信息安全周報-2021年第6周

發布時間 2021-02-08

> 本周安全態勢綜述


2021年02月01日至02月07日共收錄安全漏洞66個,值得關注的是Apache Shiro訪問繞過漏洞;Apache Dubbo decodeBody反序列化代碼執行漏洞;Siemens Comfort Panel Telnet服務無驗證代碼執行漏洞;Sonicwall SMA100 SQL注入漏洞;Apple macOS CoreText TTF越界寫代碼執行漏洞。


本周值得關注的網絡安全事件是Cisco發布2021年數據隱私基準的研究報告;Azure Functions中存在提權漏洞,可逃逸至Docker主機;NCC Group檢測到利用SonicWall中0day的攻擊活動;Agent Tesla嘗試篡改微軟AMSI來繞過殺毒軟件檢測;貨運公司Forward Air感染Hades,損失達750萬美元。


根據以上綜述,本周安全威脅為中。


> 重要安全漏洞列表


1.Apache Shiro訪問繞過漏洞


Apache Shiro使用spring存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問服務。

https://lists.apache.org/thread.html/rce5943430a6136d37a1f2fc201d245fe094e2727a0bc27e3b2d43a39%40%3Cdev.shiro.apache.org%3E


2.Apache Dubbo decodeBody反序列化代碼執行漏洞


Apache Dubbo decodeBody處理存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以服務上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-128/


3.Siemens Comfort Panel Telnet服務無驗證代碼執行漏洞


Siemens Comfort Panel Telnet服務無驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以ROOT上下文執行任意代碼。

https://us-cert.cisa.gov/ics/advisories/icsa-21-033-02


4.Sonicwall SMA100 SQL注入漏洞


Sonicwall SMA100 WEB接口存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001


5.Apple macOS CoreText TTF越界寫代碼執行漏洞


Apple macOS CoreText TTF解析存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-149/


> 重要安全事件綜述


1、Cisco發布2021年數據隱私基準的研究報告


1.png


Cisco發布了2021年數據隱私基準的研究報告。研究調查了來自25個國家和地區的4400多個組織,并探討了他們對隱私法規的態度。報告顯示,60%的組織沒有為遠程工作所涉及的隱私和安全要求做好準備,93%的組織通過隱私保護團隊來應對這些挑戰,87%的個人擔心他們所使用的遠程工具的隱私保護問題。此外,現已有140多個司法管轄區制定了隱私保護法,近80%的受訪者認為這些法律具有積極影響。


原文鏈接:

https://blogs.cisco.com/security/privacy-comes-of-age-during-the-pandemic


2、Azure Functions中存在提權漏洞,可逃逸至Docker主機


2.png


Intezer Lab的研究人員披露了Microsoft Azure Functions中未修復的提權漏洞,攻擊者可能利用來逃逸至Docker主機。Azure Functions可以由HTTP請求觸發,用戶的代碼在Azure托管的容器上運行,但是代碼沒有被安全分割,并且可能被濫用來訪問底層環境。研究人員發現可以通過創建一個HTTP觸發器來執行shell,以無特權的app用戶身份在容器查找屬于root權限的進程接口。


原文鏈接:

https://securityaffairs.co/wordpress/114061/hacking/azure-functions-escape-docker.html


3、NCC Group檢測到利用SonicWall中0day的攻擊活動


3.png


網絡安全公司NCC Group周日稱,它已檢測到針對SonicWall網絡設備中零日漏洞的主動利用嘗試。目前尚不清楚此漏洞是否與SonicWall在1月23日披露的漏洞相同,但NCC認為這是極有可能的。SonicWall在其SMA 100安全公告的更新中已確認了NCC Group發現的零日漏洞,列出了受影響的設備型號并表示會在2月2日之前發布補丁程序。有關漏洞的細節并未公開,以防止其他攻擊者對其進行研究并發動攻擊。


原文鏈接:

https://www.zdnet.com/article/sonicwall-zero-day-exploited-in-the-wild/


4、Agent Tesla嘗試篡改微軟AMSI來繞過殺毒軟件檢測


4.png


Sophos研究人員發現間諜軟件Agent Tesla嘗試篡改微軟防惡意軟件軟件接口(AMSI),來繞過殺毒軟件的掃描和分析。Agent Tesla于2014年首次被發現,是一種用.NET編寫的商業RAT。Sophos表示,該惡意軟件正在不斷開發中,其.NET下載程序可調用并下載托管在合法網站上的惡意代碼。在成功篡改AMSI后該惡意軟件可在沒有任何干擾的情況下完整部署,以竊取數據,主要針對Opera、Chromium、Chrome、Firefox、OpenVPN和Outlook等應用。


原文鏈接:

https://www.zdnet.com/article/agent-tesla-ramps-up-its-game-in-bypassing-security-walls-attacks-endpoint-protection/


5、貨運公司Forward Air感染Hades,損失達750萬美元


5.png


貨運公司Forward Air遭到了Hades勒索軟件攻擊,造成的損失達750萬美元。該攻擊事件發生在去年12月15日,因感染Hades導致該公司將所有IT系統脫機以應對入侵。導致駕駛員和員工無法獲取必要的文件以通過海關清關運輸,其運營受到嚴重破壞。盡管Forward Air表示其已成功地從攻擊中恢復,但還是付出了沉重代價,其在第四季度的財務業績中的損失高達750萬美元。


原文鏈接:

https://www.zdnet.com/article/trucking-company-forward-air-said-its-ransomware-incident-cost-it-7-5-million/