近日,明朝萬達安元實驗室發布了2021年第七期《安全通告》。
該份報告收錄了今年7月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
◆ GitGuardian發布2021年GitHub上數據泄露的分析報告
自2017年以來,GitGuardian一直在掃描在GitHub上公開提交的每一個Secret,并衡量了公共存儲庫中數據泄露的情況。至今有超過5000萬開發人員使用GitHub,一年內有6000萬個新建的存儲庫,提交次數超過20億次。報告指出,公共GitHub中數據泄露的數量同比增長了20%,其中15%的泄露來自于組織的公共存儲庫中,而85%的泄露來自于開發人員的個人存儲庫中。
◆ 黑客在RaidForums出售7億多條LinkedIn用戶的記錄
Privacy Sharks研究人員發現名為“GOD User TomLiner”的黑客正在RaidForums上出售LinkedIn用戶的數據。
該廣告于6月22日發布,聲稱包含7億條記錄,并公開了100萬條樣本作為證據。此次泄露的信息包括發現記錄包括全名、性別、電子郵件地址、電話號碼和行業信息。目前尚不清楚數據的來源是什么,但研究人員推測此次數據泄露與4月份出售的5億條LinkedIn記錄可能是同一來源。
◆ 美國FINRA警告偽裝成FINRA Support的釣魚攻擊活動
FINRA是政府授權的非營利組織,負責監管在美國公開活動的所有交易所市場和證券公司,每天分析數十億個市場交易。這些郵件聲稱來自“FINRA SUPPORT”,地址為“[email protected]”。該郵件要求收件人注意下面所附的報告并立即回復,還指出附件包含更新的公共政策信息,但這些電子郵件可能根本沒有附件。早在今年3月和6月初,FINRA還警告了偽造成“FINRA合規審計”和以懲罰為誘餌的兩次釣魚活動。
◆ 微軟稱其遭到SolarWinds攻擊背后團伙Nobelium的入侵
Nobelium是俄羅斯國家資助的黑客組織,與SolarWinds供應鏈攻擊有關,微軟表示該黑客組織一直在進行密碼噴灑攻擊和暴力攻擊,以獲取對公司網絡的訪問權限。通過調查,微軟在其客戶支持代理的計算機上檢測到一個信息竊取木馬,竊取了部分客戶的個人信息,而Nobelium將使用這些信息對微軟的客戶進行有針對性的網絡釣魚攻擊。
◆ 微軟發布安全更新,修復Edge瀏覽器中的多個漏洞
微軟發布安全更新,修復了Edge瀏覽器中的2個漏洞。其中較為嚴重的是安全繞過漏洞(CVE-2021-34506),使用Edge瀏覽器內置的Microsoft Translator功能自動翻譯網頁時觸發的跨站點腳本(UXSS)漏洞導致的,可以用來在網站上遠程執行任意代碼。研究人員稱該漏洞的復雜性很低,攻擊者可以在不需要任何權限的情況下實現。此次修復的另一個漏洞為特權提升漏洞(CVE-2021-34475)。
◆ 美國保險公司AJG稱其遭到勒索軟件攻擊,客戶信息泄露
美國Arthur J. Gallagher (AJG) 稱其遭到勒索軟件攻擊,客戶信息泄露。
AJG是美國的全球保險經紀和風險管理公司,作為全球最大的保險經紀商之一,業務遍及49個國家/地區。攻擊發生在2020年6月3日至2020年9月26日期間,其在2020年9月28日披露該事件并稱沒有數據泄露。但在隨后的調查發現,7376人的敏感信息泄露,包括社會安全號碼或稅號、駕照、護照、出生日期、用戶名和密碼、員工識別號、財務賬戶或信用卡信息、電子簽名、醫療信息、保險信息以及生物識別信息等。
◆ Mint Mobile稱其發生數據泄露,且部分客戶被轉網
Mint Mobile稱近期發生數據泄露事件,且部分客戶被轉到另一家運營商的網絡下。攻擊發生在6月8日至10日之間,有未經授權的攻擊者訪問了Mint Mobile用戶的信息,包括通話記錄、姓名、地址、賬單金額、國際電話詳細信息信息、電子郵件和密碼等。早在1月份,USCellular也經歷了一次類似的攻擊,攻擊者誘使運營商員工下載可以遠程訪問公司設備的軟件,然后通過客戶關系管理 (CRM) 軟件訪問用戶的個人信息并轉網。
◆ ZeroX團伙在暗網出售石油公司沙特阿美1TB的數據
本月,一個名為ZeroX的黑客團伙在暗網以500萬美元的價格出售沙特阿美公司1TB的數據。
沙特阿拉伯石油公司簡稱沙特阿美(Saudi Aramco),是世界上最大的公共石油和天然氣公司之一,擁有超過66000名員工,年收入近2300億美元。ZeroX稱這些數據是在2020年通過入侵沙特阿美的網絡及服務器獲得的,其中最早的可追溯到1993年。此次泄露的數據包括14254名員工的完整信息、各種系統的項目規范;內部分析報告、協議、信函、定價表;Scada點、Wi-Fi、IP攝像機和IoT設備的網絡布局;Aramco客戶名單、發票和合同等。
網絡安全最新漏洞追蹤
◆ Windows Print Spooler遠程代碼執行0day漏洞預警 (CVE-2021-34527)
