近日,明朝萬達安元實驗室發布了2021年第九期《安全通告》。
該份報告收錄了今年9月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
01 網絡安全前沿新聞
Microsoft發布近期旨在竊取憑據的釣魚活動的警報
Microsoft 365 Defender威脅情報團隊在8月26日發布近期旨在竊取憑據的釣魚活動的警報。研究人員稱,該活動利用電子郵件通信中的開放重定向鏈接作為載體,誘使用戶訪問惡意網站,同時繞過安全檢測軟件。微軟表示它已經發現了至少350個網絡釣魚URL,并且它們均使用了令人信服的誘餌和精心設計的檢測繞過技術。這不僅顯示了此次攻擊的規模,還表明了攻擊者巨大的投入。
NFIB稱2021年H1英國因網絡犯罪損失高達13億英鎊
來自英國國家欺詐情報局(NFIB)的數據表明,2021年H1英國因網絡犯罪損失高達13億英鎊。個人和組織在今年上半年因網絡犯罪和欺詐而損失的資金是2020上半年(4.147億英鎊)的三倍。2020年H1只有39160案件,而2021年H1多達289437起。研究人員稱,政府應采取更多措施來教育個人有關網絡釣魚的風險和網絡安全的重要性,而組織應該盡力降低遠程工作的風險。
CNNIC發布第48次《中國互聯網絡發展狀況統計報告》
中國互聯網絡信息中心(CNNIC)于8月27日在京發布第48次《中國互聯網絡發展狀況統計報告》。報告顯示,截至今年6月,中國網民規模達10.11億,較2020年12月增長2175萬,互聯網普及率達71.6%;互聯網基礎資源加速建設,截至6月,中國IPv6地址數量達62023塊/32;中國農村網民規模為2.97億,農村地區互聯網普及率為59.2%,較2020年12月,城鄉互聯網普及率差異縮小4.8%。
新西蘭互聯網運營商Vocus遭到大規模DDoS攻擊
新西蘭第三大互聯網運營商Vocus ISP稱其在9月3日遭到大規模DDoS攻擊,導致服務中斷了約30分鐘。Vocus在澳大利亞和新西蘭提供零售、批發和企業電信服務。該公司稱,由于目前全國大部分地區都在遠程辦公,因此此次攻擊對客戶產生了重大影響。之后,該公司迅速恢復了運營,并對給客戶帶來的不便表示歉意。
原文鏈接:https://www.reuters.com/technology/widespread-internet-outages-hits-users-across-new-zealand-2021-09-03/。
FortiGuard發布2021年H1全球威脅態勢的分析報告
FortiGuard于8月份發布了2021年H1全球威脅態勢的分析報告。報告指出,2021年6月平均每周勒索軟件活動比一年前同期高出10.7倍。其中,電信行業是攻擊者的首要的目標,其次是政府、托管安全服務提供商、汽車和制造行業。僵尸網絡也有所增加,今年年初在35%的組織中檢測到了僵尸網絡活動,而這一比例在6個月后增加為51%。此外,攻擊者更青睞于檢測繞過技術和提權技術。
研究人員發現REvil團伙的數據泄露網站再度上線
研究人員發現REvil團伙的數據泄露網站(也稱為 Happy Blog)在9月7日重新上線。7月2日,REvil利用Kaseya VSA中的漏洞攻擊了大約60家MSP及其1500多個客戶,并勒索7000萬美元。之后,該組織引起了執法部門的注意,并在7月13關閉了所有的Tor服務器和基礎設施。尚不清楚此次支付和數據泄露網站的重新上線,是否代表著該團伙要開始復出。
勒索攻擊導致南非多個政府部門的IT系統中斷
9月6日晚上的勒索攻擊活動導致南非多個政府部門的IT系統中斷,包括電子郵件系統和國家保釋服務的系統。DOJCD官員在上周四(9月9日)透露,攻擊活動加密了該部門所有的信息系統,使得內部的員工和外部的公民均無法使用。此外,司法部官員表示,他們不得不啟動了手動流程來維持法庭的正常活動,但并未指明此次攻擊背后的勒索運營團伙。上周一,南非國家航天局 (SANSA)曾披露其系統存在安全漏洞,導致學生個人信息泄露。
Kaspersky發布2021年上半年ICS威脅態勢的報告
Kaspersky在9月9日發布了2021年上半年ICS威脅態勢的報告。報告指出,2021年上半年ICS計算機被攻擊的占比為8%,比2020年下半年高0.4個百分點。其中,被攻擊的ICS計算機占比最多的國家為阿爾及利亞(58.4%),其次為摩洛哥(52.4%) 、伊拉克(50.9%)和越南(50.6%)。此外,互聯網、可移動媒體和電子郵件仍然是ICS計算機威脅的主要來源。
02 網絡安全最新漏洞追蹤
