绿盟科技威胁周报(2023.03.20-2023.03.26)
2023-3-28 10:47:39 Author: blog.nsfocus.net(查看原文) 阅读量:22 收藏

阅读: 19

一、 威胁通告

  • MinIO信息泄露漏洞(CVE-2023-28432)通告(CVE-2023-28432)

【发布时间】2023-03-24 00:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现MinIO官方发布安全通告,修复了一个MinIO信息泄露漏洞(CVE-2023-28432)。当MinIO为集群模式配置时,未经身份验证的攻击者通过构造特制请求包,最终可获取所有环境变量信息,攻击者可利用其中的MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD以管理员身份登录后台。CVSS评分为7.5,目前漏洞细节已被公开披露,请受影响的用户尽快采取措施进行防护。MinIO是一个开源的、云原生的对象存储服务。它的设计目标是为云原生应用程序提供高性能、高可用性、可扩展性和安全性的对象存储。

【链接】

https://nti.nsfocus.com/threatNotice

  • SpringFramework身份验证绕过漏洞(CVE-2023-20860)

【发布时间】2023-03-22 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Spring官方发布安全通告,修复了一个Spring Framework身份验证绕过漏洞(CVE-2023-20860)。当Spring Security配置中用作\”**\”模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。未经身份验证的远程攻击者通过构造特制请求,最终可实现身份验证绕过访问后台信息。

【链接】

https://nti.nsfocus.com/threatNotice

  • Smartbi商业智能软件任意文件读取漏洞通)

【发布时间】2023-03-22 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Smartbi官方修复了一个MYSQL JDBC任意文件读取漏洞,由于 Smartbi对敏感系统文件的安全限制存在缺陷,未经身份验证的远程攻击者通过此漏洞可获取到系统中的敏感信息,最终造成敏感信息泄露。

【链接】

https://nti.nsfocus.com/threatNotice

  • SPNEGO 扩展协商 (NEGOEX) 安全机制远程代码执行漏洞(CVE-2022-37958)(CVE-2022-37958)

【发布时间】2023-03-20 10:00:00 GMT

【概述】

近日,我司安全团队监测到境外APT攻击活动并捕获到SPNEGO 扩展协商 (NEGOEX) 安全机制远程代码执行漏洞(CVE-2022-37958)相关工具。由于SPNEGO 扩展协商 (NEGOEX)安全机制存在缺陷,在特定条件下,未经身份验证的远程攻击者可通过任何可进行身份验证的 Windows 应用程序协议(如SMB、RDP)来访问NEGOEX协议,从而导致执行任意代码。该漏洞影响多种协议,存在用于传播蠕虫病毒的可能性,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

  • Microsoft Outlook权限提升漏洞(CVE-2023-23397)通告(CVE-2023-23397)

【发布时间】2023-03-20 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到微软官方发布补丁更新,修复了一个Microsoft Outlook权限提升漏洞,未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,造成受害者的Net-NTLMv2散列泄露给攻击者,后续攻击者可以将其中继到另一个服务并作为受害者进行身份验证,最终实现权限提升。此外,微软官方提示:攻击者所发送的特制邮件在Outlook客户端检索和处理时可自动触发。目前已监测到该漏洞存在在野利用,CVSS评分为9.8。

【链接】

https://nti.nsfocus.com/threatNotice

二、 热点资讯

  1. 终端安全步入“深水区”,EDR如何破局?

【概述】

随着流量加密的普及,终端承受的安全压力客观上增加,新型网络威胁和攻击手法如勒索和无文件攻击等显著增加;而我国软件业的渗透测试和漏洞众测等工作尚未普及,0day漏洞成为终端上最重要的安全隐患之一;员工安全意识的缺乏和责任心的淡漠,让钓鱼、社工等新型攻击方式有了更多可乘之机。终端防护更为艰难,成本也更高。2023年2月,国内知名信息化与安全咨询研究机构数世咨询发布《精准EDR能力白皮书》(EDR即Endpoint Detect and Response,端点检测响应技术),通过对白皮书的解读,我们认为国内的终端安全建设正在步入“深水区”,而真正意义上的EDR,或许是破局之法。

