绿盟威胁情报周报(20210719-20210725)

一、威胁通告

  • Windows权限提升漏洞通告(CVE-2021-36934)

【发布时间】2021-07-2310:00:00GMT

【概述】

绿盟科技CERT监测到微软发布紧急通告,披露了Windows权限提升漏洞(CVE-2021-36934)。由于对多个系统文件(包括安全帐户管理器(SAM)数据库)的访问控制列表(ACL)过于宽松,当系统启用了内置管理员账户(administrator)时,普通用户可以利用此漏洞结合哈希传递攻击实现权限提升,从而在目标主机上以SYSTEM权限执行任意代码。目前漏洞细节与利用程序已公开,建议相关用户进行排查并采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Linux内核权限提升漏洞通告(CVE-2021-33909)

【发布时间】2021-07-2214:00:00GMT

【概述】

近日,绿盟科技CERT监测发现Qualys研究团队披露了Linux内核文件系统层中的一个本地提权漏洞(CVE-2021-33909,也称为Sequoia),该漏洞为Linux内核的seq_file接口存在size_t-to-int类型转换漏洞,由于fs/seq_file.c没有正确限制seq缓冲区分配,从而导致整数溢出、越界写入以及权限提升。任意用户权限的攻击者都可以在默认配置中利用此漏洞,从而获得受影响主机的root权限。该漏洞影响了自2014年以来发布的所有Linux内核版本,目前PoC已公开,请相关用户尽快采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Oracle全系产品7月关键补丁更新通告

【发布时间】2021-07-2210:00:00GMT

【概述】

2021年7月21日,绿盟科技CERT监测发现Oracle官方发布了7月关键补丁更新公告CPU(CriticalPatchUpdate),共修复了342个不同程度的漏洞,此次安全更新涉及OracleDatabaseServer、OracleJavaSE、OracleFusionMiddleware、OracleMySQL、OracleCommunications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】https://nti.nsfocus.com/threatWarning

  • WebLogic多个高危漏洞通告

【发布时间】2021-07-2210:00:00GMT

【概述】

7月21日,绿盟科技CERT监测到Oracle官方发布了2021年7月关键补丁更新公告CPU(CriticalPatchUpdate),共修复了342个不同程度的漏洞,其中包括3个影响WebLogic的严重漏洞,利用复杂度低,建议用户尽快采取措施,对此次的漏洞进行防护。CVE-2021-2382/CVE-2021-2394/CVE-2021-2397:未经身份验证的攻击者发送恶意构造的T3或IIOP协议请求,可在目标服务器上执行任意代码,CVSS评分为9.8CVE-2021-2376/CVE-2021-2378:未经身份验证的攻击者通过T3或IIOP协议发送恶意请求,可造成目标服务器挂起或崩溃,CVSS评分为7.5CVE-2015-0254:此漏洞存在于ApacheStandardTaglibs中,当应用程序使用<x:parse>或<x:transform>标签处理不受信任的XML文档时,1.2.3版本之前的ApacheStandardTaglibs允许远程攻击者利用XSLT扩展执行任意代码或进行XML外部实体注入(XXE)攻击,CVSS评分为7.3CVE-2021-2403:未经身份验证的攻击者可以通过HTTP发送恶意请求,未授权访问目标服务器的某些数据。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 黑客组织APT31利用办公路由器攻击法国组织

【概述】

法国国家网络安全局(ANSSI)下属的法国政府计算机应急准备小组CERT-FR警告说,与黑客组织APT31正通过在间谍活动中利用家庭和办公室路由器来攻击法国组织。

APT31,也称为Zirconium,以攻击政府、国际金融、航空航天和国防组织而闻名。该集团还攻击了高科技、建筑和工程、电信、媒体和保险公司。CERT-FR指出:“在执行侦察和攻击行动之前,威胁行为者使用受感染的路由器作为匿名中继。”CERT-FR没有回应信息安全媒体集团关于提供更多信息的请求,包括哪些组织受到了攻击。该组织提供了入侵IOC的指标,以帮助检测漏洞。“在日志中找到其中一个IOC,并不意味着整个系统已被攻陷,因此还需要进一步分析。