Cisco Enterprise NFVIS身份驗證繞過漏洞 (CVE-2021-34746)
漏洞詳情
2021年9月1日,Cisco發布安全公告,修復了其企業 NFV 基礎設施軟件 (NFVIS) 的 TACACS+認證、授權和計費 (AAA) 功能中的一個身份驗證繞過漏洞(CVE-2021-34746),該漏洞的CVSSv3評分為9.8。
由于對傳遞給認證腳本的用戶輸入的驗證不完整,遠程攻擊者可以通過在認證請求中注入參數來利用此漏洞。成功利用此漏洞的攻擊者可以繞過認證,并以管理員身份登錄受影響的設備。
思科產品安全事件響應團隊表示,已有適用于此漏洞的PoC/EXP,目前暫未發現惡意利用。
影響范圍
如果配置了TACACS外部認證方法,此漏洞會影響Cisco Enterprise NFVIS 版本4.5.1。
注:僅使用RADIUS或本地認證的配置不受影響。
安全建議
目前Cisco已經修復了此漏洞,建議受影響用戶及時升級更新到Cisco Enterprise NFVIS 版本 4.6.1 或更高版本。
下載鏈接:
https://software.cisco.com/download/home
確定是否啟用TACACS外部認證
1、要確定設備上是否啟用了 TACACS 外部認證功能,請使用 show running-config tacacs-server 命令。以下示例顯示了當TACACS外部認證被啟用時,Cisco Enterprise NFVIS上show running-config tacacs-server命令的輸出:
nfvis# show running-config tacacs-server
tacacs-server host 192.168.1.1
key 0
shared-secret "example!23"
admin-priv 15
oper-priv 1
!
nfvis#
如果show running-config tacacs-server 命令的輸出為No entries found,則未啟用 TACACS 外部認證功能。
2、通過GUI檢查配置。選擇配置 > 主機 > 安全 > 用戶和角色。如果在外部認證下定義了TACACS+主機,那么該設備容易受到此漏洞的影響。
BrakTooth:藍牙堆棧多個安全漏洞
漏洞概述
2021年9月2日,研究人員公開披露了商業藍牙堆棧中統稱為BrakTooth的多個安全漏洞,這些漏洞涉及英特爾、高通、德州儀器和賽普拉斯在內的十多家 SoC 供應商的 13 款藍牙芯片組,使得全球數十億臺設備容易受到拒絕服務和任意代碼執行的攻擊風險。
漏洞詳情
研究人員發現,這些漏洞至少存在于1,400 個嵌入式芯片組件使用的封閉商業 BT 堆棧中,甚至還可能影響了BT系統芯片(SoC)、BT模塊或其它BT終端產品。受影響的產品包括智能手機、信息娛樂系統、筆記本電腦和臺式機系統、音頻設備(揚聲器、耳機)、家庭娛樂系統、鍵盤、玩具和工業設備(如可編程邏輯控制器 - PLC)等類型的設備。受影響的產品列表總數如下所示:
到目前為止,已經有20個漏洞分配了CVE編號,有4個漏洞正在等待英特爾和高通為其分配 CVE。BrakTooth漏洞列表如下:
研究人員發現了漏洞的三種主要攻擊場景,其中最嚴重的漏洞會導致物聯網 (IoT) 設備上的任意代碼執行。
l 智能家居設備的任意代碼執行
BrakTooth漏洞中,最嚴重的漏洞為CVE-2021-28139,影響了樂鑫ESP32 SoC,這是一系列低成本、低功耗的 SoC 微控制器,集成了 Wi-Fi 和雙模藍牙,常用于工業自動化、智能家居設備、個人健身小工具等物聯網設備中。由于ESP32 BT庫中缺乏越界檢查,導致攻擊者可以在擴展功能頁表的范圍之外注入8個字節的任意數據。
l 筆記本電腦和智能手機中的DoS
研究人員發現英特爾的 AX200 SoC 和高通的 WCN3990 SoC 上運行的設備在收到格式錯誤數據包時容易觸發 DoS。
l BT音頻產品崩潰
各種 BT音箱容易受到一系列漏洞的影響(CVE-2021-31609和CVE-2021-31612-發送超大的LMP數據包時失敗;CVE-2021-31613-截斷的數據包;CVE-2021-31611-啟動程序失敗;以及CVE-2021-28135、CVE-2021-28155和CVE-2021-31717-功能響應泛濫)。成功利用這些漏洞可導致程序崩潰,用戶需手動打開無響應的設備。
