绿盟威胁情报周报(20200914~20200920)
2020-09-22 15:23:25 Author: blog.nsfocus.net(查看原文) 阅读量:411 收藏

阅读: 1

一、威胁通告

  • PAN-OS远程代码执行漏洞通告(CVE-2020-2040) 

【发布时间】2020-09-14 12:00:00 GMT

【概述】

近日,绿盟科技监测到 PaloAltoNetworks(PAN)发布安全公告,披露了一个编号为 CVE -2020-2040的严重漏洞,CVSS评分为9.8。该漏洞是PAN-OS上的一个缓冲区溢出漏洞,当启 用了强制门户或配置了多重身份验证(MFA)时,未经身份验证的攻击者可通过向 CaptivePor tal 或 Multi-FactorAuthentication 接口发送恶意请求进行利用,可能导致系统进程中断,并允许使用root特权在PAN-OS设备上执行任意代码。此漏洞利用难度低,且无需用户交互,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

  • Netlogon特权提升漏洞处置手册(CVE-2020-1472) 

【发布时间】2020-09-17 11:00:00 GMT

【概述】

近日,绿盟科技监测到国外安全公司Secura公开了NetLogon特权提升漏洞(CVE-2020-1472)的详细信息与验证脚本,导致漏洞风险骤然提升。攻击者需在与目标相同的局域网(LAN)上的计算机进行利用,未经身份验证的攻击者通过NetLogon远程协议(MS-NRPC)建立与域控制器连接的安全通道时,可利用此漏洞获取域管理员访问权限。此漏洞为微软在8月补丁更新时披露,CVSS 评分为10,影响广泛,目前网上已有 EXP公布,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

  • Microsoft Exchange Server远程代码执行漏洞通告(CVE-2020-16875)

【发布时间】2020-09-17 11:00:00 GMT

【概述】

近日,绿盟科技监测到网上有安全人员公开了 ExchangeServer 远程代码执行漏洞(CVE-2020-16875)的利用程序,此漏洞为微软在9月的安全更新补丁中披露;Microsoft Exchange在Internet Explorer处理内存中的对象时存在该漏洞。利用此漏洞需要具有以某个 Exchange 角色 进行身份验证的用户权限,攻击者可通过向受影响的Exchange服务器发送包含特殊的cmdlet参数的邮件来触发此漏洞,成功利用此漏洞的攻击者可在受影响的系统上以system权限执行任意代码。请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

  • IBM Spectrum Protect Plus目录遍历与任意代码执行漏洞通告(CVE-2020-4711、CVE-2020-4703) 

【发布时间】2020-09-17 11:00:00 GMT

【概述】

绿盟科技监测到IBM官方发布安全公告,修复了SpectrumProtectPlus的管理控制台中存在的目录遍历漏洞(CVE-2020-4711)与任意代码执行漏洞(CVE-2020-4703)。CVE-2020-4711是SpectrumProtectPlus的脚本/opt/ECX/tools/scripts/restore_wrapper.sh中的目录遍历漏洞,未经身份验证的攻击者可通过发送特制的HTTP请求查看系统上的任意文件。CVE2020-4703允许经过身份验证的攻击者上载任意文件,从而在易受攻击的服务器上执行任意代码,此漏洞是由于6 月份披露的CVE-2020-4470修复不完整所造成的。目前PoC已公开,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. APT组织的下一个目标:Linux

【概述】

在过去的8年里,卡巴斯基全球研究与分析团队观察到,越来越多的APT组织开始针对运行Linux软件的设备。APT组织之所以将目标瞄准Linux,关键因素是容器化趋势推动了Linux的广泛采用。向虚拟化和容器化的转变使得大多数企业在某些日常任务中都使用Linux,而这些设备通常可以从Internet访问,并且可以用作攻击者的初始入口点。此外,一些IT、电信公司和政府使用的Linux和macOS设备比Windows系统更多,这让攻击者别无选择。

【参考链接】

https://www.freebuf.com/news/249640.html

  1. 交友网站用户的数据被泄露

【概述】

近期,数百名约会网站用户的个人详细信息在网上曝光。包含成千上万约会网站用户个人详细信息的Elasticsearch服务器未经身份验证就在线暴露。

【参考链接】

https://securityaffairs.co/wordpress/108239/data-breach/dating-site-data-leak.html

  1. Malàsmoke盯上观看色情网站的你

【概述】

过去的几个月,一个名为Malàsmoke的网络犯罪组织,一直在攻击色情网站。该组织在成人主题网站上发布恶意广告,以达到重定向用户来利用工具包并分发恶意软件的目的。

【参考链接】

https://www.freebuf.com/news/249623.html

  1. SunCrypt勒索软件袭击新泽西医院

【概述】

新泽西大学医院(UHNJ)显然是SunCrypt勒索软件的最新受害者。 SunCrypt的运营商声称已获得240GB的数据,其中1.79GB已上传到其Darknet泄漏站点。

【参考链接】

  1. 威胁分析:新出现的URSA特洛伊木马影响许多国家使用先进的加载程序

【概述】

自2020年6月以来,新一轮的URSA木马(ESET的衍生产品,也被称为mispadu恶意软件)影响了来自多个国家的用户。该恶意软件是一种特洛伊木马恶意软件,当安装在受害者的设备上时,它会从浏览器以及流行的软件(例如FTP和电子邮件服务)中收集密码,并执行银行浏览器覆盖,以诱使受害者在执行流程时引入银行凭证–分步进行–在犯罪分子的后台。

【参考链接】

https://seguranca-informatica.pt/threat-analysis-the-emergent-ursa-trojan-impacts-many-countries-using-a-sophisticated-loader/

  1. 美国对伊朗APT集团实施制裁

【概述】

周四,美国财政部外国资产控制办公室对伊朗高级持续威胁组织的恶意软件运动实施制裁,涉及到45名相关个人和伊朗政府用于针对伊朗持不同政见者,新闻工作者等。

【参考链接】

https://www.inforisktoday.com/us-imposes-sanctions-on-iranian-apt-group-a-15016

  1. Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

【概述】

Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。

【参考链接】

https://s.tencent.com//research/report/1127.html

  1. 不仅是高等教育:网络犯罪分子针对全球的学术和研究机构

【概述】

近几个月来,在美国,欧洲和亚洲,针对教育和研究领域的攻击数量有所增加。美国目睹了DDOS攻击的增加,而欧洲的信息泄露尝试也有所增加。与此同时,亚洲面临着更多的漏洞利用。

【参考链接】

https://blog.checkpoint.com//blog.checkpoint.com/2020/09/15/not-for-higher-education-cybercriminals-target-academic-research-institutions-across-the-world/


文章来源: http://blog.nsfocus.net/threat-weekly-report-0922/
如有侵权请联系:admin#unsafe.sh