信息安全周報-2020年第52周

發布時間 2020-12-28

> 本周安全態勢綜述


2020年12月21日至12月27日共收錄安全漏洞56個,值得關注的是ABB Symphony Plus Operations SQL注入漏洞;D-link DSL-2888A execute_cmd.cgi OS命令注入漏洞;Zyxel USG Series默認憑據漏洞;BrowserUp Proxy Java EL表達式注入漏洞;QNAP QES CVE-2020-2499硬編碼漏洞。


本周值得關注的網絡安全事件是Acronis發布如何應對COVID-19的影響的報告;CISA發布SolarWinds Orion攻擊事件的補充指南;SolarWinds供應鏈攻擊活動中存在新的SUPERNOVA后門;Nintendo數據泄露,揭示曾雇傭黑客為其工作;Kaspersky發布Lazarus針對COVID-19情報的分析報告。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.ABB Symphony Plus Operations SQL注入漏洞


ABB Symphony Plus Operations存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。

https://search.abb.com/library/Download.aspx?DocumentID=2PAA123980&LanguageCode=en&DocumentPartId=&Action=Launch


2.D-link DSL-2888A execute_cmd.cgi OS命令注入漏洞


D-link DSL-2888A execute_cmd.cgi存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入惡意OS命令并執行。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/d-link-multiple-security-vulnerabilities-leading-to-rce/


3.Zyxel USG Series默認憑據漏洞


Zyxel USG Series存在zyfwp默認賬戶及不可更改其密碼,允許遠程攻擊者可以利用漏洞提交特殊的請求,未授權訪問服務器。

https://businessforum.zyxel.com/discussion/5254/whats-new-for-zld4-60-patch-1-available-on-dec-15



4.BrowserUp Proxy Java EL表達式注入漏洞


BrowserUp Proxy存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以注入任意Java EL表達式并以應用程序上下文執行任意代碼。

https://github.com/browserup/browserup-proxy/commit/4b38e7a3e20917e5c3329d0d4e9590bed9d578ab


5.QNAP QES CVE-2020-2499硬編碼漏洞


QNAP QES存在硬編碼漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,未授權訪問系統。

https://www.qnap.com/zh-tw/security-advisory/qsa-20-19


> 重要安全事件綜述


1、Acronis發布如何應對COVID-19的影響的報告


1.png


Acronis發布了如何應對COVID-19的影響的報告。Acronis在2020年6月至7月期間對全球3400家公司和遠程工人進行了調查,以研究組織如何適應COVID-19對其IT運營和網絡安全態勢的影響。報告顯示,31%的公司每天都會遭到網絡攻擊,69%的遠程工作者需要依靠Zoom、Cisco Webex等工具進行協作,而39%的公司遭受了視頻會議攻擊。此外,只有2%的公司在評估網絡安全解決方案時考慮使用URL過濾。


原文鏈接:

https://www.acronis.com/en-us/blog/posts/acronis-cyber-readiness-report-pandemic-reveals-cybersecurity-gaps-need-new-solutions


2、CISA發布SolarWinds Orion攻擊事件的補充指南


2.png


CISA最初于12月17日發布了有關政府機構、關鍵基礎設施和公司組織的APT攻擊活動的警報,之后針對該緊急指令發布了補充指南。補充指南包括受影響版本的更新、針對使用第三方服務提供商的代理的指南以及對所需措施的進一步說明。此外,CISA還更新了該警報,提供了新的緩解方案并修訂了IOC表格。


原文鏈接:

https://us-cert.cisa.gov/ncas/current-activity/2020/12/19/cisa-updates-alert-and-releases-supplemental-guidance-emergency


3、SolarWinds供應鏈攻擊活動中存在新的SUPERNOVA后門


3.png


研究人員發現SolarWinds Orion供應鏈攻擊活動中存在新的SUPERNOVA后門,可能來自另一個黑客組織。SUPERNOVA是植入Orion網絡和應用程序監視平臺代碼中的Web shell,攻擊者可利用該惡意軟件在計算機上運行任意代碼。該惡意代碼僅包含一種DynamicRun方法,可將參數動態編譯到內存中的.NET程序集中,因此不會在受感染設備上留下任何痕跡。經調查,SUPERNOVA沒有數字簽名,這與最初發現的SunBurst不同,或許屬于另一黑客組織。


原文鏈接:

https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/


4、Nintendo數據泄露,揭示曾雇傭黑客為其工作


4.png


Nintendo再次發生嚴重的數據泄露事件,揭示曾雇傭黑客為其工作。此次泄露的數據仍是首先出現在4chan論壇上,包含與Switch的開發相關的文件,例如Switch早期的設計參數,比如使用1G內存、480P分辨率的攝像頭、兼容3DS游戲、可以通過Miracast投屏等。此外,此次泄露還揭示了任天堂曾雇傭知名的3DS黑客為其工作,甚至還制定了一份公關計劃,以解決在發現該雇傭關系后如何處理公眾反應。


原文鏈接:

https://www.videogameschronicle.com/news/nintendo-has-reportedly-suffered-another-major-data-leak-now-related-to-switch/


5、Kaspersky發布Lazarus針對COVID-19情報的分析報告


5.png


Kaspersky發布有關黑客組織Lazarus針對COVID-19情報的攻擊活動的分析報告。報告指出,Lazarus于2020年9月25日入侵了一家制藥公司,并于2020年10月27日攻擊了政府衛生部,并損壞了兩臺Windows服務器。這兩次攻擊活動使用了不同的戰術、技術和程序(TTP)以及惡意軟件集群,但有證據表明都與Lazarus有關,并證明該組織對與COVID-19相關的情報感興趣。


原文鏈接:

https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/