目前Espressif(樂鑫)、Infineon (Cypress)(英飛凌(賽普拉斯)和Bluetrum Technology(藍訊科技)已發布補丁修復其產品中的漏洞,但Intel(英特爾)、Qualcomm(高通)和Zhuhai Jieli Technology(珠海杰利科技)正在調查漏洞或開發補丁。
此外,研究人員已經為生產 BT SoC、模塊和產品的供應商發布了 BrakTooth 漏洞的PoC ,以供其檢查設備中的漏洞。
影響范圍
受影響的廠商、芯片組和設備:
安全建議
目前部分供應商已經修復了其產品中的漏洞,部分供應商正在開發補丁,但德州儀器(Texas Instruments)拒絕修復漏洞。建議受影響用戶參考廠商發布的補丁及時更新。
BrakTooth PoC 下載鏈接:
https://docs.google.com/forms/d/e/1FAIpQLSdYGKfZrImQfGMM9JWUNldtsjTKfBDia8eg0bCJX__UPNsD4A/viewform
tar & @npmcli/arborist 9月多個安全漏洞
漏洞概述
2021年9月8日,GitHub安全團隊公開披露了在npm CLI 使用的 npm 包tar和@npmcli/arborist中發現的7個安全漏洞,攻擊者可以利用這些漏洞覆蓋任意文件、創建任意文件或執行任意代碼。
漏洞詳情
tar是npm的一個核心依賴,用于提取和安裝npm包。@npmcli/arborist是npm CLI的一個核心依賴項,用于管理node_modules樹。
當tar被用來提取不受信任的tar文件或當npm CLI在某些文件系統條件下被用來安裝不受信任的npm包時,這些漏洞可能會由于文件覆蓋或創建而導致任意代碼執行。本次披露的7個漏洞如下:
l CVE-2021-32803:由于目錄緩存中毒,可以通過不充分的符號鏈接保護來實現任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.1/8.2。
l CVE-2021-32804:由于絕對路徑清理不足而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.1/8.2。
l CVE-2021-37701:由于使用符號鏈接的目錄緩存中毒,導致符號鏈接保護不足,從而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.2。
l CVE-2021-37712:由于使用符號鏈接的目錄緩存中毒,導致符號鏈接保護不足,從而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.2。
l CVE-2021-37713:通過不充分的相對路徑清理在Windows上創建/覆蓋任意文件,該漏洞的CVSSv3評分為8.2。
l CVE-2021-39134:@npmcli/arborist中的UNIX符號鏈接(Symlink),該漏洞的CVSSv3評分為7.8/8.2。
l CVE-2021-39135:@npmcli/arborist中的UNIX符號鏈接(Symlink),該漏洞的CVSSv3評分為7.8/8.2。
在處理惡意或不受信任的npm包安裝,CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135會影響npm CLI,其中一些漏洞可能會導致任意代碼執行。
影響范圍
安全建議
目前這些漏洞已經修復,建議及時升級更新。
l 如果直接安裝或打包npm CLI,請更新npm CLI 到6.14.15、7.21.0 或更高版本。(只有CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135影響npm CLI)。
l 如果依賴 Node.js 進行 npm 安裝,請更新到最新版本的 Node.js v12.22.6、v14.17.6 、v16.8.0 (截至2021 年 8 月 31 日)或更高版本,它們包含CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135 的補丁。
l 如果項目依賴于tar:將依賴項更新到 4.4.19、5.0.11、6.1.10 或更高版本。(詳見CVE-2021-32804、CVE-2021-32803、CVE-2021-37701、CVE-2021-37712和CVE-2021-37713鏈接。)
l tar的v3分支已經被廢棄,建議更新到v6。
下載鏈接:
https://github.com/npm/cli/
