首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第15周

發布時間 2020-04-14

> 本周安全態勢綜述


2020年04月06日至12日共收錄安全漏洞55個,值得關注的是Broadcom Advanced Secure Gateway/ProxySG未授權訪問漏洞; Linux kernel drivers/input/input.c越界寫漏洞;OpsRamp Gateway默認編碼漏洞;Synergy Systems & Solutions HUSKY RTU 6049-E70 telnet驗證繞過漏洞;SolarWinds Dameware ECDH key交換緩沖區溢出漏洞。


本周值得關注的網絡安全事件是FireEye發布最近數年0day利用情況的分析報告;FIN6及運營TrickBot的團伙聯合的攻擊活動;尼泊爾ISP Vianet遭黑客入侵,170萬客戶數據泄露;俄羅斯電信公司Rostelecom劫持多個企業的互聯網流量;微軟發布Emotet攻擊Fabrikam公司的案例研究報告。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. Broadcom Advanced Secure Gateway/ProxySG未授權訪問漏洞


Broadcom Advanced Secure Gateway/ProxySG控制臺存在會話劫持問題,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問管理接口。

https://support.broadcom.com/security-advisory/security-advisory-detail.html?notificationId=SYMSA1752


2. Linux kernel drivers/input/input.c越界寫漏洞


Linux kernel drivers/input/input.c存在越界寫漏洞,允許本地攻擊者可以利用漏洞提交特殊的請求,通過特助的keycode表觸發,提升權限。

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cb222aed03d798fc074be55e59d9a112338ee784


3. OpsRamp Gateway默認編碼漏洞


OpsRamp Gateway存在密碼為password 9vt@f3Vt的管理員賬戶,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問系統。

https://www.criticalstart.com/hard-coded-administrator-password-discovered-in-opsramp/


4. Synergy Systems & Solutions HUSKY RTU 6049-E70 telnet驗證繞過漏洞


Synergy Systems & Solutions HUSKY RTU 6049-E70 telnet服務不需要驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問。

https://www.us-cert.gov/ics/advisories/icsa-20-042-01


5. SolarWinds Dameware ECDH key交換緩沖區溢出漏洞


SolarWinds Dameware ECDH key交換處理'SigPubkeyLen'存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或可執行任意代碼。

https://www.tenable.com/security/research/tra-2020-19



> 重要安全事件綜述



1、FireEye發布最近數年0day利用情況的分析報告




FireEye Mandiant威脅情報團隊記錄的2019年0day利用量比前三年中的任何一年都要多。盡管并不能將每一個0day利用都歸因到特定的攻擊者,但研究人員注意到越來越多的攻擊者獲得了0day利用的能力。FireEye認為,這種激增至少部分是由于不斷發展的雇傭黑客行業發展起來的,這些行業開發0day利用工具并將其出售給世界各地的情報機構。攻擊者與0day利用之間的最大障礙不是技能,而是現金。具體來說,FireEye指出NSO Group、Gamma Group和Hacking Team是這類承包商,這些承包商使一批新的國家/地區能夠購買0day利用。


原文鏈接:

https://www.fireeye.com/blog/threat-research/2020/04/zero-day-exploitation-demonstrates-access-to-money-not-skill.html


2、FIN6及運營TrickBot的團伙聯合的攻擊活動



IBM X-Force研究人員表示,在最近的網絡攻擊中發現了FIN6的痕跡,這些攻擊活動最初利用TrickBot木馬感染受害者,然后最終下載了Anchor后門。研究人員稱這兩個犯罪組織-TrickBot的運營團伙以及FIN6-已經進行合作,這是網絡犯罪團體現有合作趨勢中的“新的危險轉折”。Anchor至少可以追溯到2018年,似乎是由TrickBot的運營團伙編寫的““多合一攻擊框架”,它由各種子模塊組成,可以幫助攻擊者在網絡上橫向傳播(例如安裝后門)。同時TrickBot的另一個工具PowerTrick主要用于在受感染的高價值目標(例如金融機構)內部進行隱身、持久性和偵察。IBM X-Force指出FIN6參與了利用Anchor和PowerTrick的攻擊,其存在的最大指標是攻擊中使用的裝載程序(Terraloader)和后門(More_eggs)。


原文鏈接:

https://threatpost.com/fin6-and-trickbot-combine-forces-in-anchor-attacks/154508/


3、尼泊爾ISP Vianet遭黑客入侵,170萬客戶數據泄露



尼泊爾互聯網服務提供商Vianet Communications確認其信息系統遭黑客入侵,客戶的個人信息被竊。黑客在Twitter帳戶上聲稱竊取了170萬Vianet客戶的數據,包括他們的姓名、手機號碼、地址和電子郵件地址。黑客的推文中還包含托管在洋蔥網絡上的泄露數據鏈接。Vianet在其官方聲明中確認了這一事件,并表示已經確定了泄露的根源和采取適當的措施來增強安全性。


原文鏈接:

https://www.nepalitelecom.com/2020/04/vianet-customer-data-leaks-hack.html


4、俄羅斯電信公司Rostelecom劫持多個企業的互聯網流量



4月1日俄羅斯電信公司Rostelecom劫持了谷歌等公司的互聯網流量,該事件影響了世界上最大的200多個CDN網絡及云托管服務商,持續了大約1個小時。受影響的企業包括谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等知名公司。這是一次典型的BGP劫持事件,該事件的原因可能是Rostelecom的內部流量修正系統錯誤地將不正確的BGP路由暴露在公網上,并且被上游供應商廣播造成的。


原文鏈接:

https://www.zdnet.com/article/russian-telco-hijacks-internet-traffic-for-google-aws-cloudflare-and-others/


5、微軟發布Emotet攻擊Fabrikam公司的案例研究報告



微軟在檢測和響應小組(DART)案例報告002中分享了Fabrikam公司遭受Emotet攻擊的詳細信息。該攻擊始于網絡釣魚郵件,當內部員工訪問了釣魚信息后,Emotet感染了其系統并橫向感染了同一網絡中的其它系統。該病毒避免了通過命令和控制服務器(C2)進行定期更新而被防病毒解決方案檢測到的情況,并且通過使Windows設備上的CPU使用率達到飽和來停止核心服務,導致該組織的基本服務和網絡中斷了將近一周的時間。CPU使用率一直飽和使得計算機過熱,導致內部系統卡死、重啟和網絡連接下降。該惡意軟件通過竊取管理員帳戶憑據進行橫向移動,在最初感染后的8天之內,Fabrikam的整個網絡就被關閉了。


原文鏈接:

https://www.microsoft.com/security/blog/wp-content/uploads/2020/04/Case-study_Full-Operational-Shutdown.pdf

上一篇 下一篇