近日,明朝萬達安元實驗室發布了2021年第二期《安全通告》,該份報告收錄了今年2月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
2021/02
巴西最大電力公司遭遇勒索襲擊日期: 2021年02月05日
等級: 高
行業: 電力、熱力、燃氣及水生產和供應業
巴西兩大電力公司CentraisEletricasBrasileiras(Eletrobras)和CompanyhiaParanaensedeEnergia(Copel)遭受勒索軟件攻擊。勒索團隊聲稱竊取了超過1000GB的數據,包括敏感的基礎設施訪問信息以及高層管理人員和客戶的個人詳細信息、網絡地圖、備份方案和時間表、Copel主站點的域區域和intranet域。他們還聲稱獲取了存儲ActiveDirectory(AD)數據的數據庫-NTDS.dit文件,其中包含有關域中所有用戶的用戶對象、組、組成員身份和密碼哈希的信息。
日期: 2021年02月01日
等級: 高
行業: 跨行業事件
安全人員發現了一個新的Trickbot惡意軟件的組件,主要功能為執行本地網絡偵察。該組件名為masrv,它包含了Masscan開源實用程序的一個副本,masrv將組件放到新感染的設備上,發送一系列Masscan命令,讓組件掃描本地網絡,并將掃描結果上傳到Trickbot命令和控制服務器。如果掃描發現內部網絡中有敏感或管理端口未關閉的系統(這在大多數公司中非常常見),則Trickbot團伙可以部署專門利用這些漏洞的其他模塊,并橫向移動以感染新系統。
日期: 2021年02月02日
等級: 高
行業: 跨行業事件
勒索軟件團伙正在濫用VMWareESXi產品中的漏洞,接管部署在企業環境中的虛擬機并加密其虛擬硬盤驅動器。攻擊者使用了VMwareESXi中的兩個漏洞CVE-2019-5544和CVE-2020-3992。如果公司依賴VMWareESXi來管理其虛擬機使用的存儲空間,請務必安裝必要的ESXi修補程序,或者禁用SLP支持以防止攻擊(如果不需要該協議)。
涉及漏洞
– CVE-2019-5544
– CVE-2020-3992
日期: 2021年02月03日
等級: 高
行業: 跨行業事件
涉及組織: google
Chrome和Edge瀏覽器惡意擴展劫持了搜索結果的頁面,并將其用作釣魚網站和廣告。惡意擴展包括:
VideoDownloaderforFacebook,VimeoVideoDownloader,InstagramStoryDownloader,VKUnblock。
谷歌和微軟已經關閉了所有后門瀏覽器加載項,以防止更多用戶從官方商店下載這些加載項。根據該公司收集的遙測數據,感染率最高的三個國家是巴西、烏克蘭和法國,其次是阿根廷、西班牙、俄羅斯和美國。
日期: 2021年02月03日
等級: 高
行業: 跨行業事件
涉及組織: docker, Kubernetes
研究人員發現Hildegard的惡意軟件被TeamTNT威脅組織用來攻擊Kubernetes集群。攻擊者首先通過對配置錯誤的kubelet進行遠程代碼執行攻擊,來獲得初始訪問權限,之后,攻擊者下載并運行一個tmate,以便建立一個反向shell。然后,攻擊者使用masscanInternet端口掃描儀掃描Kubernetes的內部網絡,并找到其他不安全的Kuberets,并部署一個惡意的加密挖掘腳本(xmr.sh)。
攻擊方式
– Hijack Execution Flow
相關安全建議1. 在網絡邊界部署安全設備,如防火墻、IDS、郵件網關等
2. 及時對系統及各個服務組件進行版本升級和補丁更新
3. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
4. 各主機安裝EDR產品,及時檢測威脅
5. 勒索中招后,應及時斷網,并第一時間聯系安全部門或公司進行應急處理
日期: 2021年02月04日
等級: 高
行業: 信息傳輸、軟件和信息技術服務業
涉及組織: Stormshield
法國網絡安全公司Stormshield是法國政府安全服務和網絡安全設備的主要供應商。該公司表示,一名黑客進入其一個客戶支持門戶網站,竊取了客戶的信息。該公司還報告說,攻擊者成功竊取了Stormshield網絡安全(SNS)防火墻的部分源代碼,該產品經認證用于法國政府網絡。
日期: 2021年02月02日
等級: 高
行業: 跨行業事件
ESET研究人員分析了針對高性能計算(HPC)集群的惡意軟件,該惡意軟件可移植到許多操作系統(包括Linux,BSD,Solaris,甚至可能是AIX和Windows)中。該惡意程序通過使用特定TCP源端口,連接到SSH服務器,來遠程確定系統是否可以攻擊。因為它的代碼量很小且有許多技巧,將其命名為Kobalos。
攻擊方式
– Compromise Client Software Binary
– Traffic Signaling
– Indicator Removal on Host
– Encrypted Channel
– Proxy
日期: 2021年02月06日
等級: 高
行業: 信息傳輸、軟件和信息技術服務業
涉及組織: Plex
PlexMedia應用程序與Windows、Linux和macOS操作系統配合使用,通常允許用戶與其他設備共享視頻和其他媒體。NetScout的研究人員認為,攻擊者正在濫用Plex媒體服務器應用程序的某些版本來加強和放大各種DDoS攻擊,大約27000臺Plex媒體服務器容易受到DDOS攻擊。