Microsoft 9月多個安全漏洞
漏洞概述
2021年9月14日,Microsoft發布了9月份的安全更新,本次發布的安全更新修復了包括2個0 day漏洞在內的60個安全漏洞(包括Microsoft Edge 為86個漏洞),其中有3個漏洞評級為嚴重,56個漏洞評級為高危,1個漏洞評級為中危。
漏洞詳情
本次發布的安全更新涉及Azure、Microsoft Edge、Microsoft Office、Microsoft Windows DNS、Visual Studio、Windows Installer、Windows SMB、Windows Kernel和Windows Update等多個產品和組件。
在86個漏洞中(包括Microsoft Edge),27個為權限提升漏洞,2個為安全功能繞過漏洞,16個為遠程代碼執行漏洞,11個為信息泄露漏洞,1個為拒絕服務漏洞,以及8個欺騙漏洞。
Microsoft本次修復的2個0 day漏洞包括:
l Windows DNS 權限提升漏洞(CVE-2021-36968)
該漏洞的CVSSv3評分為7.8,攻擊復雜度和所需權限低,且無需用戶交互即可被本地利用。目前此漏洞已公開披露,但未被積極利用。
l Microsoft MSHTML 遠程代碼執行漏洞(CVE-2021-40444)
該漏洞為MSHTML (Internet Explorer 和 Office 使用的組件) 中影響Microsoft Windows 的遠程代碼執行漏洞,該漏洞已檢測到在野利用,目前已被修復。Microsoft已于9月7日提前發布公告,詳情請參考Microsoft官方公告或VSRC發布的安全通告。
3個評級為嚴重的漏洞包括:
l Azure Open Management Infrastructure遠程代碼執行漏洞(CVE-2021-38647)
該漏洞的CVSSv3評分為9.8,無需用戶交互即可遠程利用。Microsoft的可利用性評估將其評估為不太可能被利用。
l Windows 腳本引擎內存損壞漏洞(CVE-2021-26435)
該漏洞可導致Windows 腳本引擎中的遠程代碼執行,但利用此漏洞需要攻擊者誘使用戶單擊鏈接,然后打開惡意文件,該漏洞的CVSSv3 評分為8.8。
l Windows WLAN AutoConfig 服務遠程代碼執行漏洞(CVE-2021-36965)
該漏洞無需用戶交互,且攻擊復雜度低,其CVSSv3評分為 8.8。
此外,本次修復的關鍵漏洞(應優先修復)還包括:
l Windows Common Log File System Driver權限提升漏洞(CVE-2021-38633、 CVE-2021-36963)
這2個漏洞的CVSSv3評分均為 7.8,且無需用戶交互即可被本地利用,攻擊者可以利用這些漏洞來提升權限并更改目標系統。Microsoft的可利用性評估將這2個漏洞評估為更有可能被利用。
l Windows Print Spooler 權限提升漏洞(CVE-2021-38671)
該漏洞的CVSSv3評分為 7.8,無需用戶交互即可被本地利用。Microsoft的可利用性評估將其評估為更有可能被利用。
安全建議
目前Microsoft已發布相關安全更新,鑒于漏洞的嚴重性,建議受影響的用戶盡快修復。
(一) Windows update更新
自動更新:
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。
手動更新:
1、點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”
2、選擇“更新和安全”,進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)
3、選擇“檢查更新”,等待系統將自動檢查并下載可用更新。
4、重啟計算機,安裝更新系統重新啟動后,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
下載鏈接:
https://msrc.microsoft.com/update-guide/vulnerability
VMware vCenter Server 文件上傳漏洞(CVE-2021-22005)
漏洞詳情
2021年9月21日,VMware發布安全公告,公開披露了vCenter Server中的19個安全漏洞,這些漏洞的CVSSv3評分范圍為4.3-9.8。