【参考链接】

https://ti.nsfocus.com/security-news/IlOJB

  1. AviatorScript组件表达式注入漏洞分析(CVE-2021-41862)

【概述】

在看Hutool工具的CVE-2023-24163漏洞的时候,发现了是基于2021年公布的AviatorScript组件表达式注入漏洞,正好就跟着分析学习一下。输入aviator表达式时可以直接new对象,但是不允许调用非public static的方法。可以使用BCELClassloader加载BCEL编码的形式完成RCE。首先准备一个恶意的evil.class。设置public static方法exec来执行任意命令。

【参考链接】

https://ti.nsfocus.com/security-news/IlOIT

  1. CVE-2023-20860:Spring Framework身份验证绕过漏洞通告

【概述】

2023年03月22日,CERT监测发现Spring发布了Framework的风险通告,漏洞编号为CVE-2023-20860,漏洞等级:高危,漏洞评分:8.8。Spring Framework是一个开源的JavaEE应用程序框架,它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。对此,建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。

【参考链接】

https://spring.io/security/cve-2023-20860

  1. 决不妥协!法拉利被黑客入侵后拒绝支付赎金

【概述】

本周一,意大利豪华汽车制造商法拉利公司在其网站上发布了一条消息,该消息表示近日遭到了不明来源的黑客攻击。此次黑客攻击事件导致部分客户的个人信息遭到泄露,目前黑客威胁法拉利公司支付赎金,否则将公布客户的信息,包含联系方式、邮箱等。总部位于意大利马拉内罗的汽车制造商似乎在黑客联系他们之前并不知道他们已被入侵。

【参考链接】

https://ti.nsfocus.com/security-news/IlOIH

  1. 谷歌就 18 项严重漏洞向三星和 Pixel 手机用户发出警告

【概述】

谷歌内部网络安全专家和分析师团队在一篇博客文章中描述了18 种不同的潜在漏洞,可用于侵入使用三星 Exynos 调制解调器的精选手机。这些漏洞利用非常严重,应将其视为零日漏洞(表明应立即修复)。利用其中四种漏洞,攻击者只需拥有正确的电话号码即可访问流入和流出设备调制解调器的数据,例如电话和短信。

【参考链接】

https://ti.nsfocus.com/security-news/IlOIh

  1. 什么是APT攻击?APT攻击有什么主要特征?

【概述】

APT攻击,即高级可持续威胁攻击,也被称为定向威胁攻击,是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。该攻击方式是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的恶意商业间谍威胁。那么APT攻击有什么主要特征?有什么危害?本文为大家介绍一下。

【参考链接】

https://ti.nsfocus.com/security-news/IlOHX

  1. Mispadu银行木马瞄准拉丁美洲:90000多份凭证被盗

【概述】

一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关,其目的是窃取凭证并提供其他有效载荷。拉丁美洲网络安全公司的团队在与黑客新闻分享的一份报告中表示,这项活动于 2022 年 8 月开始,目前正在进行中。

【参考链接】

https://ti.nsfocus.com/security-news/IlOJt

  1. Linux Rootkit查杀工具Chkrootkit分析

【概述】

chkrootkit是一种用于在本地检查rootkit迹象的工具。文件最近一次更新 v 0.57 2023/01/13 。这个工具每个文件都可以单独运行,这里主要分析两个检查`LKM`特洛伊木马的文件,其他文件简单描述一下作用和用到的技术。

【参考链接】

https://www.csdndocs.com/article/9734113

  1. 如何有效防范网络攻击?常用小技巧分享!

【概述】

近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索软件层出不穷,对企业、用户、国家安全都造成了严重的威胁,更成为了一项严峻的挑战。那么如何有效应对网络攻击?防范手段有哪些?

【参考链接】

https://ti.nsfocus.com/security-news/IlOK9

  1. FBI:去年至少860个关键基础设施遭勒索软件入侵

【概述】

Top3活跃勒索软件团伙分别是Lockbit(149起)、ALPHV/BlackCat(114起)和Hive(87起)。3月22日消息,美国联邦调查局(FBI)在2022年互联网犯罪报告中披露,勒索软件团伙去年共破坏了至少860个关键基础设施组织的网络。

【参考链接】

https://ti.nsfocus.com/security-news/IlOJH

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weeklyreport202313/
如有侵权请联系:admin#unsafe.sh