绿盟威胁情报周报(20210712-20210718)
2021-07-20 10:52:15 Author: blog.nsfocus.net(查看原文) 阅读量:105 收藏

阅读: 33

一、威胁通告

  • 某互联网企业7月安全更新多个产品高危漏洞通告(CVE-2021-34492、CVE-2021-34473、CVE-2021-34523)

【发布时间】2021-07-14 18:00:00 GMT

【概述】

7月14日,绿盟科技CERT监测到某互联网企业发布7月安全更新补丁,修复了117个安全漏洞,涉及Windows、Microsoft Office、Microsoft Edge、Visual Studio 、SharePoint Server等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。本月某互联网企业月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有13个,重要(Important)漏洞有103个。其中有9个为0day漏洞,有5个信息已被公开披露:Windows 证书欺骗漏洞(CVE-2021-34492)Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-34473)Microsoft Exchange Server 权限提升漏洞(CVE-2021-34523)Windows ADFS 安全功能绕过漏洞(CVE-2021-33779)Active Directory 安全功能绕过漏洞(CVE-2021-33781)有4个已被在野利用:Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)Windows Script Engine 内存损坏漏洞(CVE-2021-34448)Windows Kernel 权限提升漏洞(CVE-2021-31979)Windows Kernel 权限提升漏洞(CVE-2021-33771)请相关用户尽快更新补丁进行防护,完整漏洞列表请参考附录。

【链接】https://nti.nsfocus.com/threatWarning

  • SolarWinds Serv-U 远程代码执行漏洞通告(CVE-2021-35211)

【发布时间】2021-07-13 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测到SolarWinds发布安全公告,修复了Serv-U中存在的远程代码执行漏洞(CVE-2021-35211),该漏洞为某互联网企业发现在野利用后向SolarWinds报告,并提供了漏洞利用的概念证明。未经身份验证的远程攻击者利用此漏洞可在受影响的服务器上以特殊权限执行任意代码,请相关用户尽快采取措施进行防护。SolarWinds表示此漏洞存在于SSH协议中,与 SUNBURST 供应链攻击无关,仅影响SolarWinds Serv-U Managed File Transfer和Serv-U Secure FTP。使用Serv-U管理控制台向导创建域时会默认选择启用SSH,若Serv-U环境中未启用SSH则不受此漏洞影响。

【链接】https://nti.nsfocus.com/threatWarning

  • YAPI认证用户利用Mock功能进行远程执行代理

【发布时间】2021-07-12 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现 YAPI 可视化接口管理平台存在在野攻击事件,由于大量用户使用 YAPI的默认配置并允许从外部网络访问 YAPI服务。导致攻击者通过注册平台账户后,可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,从而控制目标服务器。YAPI官方暂未发布消息和修复方案,目前PoC已公开,请相关用户采取措施进行防护。YAPI是由去哪儿网移动架构组(YMFE)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • SonicWall的VPN硬件服务被攻击者严重攻击

【概述】

SonicWall发布了一个紧急安全警报,告知用户VPN设备正受到攻击。通知客户给企业安全VPN硬件打补丁,以防止安全漏洞勒索软件活动”。本次攻击的目标是该公司的安全移动接入(SMA) 100系列和安全远程接入(SRA)安全VPN设备的安全,包括未打补丁和寿命结束(EoL) 8.x固件。 在周四的一份安全公告中,该公司报告称,Mandiant的研究人员发现,“攻击者正在积极攻击”3款SMA 100型号和9款不再被SonicWall支持的老式sra系列安全VPN产品。

【参考链接】https://ti.nsfocus.com/security-news/4qYQg

  • 黑客利用武器化的MS Office文档来攻击用户

【概述】

黑客利用武器化的MS Office文档或malspam活动中的其他社会工程策略来诱骗不知情的用户,让他们启用宏。 然而,事情发生了变化,研究人员发现的新攻击比以往任何时候都严重。根据McAfee实验室专家的一份报告,攻击者在这些活动中使用了一种新技术,即在目标计算机上执行宏代码之前,使用非恶意文件来禁用安全警告。  

这意味着黑客下载恶意dll /ZLoader没有任何恶意代码在垃圾邮件附件宏。 因此,他们设计了一种新的策略来禁用宏安全警告。  

【参考链接】https://ti.nsfocus.com/security-news/4qYPm

  • KASEYA服务器被黑客攻击,发送垃圾邮件

【概述】

最近的Kaseya-VSA服务器漏洞攻击事件为网络犯罪分子提供了发布虚假Kaseya更新程序的机会。一些用户被欺骗下载在Kaseya上运行恶意软件的程序。据称,它来自Kaseya的“响应团队”,以及提供了一个工具的下载链接,该工具托管在合法的 Kaseya.com 网站上,但单击该链接会将您带到不同的 URL。 因此Kaseya已经发表了一份声明,提醒他们的客户如果不确定链接的来源,不要点击任何链接。  