其中,最為嚴重的漏洞為vCenter Server 中的任意文件上傳漏洞(CVE-2021-22005),該漏洞存在于vCenter Server的分析服務中,其CVSSv3評分為 9.8。能夠網絡訪問vCenter Server 上的 443 端口的攻擊者可以通過上傳惡意文件在 vCenter Server 上遠程執行代碼。該漏洞無需經過身份驗證即可遠程利用,攻擊復雜度低,且無需用戶交互。
根據Shodan的搜索結果,數以千計的vCenter Server可通過互聯網訪問并受到攻擊 。目前已經檢測到攻擊者正在掃描和攻擊存在漏洞的VMware vCenter 服務器。
除CVE-2021-22005之外,VMware還修復了vCenter Server中的其它18個安全漏洞:
l CVE-2021-21991:vCenter Server 本地提權漏洞(CVSSv3評分8.8)
l CVE-2021-22006:vCenter Server 反向代理繞過漏洞(CVSSv3評分8.3)
l CVE-2021-22011:vCenter Server未經身份驗證的 API 端點漏洞(CVSSv3評分8.1)
l CVE-2021-22015:vCenter Server 本地提權漏洞(CVSSv3評分7.8)
l CVE-2021-22012:vCenter Server 未經身份驗證的 API 信息泄露漏洞(CVSSv3評分7.5)
l CVE-2021-22013:vCenter Server 路徑遍歷漏洞(CVSSv3評分7.5)
l CVE-2021-22016:vCenter Server 反射型 XSS 漏洞(CVSSv3評分7.5)
l CVE-2021-22017:vCenter Server rhttpproxy 繞過漏洞(CVSSv3評分7.3)
l CVE-2021-22014:vCenter Server 身份驗證代碼執行漏洞(CVSSv3評分7.2)
l CVE-2021-22018:vCenter Server 文件刪除漏洞(CVSSv3評分6.5)
l CVE-2021-21992:vCenter Server XML 解析拒絕服務漏洞(CVSSv3評分6.5)
l CVE-2021-22007:vCenter Server 本地信息泄露漏洞(CVSSv3評分5.5)
l CVE-2021-22019:vCenter Server 拒絕服務漏洞(CVSSv3評分5.3)
l CVE-2021-22009:vCenter Server VAPI 拒絕服務漏洞(CVSSv3評分5.3)
l CVE-2021-22010:vCenter Server VPXD 拒絕服務漏洞(CVSSv3評分5.3)
l CVE-2021-22008:vCenter Server 信息泄露漏洞(CVSSv3評分5.3)
l CVE-2021-22020:vCenter Server Analytics 服務拒絕服務漏洞(CVSSv3評分5.0)
l CVE-2021-21993:vCenter Server SSRF 漏洞(CVSSv3評分4.3)
影響范圍
CVE-2021-22005:
VMware vCenter Server 7.0
VMware vCenter Server 6.7
注:CVE-2021-22005會影響所有默認配置的 vCenter Server 6.7 和 7.0 部署,不會影響 vCenter Server 6.5。其它18個漏洞的影響范圍請參見VMware官方公告。
安全建議
目前VMware已經發布了相關漏洞的補丁,建議受影響的用戶參考VMware官方公告及時升級更新。
下載鏈接:
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
SonicWall SMA 100系列任意文件刪除漏洞(CVE-2021-20034)
漏洞詳情
2021年9月24日,SonicWall發布安全公告,修復了SMA 100 系列設備(包括 SMA 200、210、400、410 和 500v)中的一個任意文件刪除漏洞(CVE-2021-20034),該漏洞的CVSSv3評分為9.1。
由于對文件路徑限制不當,未經身份驗證的遠程攻擊者可以繞過路徑遍歷檢查并從SMA 100系列設備上刪除任意文件,最終攻擊者能夠獲得對該設備的管理員權限,或導致設備重新啟動到出廠默認設置。
安全建議
目前該漏洞已經修復,建議受影響的用戶及時升級更新到修復版本。
下載鏈接:
https://mysonicwall.com/
