Advantech WebAccess/SCADA CVE-2018-18999缓冲区溢出误差

Advantech WebAccess/SCADA保存缓冲区溢出误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，可使应用程序崩�；；；；；；；蛑葱许б獯�。。。。。

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-02

4. DedeCMS uploads/include/dialog/select_images_post.php恣意代码执行误差

DedeCMS uploads/include/dialog/select_images_post.php保存输入验证误差，，，允许远程攻击者使用误差提交特殊的双重扩展及修改的.php子字符串请求，，，可上传恣意文件并执行。。。。。

http://www.iwantacve.cn/index.php/archives/88/

5. TRENDnet TEW-632BRP和TEW-673GRU apply.cgi缓冲区溢出误差

TRENDnet TEW-632BRP和TEW-673GRU apply.cgi保存缓冲区溢出误差，，，允许远程攻击者使用误差提交特殊的请求，，，可使应用程序崩�；；；；；；；蛑葱许б獯�。。。。。

http://packetstormsecurity.com/files/150693/TRENDnet-Command-Injection-Buffer-Overflow-Cross-Site-Scripting.html

主要清静事务综述

1、美DoD称其弹道导弹防御系统未通过网络清静审计

凭证美国国防部监察长的一份报告，，，美国的弹道导弹防御系统（BMDS）未能通过网络清静审计。。。。。该报告指出BMDS设施未能实验应有的清静控制步伐，，，包括多因素身份认证、误差评估缓和解、效劳器机架清静、可移动媒体上的神秘数据�；；；；；；；ず褪忠招畔⒓用艽涞�。。。。。别的，，，一些物理清静步伐也没有到位，，，例如摄像头和传感器并没有装置在需要装置的位置。。。。。监察长办公室正在要求首席信息官、指挥官等在2019年1月8日前回应该份报告。。。。。

原文链接：
https://media.defense.gov/2018/Dec/14/2002072642/-1/-1/1/DODIG-2019-034.PDF

2、欧洲议会和理事会宣布《欧盟电子通讯规范（EECC）》

欧洲议会和理事会宣布《欧盟电子通讯规范（EECC）》，，，该规范是对2009年宣布的现有电子通讯立法框架的重新修订。。。。。欧盟成员国将有两年的时间将该规范的相关条款转换为本国的执法、规则和行政划定，，，这一最后限期是2020年12月。。。。。该规范的整体目的是“使欧盟在2025年站在互联网毗连的最前沿-建设一个千兆社会”。。。。。该规范还包括对清静的划定条款：电子通讯网络效劳商需要接纳响应的手艺和机制，，，以最大限度地镌汰清静事务。。。。。

原文链接：
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018L1972

3、Elasticsearch Kibana控制台文件包括误差，，，PoC代码已宣布

Kibana是Elasticsearch的数据可视化工具，，，其Console插件保存外地文件包括（LFI）误差，，，研究职员宣布了该误差的PoC代码。。。。。该误差（CVE-2018-17246）影响了6.4.3和5.6.13之前的Kibana版本，，，乐成使用该误差可能导致远程代码执行。。。。。Elastic已在最新版本的Kibana中修复了该误差，，，若是用户暂时无法更新，，，也可以在设置文件中禁用该Console插件来规避这一问题。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/file-inclusion-bug-in-kibana-console-for-elasticsearch-gets-exploit-code/

4、NASA披露数据泄露事务，，，部分员工的PII信息被盗

NASA被黑，，，凭证该机构的说法，，，NASA在10月23日发明了这一数据泄露事务，，，其一个存储小我私家身份信息（PII）的效劳器遭到黑客入侵，，，2006年7月至2018年10月时代加入NASA的员工的PII信息泄露，，，包括去职或调职的员工。。。。。NASA现在拥有约17300名员工。。。。。该机构体现没有太空使命受到影响。。。。。

原文链接：
https://thehackernews.com/2018/12/nasa-hack-data-breach.html

5、SandboxEscaper第三次在Twitter上披露未修复的Windows 0day

研究职员SandboxEscaper第三次在Twitter上披露未修复的Windows 0day，，，并且宣布了相关PoC。。。。。这个新的误差保存于Windows的MsiAdvertiseProduct功效中，，，凭证该研究职员的说法，，，由于没有准确验证，，，攻击者可使用该功效强迫装置效劳以SYSTEM权限复制恣意文件并读取其内容，，，从而导致恣意文件读取误差。。。。。SandboxEscaper还在Github上宣布了该误差的PoC，，，但该Github账户现在已被删除。。。。。SandboxEscaper曾在2018年8月份和10月份划分在Twitter上披露了两个Windows 0day。。。。。

原文链接：
https://thehackernews.com/2018/12/windows-zero-day-exploit.html

声明：本资讯由鉴黑担保网维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

信息清静周报-2018年第51周

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线