【参考链接】https://ti.nsfocus.com/security-news/4qYPp

  • 攻击者窃取了6亿LinkedIn的个人资料,并在网上出售这些资料

【概述】

在过去四个月里,LinkedIn似乎第三次经历了另一次由恶意行为者进行的大规模数据抓取。从数以亿计的LinkedIn用户资料中收集的数据又一次出现在一个黑客论坛上,目前正在以不公开的价格出售。这些信息虽然不是非常敏感,但仍可能被恶意行为者利用,LinkedIn拒绝将恶意抓取视为安全问题,这可能会让网络犯罪分子收集新的受害者数据而不受惩罚。 然而,这家社交媒体平台对此持不同看法。

【参考链接】https://ti.nsfocus.com/security-news/4qYPE

  • WildPressure APT 组织利用Milum恶意软件攻击网站

【概述】

一直以中东的工业组织为目标的WildPressure APT 组织,现在被发现使用一种针对Windows和macOS的新恶意软件Milum。在2020年3月被发现的Milum恶意软件现已通过PyInstalle包进行了重组,其中包含了与Windows和macOS系统兼容的木马程序,被黑的网站可被该APT组织用来下载和上传文件并执行命令。

【参考链接】https://ti.nsfocus.com/security-news/4qYPh

  • 攻击者攻击利用远程代码执行(RCE)漏洞ForgeRock访问管理平台

【概述】

攻击者利用ForgeRock访问管理平台上的一个预授权远程代码执行(RCE)漏洞发起攻击。这些攻击是由ForgeRock的访问管理平台(Access Management)中的一个现已修补过的漏洞发起的,它用于前端web应用程序和远程访问设置。美国网络安全和基础设施安全局(CISA)警告称,该漏洞可能使攻击者能够在当前用户的环境下执行命令。

【参考链接】https://ti.nsfocus.com/security-news/4qYPx

  • 网络攻击导致伊朗铁路网络“混乱

【概述】

据国外媒体报道,由于网络攻击,伊朗的铁路服务和网络陷入“前所未有的混乱状态”,其全国的售票处疲于应付网络攻击,整体处于延误和取消状态。
IRIB报告称,用于在火车站向乘客显示到达和离开信息的电子板遭到破坏。董事会要求旅客拨打一个号码到达服务台以获取更多信息。然而,这个号码实际上已经被攻击者错误连接。
伊朗道路和城市发展部官员上周六证实了这次袭击。该部门表示:“在道路和城市发展部总部的工作人员计算机系统中断后,该部的技术专家正在调查这个问题。目前铁路服务网站已经恢复正常运作。”

【参考链接】https://ti.nsfocus.com/security-news/4qYPI

  • Guess时尚品牌被勒索软件攻击,导致大量数据丢失

【概述】

攻击者破坏了Guess的1300名受害者的个人和银行数据。2月份针对时尚品牌Guess的勒索软件攻击与殖民管道攻击者DarkSide仍在造成破坏。Guess已经开始向1300名员工和承包商发信,这些人的个人和银行数据在这次入侵中被泄露。这封由BleepingComputer发布的信件为受害者提供了一年的免费信用监控和身份盗窃保护。但格斯向缅因州司法部长办公室提交的入侵通知文件称,在勒索软件攻击期间,超过1300人的信息被泄露,包括账号、借记卡和信用卡号码,甚至相关的安全代码、访问代码和个人识别号码。

【参考链接】https://ti.nsfocus.com/security-news/4qYPQ

  • Oracle Endeca服务器出现RCE漏洞

【概述】

Oracle Endeca Server是一个混合搜索分析数据库。 它将来自不同的源系统组织成一个灵活的数据模型,从而减少了前期建模的需要。 Oracle Endeca Server是为发现而设计的。 通过其灵活的数据模型、柱状存储和内存分析,它将搜索、导航和分析统一起来,为结构化和非结构化数据提供快速的答案。  

 Oracle Endeca服务器存在命令执行漏洞。 该漏洞是由于createDataStore方法的controlSoapBinding web服务导致,该服务包含一个允许注入任意命令的缺陷。  

一个远程的、未经身份验证的攻击者可以通过向受影响的服务器发送一个特殊设计的请求来利用这个漏洞。 成功的利用可能导致任意命令执行的特权提高。  

【参考链接】https://ti.nsfocus.com/security-news/4qYPq

  • SonicWall SRA/SMA产品SQL注入漏洞

【概述】

2021年07月14日,漏洞编号为SNWLID-2021-0017,漏洞等级:严重,漏洞评分:9.8。Secure Remote Access (SRA)/Secure Mobile Access (SMA)产品均是SonicWall公司应用于企业管理安全接入的安全防护产品。该类产品的SQL注入漏洞将直接影响企业内部网络的安全性,具有极强的危害性。对此,建议广大用户及时将升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

【参考链接】https://ti.nsfocus.com/security-news/4qYQc

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weekly-20210712/
如有侵权请联系:admin#unsafe.sh