【参考链接】https://ti.nsfocus.com/security-news/4qYRO

  • SolarWinds黑客利用iOS零日漏洞攻击iPhone

【概述】

SolarWinds 黑客利用位于浏览器引擎 WebKit 中的 iOS 零日漏洞以攻击更新的 iPhone,并通过瞄准全球手机赚取数百万美元。谷歌研究人员 Maddie Stone 和 Clement Lecitne 写道,攻击者很可能是俄罗斯政府资助的组织,利用当时未知的iOS 零日漏洞。怀疑黑客正在为俄罗斯外国情报局工作。

黑客通过LinkedIn向政府官员发送信息。微软研究人员透露,Nobelium 也向Windows 用户发送了恶意软件。

他们首先入侵了一个名为 Constant Contact 的在线营销公司的 USAID 帐户。然后,他们使用此帐户向属于美国民间对外援助和发展援助管理组织的地址发送电子邮件。

另一方面,攻击者的目标是 iOS 12.4 到 13.7 版本,甚至是更新的 iPhone。这些负载的任务是从各种网站收集身份验证 cookie,包括 Facebook、LinkedIn、谷歌和雅虎。数据后来通过WebSocket发送给黑客。

【参考链接】https://ti.nsfocus.com/security-news/4qYS1

  • 攻击者窃取了大量的Humana客户的医疗数据

【概述】

专家发现了一个医疗数据库,其中包含属于美国保险巨头Humana客户的敏感健康保险数据,泄密事件发生在美国第三大健康保险公司,Humana通知其65,000名健康计划成员,该漏洞发生在2020年10月12日期间“分包商的员工向未经授权的个人泄露了医疗记录”。2020年12月16日,受数据泄露影响的一名患者向该公司提起诉讼。7月18日,我们联系了Humana以确认数据属于他们,但他们尚未做出回应。下载该数据库的一位论坛成员声称,该档案包含2020年的信息,而不是泄密者所建议的2019年的信息。如果论坛成员的说法属实,则泄露的数据库可能是2020年违规行为的一部分。话虽如此,泄密者发布的样本中发现的数据大多来自2019年,这可能表明它与之前的事件无关,可能是单独获取的。

【参考链接】https://ti.nsfocus.com/security-news/4qYRM

  • 攻击者利用AW工作流攻击Kubernetes集群

【概述】

Argo面向Web的仪表板的错误配置权限允许未经身份验证的攻击者在Kubernetes目标上运行代码,包括加密挖掘容器。安全研究人员警告说,Kubernetes集群正受到配置错误的ArgoWorkflows实例的攻击。

ArgoWorkflows是一个开源的容器原生工作流引擎,用于在Kubernetes上编排并行作业——以加快计算密集型作业的处理时间。它还通常用于简化容器部署。

与此同时,Kubernetes是一种流行的容器编排引擎,用于管理云部署。根据Intezer的一项分析,恶意软件运营商正在通过Argo将加密矿工放入云中,这要归功于某些实例可通过不需要外部用户身份验证的仪表板公开可用。因此,这些错误配置的权限可能允许威胁行为者在受害者的环境中运行未经授权的代码。

【参考链接】https://ti.nsfocus.com/security-news/4qYRs

  • MosaicLoader恶意软件提供Facebook窃取程序和RAT

【概述】

一种名为MosaicLoader的Windows恶意软件正在全球范围内传播,充当全方位服务的恶意软件传送平台,被用来通过远程访问木马(RAT)、Facebookcookie窃取程序和其他威胁感染受害者。

根据Bitdefender研究人员的说法,他们发现加载程序通过搜索结果中的付费广告在全球范围内传播,目标是寻找盗版软件和游戏的人。它伪装成破解的软件安装程序,但实际上,它是一个下载程序,可以将任何有效负载传送到受感染的系统。

Bitdefender的研究人员解释说:“MosaicLoader背后的攻击者创建了一种恶意软件,可以在系统上传送任何有效载荷,使其作为传送服务有可能获利。”“它下载一个恶意软件喷射器,从命令和控制(C2)服务器获取URL列表,并从接收到的链接下载有效负载。”

