聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 CVE-2020-6418。网络设备厂商 Zyxel 发布补丁,修复了多款网络附加存储设备 (NAS) 中已遭利用的一个严重漏洞 CVE-2020-9054。
Chrome 0day (CVE-2020-6418)
该漏洞被指为类型混淆问题,影响 Chrome 使用的 V8 开源 JavaScript 引擎。该漏洞是谷歌威胁分析团队的研究员 Clement Lecigne 发现的。
除此以外,像往常一样,谷歌并未发布任何其它详情。
谷歌还修复了其它两个高危漏洞,一个是ICU 中的整数溢出漏洞,一个是 streams 组件中的界外内存访问权限问题。
该整数溢出漏洞是由 André Bargull 报告的,后者获得5000美元的奖励金;界外漏洞是由谷歌 Project Zero 团队的 Sergei Glazunov 发现的。
去年,多个 Chrome 漏洞遭利用。其中在与韩国相关的攻击活动 “OperationWizardOpium” 中使用一个 Chrome 0day 漏洞传播恶意软件。其它 Chrome 漏洞被指和一个 Windows 0day 一起遭利用。
NAS 0day (CVE-2020-9054)
该漏洞的编号是 CVE-2020-9054,是一个远程代码缺陷,可在未经认证的情况下遭利用,它产生的原因在于 weblogin.cgi CGI 可执行文件未能正确地清理传递给它的用户名参数。
CERT/CC 解释称,如果用户名中包含某些字符,那么攻击者就可以 web 服务器权限注入命令,之后可利用设备上包含的 setuid 功能以 root 权限运行任意命令。
Zyxel 公司发布安全公告称,“运行固件版本 5.2.1 及之前版本的Zyxel NAS 产品的 weblogin.cgi 程序中存在一个远程代码执行漏洞。缺乏对该程序的认证可导致攻击者通过 OS 命令注入执行远程代码。”
攻击者可发送特殊构造的 HTTP POST 或 GET 请求在易受攻击的 Zyxel 设备上执行任意代码。即使攻击者无法直接连接该设备(如该设备未暴露给 web),但如果受害者连接到恶意网站,则也可触发该漏洞。
安全记者 Brian Krebs 将问题告知 Zyxel 公司、美国国土安全局和 CERT/CC,并指出这个漏洞的 exploit 已在黑市以2万美元的价格出售。
Krebs 还表示大规模部署勒索软件的团伙对此表示出购买意向,而 Emotet 组织也有意将该 exploit 纳入恶意软件中。
本周,Zyxel 公司发布补丁,修复易受攻击的四款设备:NAS326、NAS520、NAS540 和 NAS542。
然而,Zyxel 公司的其它十款NAS产品不再受支持而且也不会收到修复方案:NSA210、 NSA220、 NSA220+、 NSA221、 NSA310、 NSA310S、 NSA320、 NSA320S、 NSA325 和 NSA325v2。
这些设备的缓解措施包括拦截对 web 接口(80/tcp 和 443/tcp)的访问权限并确保该 NAS 未被暴露在互联网上。CERT/XX 认为该漏洞的 CVSS 评分为10分,并推荐从互联网隔离任何可访问该易受攻击的 web 接口的机器。
Zyxel 公司表示,“不要将产品直接暴露于互联网。如有可能,则将其连接到安全路由器或部署防火墙进行进一步防护。”
推荐阅读
刚刚修复的Windows 0day和Chrome 0day 已被组合用于 WizardOpium 攻击(详解)
立即更新!谷歌被曝已遭利用的Chrome 0day,波及 Windows、Mac 和 Linux 系统
D-Link DNS-320 NAS设备被曝严重缺陷,存储文件可遭远程访问
IoT设备有多不堪一击?你熟悉的13款SOHO和NAS设备竟含125个CVE
原文链接
https://www.securityweek.com/zyxel-patches-zero-day-vulnerability-network-storage-products
https://www.securityweek.com/google-patches-chrome-vulnerability-exploited-wild
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~