信息安全周報-2021年第1周
發布時間 2021-01-04> 本周安全態勢綜述
2020年12月28日至2021年01月03日共收錄安全漏洞52個,值得關注的是KLog Server actions/authenticate.php命令注入漏洞;Solarwinds Orion Platform Request.PathInfo安全繞過漏洞;Panasonic Security System硬編碼漏洞;Netgear NMS300 CVE-2020-35789命令注入漏洞;NETGEAR D7800 CVE-2020-35791命令注入漏洞。
本周值得關注的網絡安全事件是Apple iCloud中斷36小時,尚不清楚故障原因;GoDaddy向員工發送釣魚郵件,測試員工的反應;新惡意軟件可利用Imgur來解碼Cobalt Strike腳本;日本軍工企業川崎重工遭到攻擊,或將導致數據泄露;Wasabi云存儲服務因DNS解析問題導致中斷13個小時。
根據以上綜述,本周安全威脅為中。
> 重要安全漏洞列表
1.KLog Server actions/authenticate.php命令注入漏洞
KLog Server actions/authenticate.php存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意OS命令并執行。
https://github.com/mustgundogdu/Research/blob/main/KLOG_SERVER/Exploit_Code
2.Solarwinds Orion Platform Request.PathInfo安全繞過漏洞
Solarwinds Orion Platform Request.PathInfo存在驗證繞過漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行未授權的API命令。
https://www.kb.cert.org/vuls/id/843464
3.Panasonic Security System硬編碼漏洞
Panasonic Security System存在lkjhgfdsa硬編碼漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問設備。
https://security.panasonic.com/products_technology/products/wv-s2231l/
4.Netgear NMS300 CVE-2020-35789命令注入漏洞
Netgear NMS300存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問設備。
https://kb.netgear.com/000062686/Security-Advisory-for-Post-Authentication-Command-Injection-on-NMS300-PSV-2020-0559
5.NETGEAR D7800 CVE-2020-35791命令注入漏洞
NETGEAR D7800存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問設備。
https://kb.netgear.com/000062714/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-PSV-2019-0079
> 重要安全事件綜述
1、Apple iCloud中斷36小時,尚不清楚故障原因
Apple iCloud服務出現故障,使用戶無法登錄該服務訪問文件或設置新設備。此次中斷從美國東部時間12月25日上午4:45開始,直到12月26日下午4:35才被修復,歷時36小時。中斷期間,Apple的系統狀態頁上僅顯示“用戶可能遇到此服務的問題”的提示,沒有更多有關此中斷的信息。目前,Apple公司沒有提供任何故障原因。
原文鏈接:
https://www.bleepingcomputer.com/news/apple/apple-icloud-outage-prevents-device-activations-access-to-data/
2、GoDaddy向員工發送釣魚郵件,測試員工的反應
GoDaddy向員工發送釣魚郵件,以測試員工對網絡釣魚活動的反應。該測試于12月進行,郵件聲稱將提供650美元的圣誕節獎金,以幫助員工應對因COVID-19爆發而導致的經濟問題,并要求他們填寫個人信息表格。這次測試活動大約500名員工中招,他們將被要求重新參加社會工程安全意識的培訓。由于測試中使用的誘餌和模擬時間的選擇,該方法受到了部分網絡安全團體的批評。
原文鏈接:
https://securityaffairs.co/wordpress/112664/security/godaddy-phishing-test-employees.html
3、新惡意軟件可利用Imgur來解碼Cobalt Strike腳本
新惡意軟件可利用圖像托管服務Imgur下載合法的圖像,來解碼Cobalt Strike腳本。新的惡意軟件使用帶有宏的Word文件從GitHub下載PowerShell腳本,該腳本將從Imgur下載實際PNG文件。之后,利用像Invoke-PSImage這樣的工具來使用PNG文件中的像素值編碼PowerShell腳本,并生成一行命令來執行payload,最終獲得Cobalt Strike腳本。研究人員推測此惡意軟件可能與主要針對中東實體的APT組織MuddyWater有關。
原文鏈接:
https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/
4、日本軍工企業川崎重工遭到攻擊,或將導致數據泄露
日本軍工企業川崎重工遭到攻擊,或將導致數據泄露。川崎重工(Kawasaki)稱,2020年6月11日有未經授權的第三方從泰國辦事處訪問了日本的服務器,在發現該問題后兩個站點之間的所有通信都被停止。隨后,該公司又發現了其他海外站點(印度尼西亞、菲律賓和美國)未經授權訪問日本服務器的情況,并切斷通信。川崎稱此次攻擊使用了先進技術而沒有留下任何痕跡和證據,但公司數據或許已經泄露。所有被終止的通信于11月30日恢復正常。
原文鏈接:
https://securityaffairs.co/wordpress/112765/data-breach/kawasaki-heavy-industries-cyber-attack.html
5、Wasabi云存儲服務因DNS解析問題導致中斷13個小時
Wasabi云存儲服務因DNS解析問題導致中斷13個小時。12月28日下午2:30 EST用戶發現無法訪問wasabisys.com上的存儲桶,Wasabi在中斷報告中稱是由于DNS解析問題導致。據悉,該平臺用戶上傳了惡意軟件,其域名稱注冊商發現后想要通過電子郵件通知Wasabi,卻把報告轉發到了錯誤的地址,使得Wasabi未得到通知。而該注冊商因未得到回復而暫停了該域,Wasabi在得知該事件后刪除了托管惡意軟件并要求重新激活該域,平臺在12月29日下午12:57 EST終于得到恢復。
原文鏈接:
https://www.bleepingcomputer.com/news/security/wasabi-cloud-storage-service-knocked-offline-for-hosting-malware/