近日,微軟官方發布Windows Print Spooler遠程代碼執行0day漏洞(CVE-2021-34527)安全公告,代號PrintNightmare,該漏洞與6月份官方披露的Windows Print Spooler遠程代碼執行漏洞(CVE-2021-1675)類似但不完全相同。攻擊者利用漏洞可繞過RpcAddPrinterDriverEx的安全驗證,并在打印服務器中安裝惡意的驅動程序,如果攻擊者所控制的用戶在域中,則攻擊者可以連接到DC中的Spooler服務,并利用該漏洞在DC中安裝惡意的驅動程序,完全的控制整個域環境。目前Exp已擴散,風險較高。
Windows Print Spooler是Windows的打印機后臺處理程序,廣泛運用于各種內網中。華為云提醒使用Windows Print Spooler的用戶及時安排自檢并做好安全加固以降低安全風險。
威脅級別:嚴重
(說明:威脅級別共四級:一般、重要、嚴重、緊急)
影響版本:
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
安全建議:
1、微軟官方已發布修復補丁,受影響用戶可通過官方發布的補丁進行修復,補丁下載地址:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
2、若無法及時安裝補丁,可通過以下官方提供的方法進行排查和緩解:
檢查Print Spooler 服務是否運行(以域管理員身份運行)
Get-Service -Name Spooler
如果Print Spooler服務正在運行或者未被禁用,可選擇以下方法進行操作(二選一):
方法1、禁用Print Spooler 服務,在powershell中運行如下命令
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
方法2、通過配置組策略禁用入站遠程打印。
在組策略編輯器(gpedit.msc)中依次找到管理模板--->打印機,將“允許打印后臺處理程序接受客戶端連接”設置為禁用。
為確保數據安全,建議重要業務數據進行異地備份。
注:修復漏洞前請將資料備份,并進行充分測試。
◆ Kaseya VSA 遠程代碼執行漏洞預警 (CVE-2021-30116)
近日,華為云關注到Kaseya官方發布安全公告,披露Kaseya VSA 遠程代碼執行漏洞(CVE-2021-30116)。遠程攻擊者利用該漏洞可實現SQL注入、VSA身份驗證繞過、惡意文件上傳,最終達到無需身份驗證即可控制VSA管理端。根據Kaseya官方的披露,目前已經有REvil等惡意軟件正在利用VSA漏洞進行勒索攻擊。
Kaseya VSA是一款企業用于集中IT管理的軟件。華為云提醒使用Kaseya VSA的用戶及時安排自檢并做好安全加固以降低安全風險。
參考鏈接:
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa
威脅級別:嚴重
影響版本:
Kaseya VSA 全版本
安全建議
目前官方暫未發布補丁修改該漏洞,受影響的用戶可參考以下步驟進行緩解:
1、斷開本地VSA服務器的網絡連接,并保持設備的離線。
2、使用官方提供的Kaseya VSA 檢測工具,對VSA受控的下屬設備進行檢測,下載鏈接:https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
注:修復漏洞前請將資料備份,并進行充分測試。
◆ YAPI遠程代碼執行漏洞預警
近日,華為云安全運營中心監測到多起外部攻擊者利用YAPI遠程代碼執行漏洞進行攻擊入侵的事件,并且有上升趨勢。漏洞由于YAPI使用的mock腳本自定義服務未對JS腳本進行過濾,導致攻擊者可以在腳本中注入惡意命令,實現遠程代碼執行。目前業界已存在在野攻擊利用,風險較高。
YAPI 是高效、易用、功能強大的api 管理平臺。華為云提醒使用YAPI的用戶盡快安排自檢并做好安全加固以降低安全風險。
參考鏈接:https://github.com/YMFE/yapi/issues/2233
威脅級別:嚴重
影響版本:
YAPI所有版本
安全建議
目前官方暫未發布補丁修改該漏洞,受影響的用戶可參考以下措施進行緩解:
1.華為云WAF可以防御該漏洞攻擊。華為云WAF用戶將“Web基礎防護”狀態設置為“攔截”模式,具體方法請參見配置Web基礎防護規則。
2.關閉 YAPI 用戶注冊功能,參考:如何禁止注冊;
3.檢查、刪除已注冊的惡意用戶;
4.檢查、刪除惡意mock腳本;
5.服務器回滾快照;
6.如無必要,禁止將 YAPI服務器對外網開放訪問或僅對可信IP開放。
注:修復漏洞前請將資料備份,并進行充分測試。
◆ 微軟7月份月度安全漏洞預警
近日,微軟發布2021年7月份安全補丁更新,共披露了117個安全漏洞,其中13個漏洞標記為嚴重漏洞。攻擊者利用漏洞可實現遠程代碼執行、權限提升、敏感信息泄露等。受影響的應用包括:Microsoft Windows、Windows Server 、Defender、Exchange等組件。華為云提醒用戶及時安排自檢并做好安全加固以降低安全風險。
微軟官方說明:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul
本月用戶需關注已出現在野攻擊利用的4個0day漏洞,及時升級補丁避免遭受攻擊:
CVE-2021-34527 - Windows Print Spooler 遠程代碼執行漏洞