研究人员观察到恶意软件喷射器提供Facebookcookie窃取程序,这些程序会泄露登录数据——这允许网络攻击者接管帐户,创建传播恶意软件的帖子或导致声誉受损的帖子。

【参考链接】https://ti.nsfocus.com/security-news/4qYRf

  • 攻击者窃取佛罗里达公寓倒塌受害者身份

【概述】

黑客正在窃取在公寓倒塌受害者中丢失人的身份。由于一群黑客以新的身份盗窃为目标,为佛罗里达州瑟夫赛德的尚普兰塔南公寓大楼部分倒塌而哀悼失去亲人的家庭现在被敦促检查他们已故亲属的信用方案。显然,网络犯罪分子正在观看新闻并窃取在广播期间阅读的受害者身份。Surfside市长CharlesBurkett告诉佛罗里达当地新闻台,执法部门正在努力追查网络犯罪分子。

【参考链接】https://ti.nsfocus.com/security-news/4qYR1

  • 攻击者使用工程和网络钓鱼活动植入恶意软件攻击东京奥运会

【概述】

定于周五晚上开幕的东京奥运会已经成为威胁行为者的目标,然而,联邦调查局的网络部门发出警告,奥运会的电视广播很可能会受到威胁行为者的攻击。

联邦调查局的通知称:“攻击者可以在事件发生之前使用社交工程和网络钓鱼活动来获取访问权限或使用先前获得的访问权限来攻击恶意软件,以在事件期间破坏受影响的网络。”“社会工程和网络钓鱼活动继续为攻击者提供进行此类攻击所需的访问权限。”

联邦调查局补充说,奥运会将吸引那些想要“赚钱、散播混乱、增加恶名、诋毁对手和推进意识形态目标”的普通网络犯罪分子和民族国家行为者。

【参考链接】https://ti.nsfocus.com/security-news/4qYRH

  • 攻击者攻击财富500强律师事务所

【概述】

美国律师事务所,以及众多大公司告知客户,入侵者可能已经窃取了他们的数据。今年2月份,该公司遭到勒索软件的攻击,现在正在遭受数据泄露影响。

这些客户涵盖众多行业,其中包括苹果、波音、英国航空公司、克莱斯勒、埃克森美孚、费雪-普莱斯、福特、本田、IBM、捷豹、孟山都、丰田和美国航空等公司。

周五,该公司在一份新闻稿中表示,它在2月27日意识到自己受到了勒索软件攻击。

【参考链接】https://ti.nsfocus.com/security-news/4qYRe

  • 攻击者攻击沙特阿美的数据

【概述】

一名黑客声称从沙特阿拉伯石油和天然气巨头沙特阿美公司窃取了1TB的敏感数据。这家石油巨头的员工年收入超过2000亿美元,威胁行为者以500万美元的初始价格提供被盗数据。

BleepingComputer联系了该公司,该公司确认了第三方承包商的数据泄露,但指出该事件对Aramco的运营没有影响。沙特阿美还告诉BleepingComputer,这不是勒索软件安全漏洞。

“沙特阿美最近意识到第三方承包商持有的有限数量的公司数据。”沙特阿美发言人告诉BleepingComputer。“我们确认数据的发布对我们的运营没有影响,公司继续保持稳健的网络安全态势。”ZeroX声称已在2020年利用零日漏洞从沙特阿美的基础设施中窃取数据。

【参考链接】https://ti.nsfocus.com/security-news/4qYQY

  • 攻击者利用虚假的Flash更新攻击MacOs用户

【概述】

史蒂夫乔布斯称,攻击者借助虚假的Flash更新来攻击macOS用户,macOS使恶意行为者很难在Mac上安装恶意软件。但是自从Apple去年停止支持Adob​​eFlash以来,恶意软件作者就利用这一差距。欺骗用户下载和安装虚假的Flash安装程序。这些虚假安装程序可以容纳从广告软件到后门程序的任何内容,例如Shlayer和Bundlore。尽管这些安装程序通常没有数字签名并要求用户手动绕过Gatekeeper,但我们看到用户愿意绕过操作系统警告并手动安装这些安全风险。

【参考链接】https://ti.nsfocus.com/security-news/4qYQQ

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment