绿盟威胁情报周报(20210315-20210321)
2021-03-22 15:17:28 Author: blog.nsfocus.net(查看原文) 阅读量:222 收藏

  • Apache Solr任意文件读取与SSRF漏洞

【发布时间】2021-03-18 16:00:00 GMT

【概述】近日,绿盟科技监测到网上披露了 ApacheSolr 的文件读取与 SSRF 漏洞,由于 Apache Solr 默认安装时未开启身份验证,导致未经身份验证的攻击者可利用 Config API 打开 requestDispatcher.requestParsers.enableRemoteStreaming 开关,从而利用漏洞进行文件读取。

【链接】https://nti.nsfocus.com/threatWarning

  • GitLab远程代码执行漏洞

【发布时间】2021-03-18 16:00:00 GMT

【概述】2021年 3 月 18 日,绿盟科技监测到 GitLab 官方发布安全通告,修复了存在于社区版(CE)和企业 版(EE)中的 代码执行漏洞,CVSS 评分为 9.9。未授权但经过身份验证的攻击者通过利用可控的 markdown 渲染选项,构造恶意请求从而在服务器上执行任意代码。 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。

【链接】https://nti.nsfocus.com/threatWarning

  • XStream 多个高危漏洞

【发布时间】2021-03-16 16:00:00 GMT

【概述】近日,绿盟科技监测到XStream官方发布安全公告,公开了XStream中的11个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、删除任意文件、远程执行任意代码。XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。

【链接】https://nti.nsfocus.com/threatWarning

  • 针对电信公司网络攻击以窃取5G机密

【概述】OperationsDiànxùn是一起针对电信公司的网络间谍活动,以窃取与5G技术相关的敏感数据和商业秘密为目的,发起此次攻击活动的威胁组织疑似与中国有关。

【参考链接】https://securityaffairs.co/wordpress/115693/apt/chinese-hackers-5g.html

  • 施耐德智能电表内存缓冲区漏洞

【概述】

近日,绿盟科技监测到施耐德发布公告披露了智能电表的两个缓存区溢出漏洞,CVE-2021-22714为整数溢出漏洞,攻击者能够根据体系结构使用不同利用方式向设备发送特制的TCP数据包,造成目标电表重启或远程代码执行,CVSS评分为9.8。CVE-2021-22713是由于对内存缓冲区内操作的不当限制造成的,攻击者可利用此漏洞强制电表重启,CVSS评分为7.5。

【参考链接】https://www.claroty.com/2021/03/09/blog-research-schneider-electric-smart-meter-vulnerabilities/

  • ZHtrap僵尸网络通过蜜罐来查找更多受害者

【概述】一种新的基于Mirai的僵尸网络,被称为ZHtrap,该僵尸网络实现利用蜜罐来查找更多受害者。ZHtrap僵尸网络使用四个漏洞进行传播,主要用于进行DDoS攻击和扫描活动,同时集成了一些后门功能。

【参考链接】https://securityaffairs.co/wordpress/115684/cyber-crime/zhtrap-botnet-honeypot.html

  • 网络犯罪分子滥用WSH-RAT

【概述】最近研究人员发现特别具有代表性的攻击活动,利用WSH-RAT套件分析了一条感染链,该套件是在地下出售的完整的远程管理工具,经常被犯罪分子滥用,后者依靠现成的套件进行攻势。

【参考链接】https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/

  • BleachGap勒索软件通过U盘传播

【概述】近期研究人员捕获到一种具备可移动介质传播功能的BleachGap勒索软件。该勒索软件最早出现于2021年2月,目前已迭代多个版本。BleachGap勒索软件具备添加自启动、添加计划任务、改写MBR、使键盘按键失效、通过可移动介质传播等多项功能,采用“AES-256”对称加密算法加密文件,在已知密钥的情况下可快速解密。目前,勒索软件的功能已经不局限于加密文件,开始尝试通过可移动介质的方式横向传播,用户需及时针对此类攻击手段做好有效防范措施。

【参考链接】https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650182226&idx=1&sn=498d62a3072401ee1501ba6836df63db&chksm=beb9316089ceb876e59f608074780f0b359152d47ed76801191d87481d609189dad2c1f3ca8b#rd

  • OVH数据中心火灾影响APT威胁组织

【概述】全球最大的托管服务提供商之一OVH上周遭受火灾,摧毁了其位于斯特拉斯堡的数据中心。卡巴斯基实验室全球研究和分析团队(GReAT)透露,由于C2服务器脱机,各种威胁参与者使用的140台OVH服务器中有36%处于脱机状态,其中包括Charming Kitten、APT39、Bahamut和OceanLotus组织。

【参考链接】https://securityaffairs.co/wordpress/115559/apt/ovh-fire-apt-impact.html

  • DearCry勒索软件

【概述】上周,Microsoft报告称攻击者使用四个零日漏洞来破坏Exchange Mail Server 。尽管Microsoft已发布补丁,但攻击者仍在通过恶意工具、恶意软件和数据泄露攻击易受攻击的Microsoft Exchange Server版本。此外,Microsoft已经确认存在利用这些漏洞的勒索软件变种,该变种被称为DearCry。DearCry勒索软件已经被发现利用Microsoft Exchange Server的ProxyLogon漏洞进行初始访问,针对美国、加拿大和澳大利亚地区的用户。

【参考链接】https://unit42.paloaltonetworks.com/dearcry-ransomware/

  • 新攻击使用伪造图标来传播NanoCore木马

【概述】一个新的恶意垃圾邮件活动正在将NanoCore远程访问木马作为恶意Adobe图标来感染其受害者。NanoCore RAT(也称为Nancrat)自2013年以来一直活跃,该恶意软件旨在窃取PC上的信息,例如密码和电子邮件;它还能够访问、修改和获取PC上任何文件的副本,并激活网络摄像头以监视受害者,并记录击键。

【参考链接】https://www.inforisktoday.com/new-attack-uses-fake-icon-to-deliver-trojan-a-16179

  • 美国运输管理软件公司的敏感数据在线暴露

【概述】美国运输管理软件公司总计103 GB敏感数据遭泄露,这些数据来自基于New Jersy的Descartes Aljex Software ,由于配置错误的AWS S3存储桶而暴露,该存储桶不安全且容易受到入侵。这意味着,即使没有授权的用户也可能仅通过输入正确的URL即可访问存储桶。泄露的数据包括公司员工、销售代表和第三方运营商工作人员的详细个人信息。

【参考链接】https://www.hackread.com/shipping-management-software-firm-data-online/


文章来源: http://blog.nsfocus.net/weekly-20210315/
如有侵权请联系:admin#unsafe.sh