CVE-2021-33771- Windows 內核提權漏洞
CVE-2021-34448-腳本引擎內存損壞漏洞
CVE-2021-31979- Windows 內核提權漏洞
漏洞級別:嚴重
影響范圍:
Microsoft Windows、Windows Server 、Defender、Exchange等產品。
· 重要漏洞說明詳情
安全建議
1、可通過Windows Update自動更新微軟補丁修復漏洞,也可以手動下載補丁,補丁下載地址:
https://msrc.microsoft.com/update-guide
2、為確保數據安全,建議重要業務數據進行異地備份。
注意:修復漏洞前請將資料備份,并進行充分測試。
◆ Oracle WebLogic遠程代碼執行漏洞預警
近日,華為云關注到Oracle官方發布了2021年第三季度安全補丁更新公告,披露了多款旗下產品的安全漏洞,其中包括7個Weblogic相關漏洞(CVE-2021-2394,CVE-2021-2397,CVE-2021-2382,CVE-2021-2378,CVE-2021-2376,CVE-2015-0254,CVE-2021-2403),其中CVE-2021-2394,CVE-2021-2397,CVE-2021-2382高危漏洞和IIOP、T3協議有關,攻擊者通過發送構造惡意的請求可實現遠程代碼執行。
華為云提醒使用Weblogic及Oracle相關產品的用戶及時安排自檢并做好安全加固。
參考鏈接:Oracle Critical Patch Update Advisory - July 2021
本次Oracle季度安全更新共涉及342個安全漏洞,除Oracle Weblogic外,還包括Oracle WebCenter Portal、Oracle BI Publisher 、Oracle Data Integrator等產品,具體漏洞信息請參考官方鏈接。
漏洞級別:嚴重
· Weblogic漏洞說明詳情
漏洞影響范圍
Oracle Weblogic、Oracle WebCenter Portal、Oracle BI Publisher 、 Oracle Data Integrator等產品。
安全建議
官方已發布安全補丁更新,需用戶持有正版軟件的許可賬號,登陸https://support.oracle.com后,下載最新補丁。
若無法及時更新的用戶,可根據Oracle官方提供的修復建議通過取消攻擊所需的網絡協議或權限進行緩解。
Weblogic高危漏洞(CVE-2021-2394、CVE-2021-2397、CVE-2021-2382)可通過禁用T3、IIOP協議來對漏洞進行緩解。
注意:修復漏洞前請將資料備份,并進行充分測試。
◆ Jira Data Center等多個產品遠程代碼執行漏洞預警(CVE-2020-36239)
近日,華為云關注到Atlassian官方發布安全公告,披露旗下Jira Data Center、Jira Service Management Data Center等多個產品存在遠程代碼執行漏洞(CVE-2020-36239)。這些產品在40001等默認端口開放了Ehcache RMI 網絡服務,由于缺少身份驗證,攻擊者可以通過反序列化在Jira中實現任意代碼執行。
Jira是一個缺陷跟蹤管理系統,為針對缺陷管理、任務追蹤和項目管理的商業性應用軟件。華為云提醒使用Jira的用戶及時安排自檢并做好安全加固。
參考鏈接:Jira Data Center And Jira Service Management Data Center Security Advisory 2021-07-21
威脅級別:嚴重
影響版本:
Jira Data Center, Jira Core Data Center, Jira Software Data Center- ranges
6.3.0 <= version < 8.5.16
8.6.0 <= version < 8.13.8
8.14.0 <= version < 8.17.0
Jira Service Management Data Center – ranges
2.0.2 <= version < 4.5.16
4.6.0 <= version < 4.13.8
4.14.0 <= version < 4.17.0
安全版本:
Jira Data Center, Jira Core Data Center, Jira Software Data Center
Version 8.5.16 for 8.5.x LTS
Version 8.13.8 for 8.13.x LTS
Version 8.17.0
Jira Service Management Data Center
Version 4.5.16 for 4.5.x LTS
Version 4.13.8 for 4.13.x LTS
Version 4.17.0
安全建議
1、目前官方已在高版本中修復了該漏洞,請受影響的用戶升級至安全版本。
2、無法及時升級的用戶可根據Atlassian官方提供的建議,通過防火墻或類似的技術限制對Ehcache RMI服務端口的訪問。
注:修復漏洞前請將資料備份,并進行充分測試