相關安全建議
1. 做好資產收集整理工作,關閉不必要且有風險的外網端口和服務,及時發現外網問題
2. 及時對系統及各個服務組件進行版本升級和補丁更新
3. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
4. 如果允許,暫時關閉攻擊影響的相關業務,積極對相關系統進行安全維護和更新,將損失降到最小
日期: 2021年02月19日
等級: 高
行業: 科學研究和技術服務業
涉及組織: UL LLC
保險商實驗室(ULLLC)遭到勒索軟件攻擊,黑客對其服務器進行加密,并導致服務器宕機。UL是美國最大、歷史最悠久的安全認證公司,在40多個國家擁有14000名員工和辦事處。UL標志遍布在各電器、筆記本電腦、電視遙控器、燈泡,甚至你的蘋果USB充電器的背面。據消息人士稱,UL決定不支付贖金,而是從備份中恢復系統。
日期: 2021年02月16日
等級: 高
行業: 信息傳輸、軟件和信息技術服務業
涉及組織: google
一個下載超過10億次的Android應用程序–SHAREit,包含未修補的漏洞。SHAREit是一款允許用戶與朋友或個人設備之間共享文件的移動應用程序。攻擊者通過中間人網絡攻擊,可以向SHAREit應用程序發送惡意命令,并劫持其合法功能來運行自定義代碼、覆蓋應用程序的本地文件,或者在用戶不知情的情況下安裝第三方應用程序。
相關安全建議在網絡邊界部署安全設備,如防火墻、IDS、郵件網關等
條件允許的情況下,設置主機訪問白名單
及時對系統及各個服務組件進行版本升級和補丁更新
包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
如果不慎勒索中招,務必及時隔離受害主機、封禁外鏈ip域名并及時聯系應急人員處理
及時備份數據并確保數據安全
各主機安裝EDR產品,及時檢測威脅
日期: 2021年02月17日
等級: 高
行業: 信息傳輸、軟件和信息技術服務業
涉及組織: Singtel
新加坡電信公司Singtel證實,12.9萬名客戶的個人數據被泄露,其中包括他們的身份證號碼以及其他一些數據,包括姓名、出生日期、手機號碼和實際地址。28名前Singtel員工的銀行賬戶信息和一家使用Singtel移動電話的企業客戶的45名員工的信用卡信息也被泄露。此外,包括供應商、合作伙伴和企業客戶在內的23家企業的“部分信息”也遭到泄露。
日期: 2021年02月17日
等級: 高
行業: 制造業
SafetyDetections網絡安全團隊調查顯示,嬰兒監視器存在一個漏洞,這是由于其配置錯誤,可能會導致攻擊者未經授權訪問攝像頭的視頻流。同時,不僅是嬰兒監視器,其它使用RTSP的攝像機(如CCTV攝像機)已受此影響。這使攻擊者能夠接觸到他們孩子、臥室的實時影像。
漏洞描述
Apache Druid 是用Java編寫的面向列的開源分布式數據存儲,旨在快速獲取大量事件數據,并在數據之上提供低延遲查詢。近日,Apache Druid官方發布安全更新,修復了CVE-2021-25646 Apache Druid 遠程代碼執行漏洞。
漏洞評級
CVE-2021-25646 高危
影響版本
Apache Druid < 0.20.1
安全版本
Apache Druid 0.20.1
安全建議
升級至安全版本及其以上。
漏洞描述
SolarWinds Inc. 是一家美國公司,為企業提軟件以幫助管理其網絡,系統和信息技術基礎架構。近日,國外安全研究團隊披露SolarWinds多款產品存在高危漏洞。
CVE-2021-25274 SolarWinds Orion遠程代碼執行漏洞中,遠程攻擊者可在無需認證的情況下通過TCP 1801端口將惡意請求發送進入MSMQ消息隊列,觸發反序列化,造成遠程代碼執行。
CVE-2021-25275 SolarWinds Orion敏感信息泄漏漏洞中,本地攻擊者可在無需特權的情況下直接訪問并控制SolarWinds Orion后端數據庫SOLARWINDS_ORION,導致敏感信息泄漏等。
CVE-2021-25276 SolarWinds Serv-U FTP (Windows)權限設置不當漏洞中,任何經過FTP認證的用戶將具備對C盤的完全控制權限,可以讀取、替換其中的任意文件。
漏洞描述
CVE-2021-25275 高危
CVE-2021-25276 中危
CVE-2021-25276 中危
影響版本
SolarWinds Orion < 2020.2.4
SolarWinds ServU-FTP < 15.2.2 Hotfix 1
安全版本
SolarWinds Orion Platform 2020.2.4
SolarWinds ServU-FTP 15.2.2 Hotfix 1
安全建議
1. 將 SolarWinds 相關軟件升級至安全版本。
2. SolarWinds 為商業軟件,可聯系 swisupport#solarwinds.com 以獲取進一步支持
漏洞描述
SonicWall SSL-VPN 是SonicWall公司旗下的VPN軟件。攻擊者可構造惡意請求,利用SQL注入漏洞獲取當前SonicWall SSL-VPN 登錄的Session,從而登錄進入VPN。
漏洞評級
CVE-2021-20016 高危
影響版本
Sonic SMA < 10.2.0.5-d-29sv
安全版本
Sonic SMA 10.2.0.5-d-29sv
安全建議
升級到最新版本
漏洞描述
微軟官方于2021年2月10日發布安全更新,其中修復了多個高危嚴重漏洞。在CVE-2021-24074 TCP/IP遠程執行代碼漏洞中,攻擊者通過構造并發送惡意的IPv4數據包,從而控制目標主機。在 CVE-2021-24078 Windows DNS Server遠程代碼執行漏洞中,攻擊者通過構造并發送惡意的DNS請求,可以在開啟了DNS服務的Windows Server上執行任意代碼。同時微軟2月補丁中還涉及其他多個高危漏洞。
漏洞評級
CVE-2021-24074 嚴重
CVE-2021-24078 嚴重
影響版本
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server, version 20H2 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
安全建議
前往微軟官方下載相應補丁進行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647
漏洞描述
VMware是一家云基礎架構和移動商務解決方案廠商,提供基于VMware的虛擬化解決方案。2021年2月24日,VMware 官方發布安全公告,披露了多個高危嚴重漏洞:
在 CVE-2021-21972 VMware vCenter Server 遠程代碼漏洞 中,攻擊者可直接通過443端口構造惡意請求,執行任意代碼,控制vCenter。
在 CVE-2021-21974 VMware ESXI 堆溢出漏洞 中,攻擊者可通過427端口構造惡意請求,觸發OpenSLP服務中的堆溢出漏洞,并可能導致遠程代碼執行。
在 CVE-2021-21973 VMware vCenter Server SSRF漏洞 中,攻擊者可通過443端口發送惡意POST請求,發起內網掃描,造成SSRF漏洞。
漏洞評級
CVE-2021-21972 VMware vCenter Server 遠程代碼漏洞 嚴重
CVE-2021-21974 VMware ESXI 堆溢出漏洞 高危
CVE-2021-21973 VMware vCenter Server SSRF漏洞 中危
影響版本
VMware vCenter Server 7.0系列 < 7.0.U1c
VMware vCenter Server 6.7系列 < 6.7.U3l
VMware vCenter Server 6.5系列 < 6.5 U3n
VMware ESXi 7.0系列 < ESXi70U1c-17325551
VMware ESXi 6.7系列 < ESXi670-202102401-SG
VMware ESXi 6.5系列 < ESXi650-202102101-SG
安全版本
VMware vCenter Server 7.0.U1c
VMware vCenter Server 6.7.U3l
VMware vCenter Server 6.5 U3n
VMware ESXi ESXi70U1c-17325551
VMware ESXi ESXi670-202102401-SG
VMware ESXi ESXi650-202102101-SG
安全建議
1、升級VMware vCenter Server 與 VMware ESXi 至最新版本。
2、針對 CVE-2021-21972 VMware vCenter Server 遠程代碼漏洞 與 CVE-2021-21973 VMware vCenter Server SSRF漏洞,可按照 https://kb.vmware.com/s/article/82374 相關措施進行緩解。
3、針對 CVE-2021-21974 VMware ESXI 堆溢出漏洞,可按照 https://kb.vmware.com/s/article/76372 相關措施進行緩解。
漏洞描述
SaltStack是基于Python開發的一套C/S架構配置管理工具。2021年2月26日,SaltStack官方發布安全更新,修復了多個高危漏洞,其中:
在 CVE-2021-25283 SaltAPI 模板注入漏洞中,由于 wheel.pillar_roots.write 存在目錄遍歷,攻擊者可構造惡意請求,造成jinja模板注入,執行任意代碼。
在 CVE-2021-25281 SaltAPI wheel_async未授權訪問漏洞中,攻擊者可構造惡意請求,通過wheel_async調用master的wheel插件。
在 CVE-2021-3197 SaltAPI SSH 命令注入中,由于Salt-API SSH 客戶端過濾不嚴,攻擊者可通過ProxyCommand等參數造成命令執行。
漏洞評級
CVE-2021-25283 高危
CVE-2021-25281 高危
CVE-2021-3197 高危
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
安全版本
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
安全建議
1. 升級至安全版本及其以上,升級前建議做好快照備份措施。安全版本下載地址參考:https://repo.saltstack.com
2. 設置SaltStack為自動更新,及時獲取相應補丁。
