首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第13周

發布時間 2021-03-29

> 本周安全態勢綜述


2021年03月22日至03月28日共收錄安全漏洞61個,值得關注的是Rusavtomatika Weintek EasyWeb cMT CVE-2021-27446代碼注入漏洞;XStream CVE-2021-21346反序列化代碼執行漏洞;Foxit PhantomPDF U3DBrowser內存破壞代碼執行漏洞;NETGEAR ProSAFE Network Management System MFileUploadController文件上傳漏洞;Apache SpamAssassin .cf注入漏洞。


本周值得關注的網絡安全事件是ESET發現黑客利用偽造的Clubhouse分發BlackRock;McAfee披露遠程監控軟件Netop Vision Pro存在多個漏洞;伯明翰議會員工因操作失誤公開大量弱勢群體的個人信息;Kaspersky發布2020年ICS行業的態勢分析報告;微軟警告近期釣魚活動已竊取40萬個OWA和Office 365憑據。


根據以上綜述,本周安全威脅為中。


> 重要安全漏洞列表


1.Rusavtomatika Weintek EasyWeb cMT CVE-2021-27446代碼注入漏洞


Rusavtomatika Weintek EasyWeb cMT存在代碼注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以ROOT上下文執行任意代碼。

https://us-cert.cisa.gov/ics/advisories/icsa-21-082-01


2.XStream CVE-2021-21346反序列化代碼執行漏洞


XStream存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

http://x-stream.github.io/changes.html#1.4.16


3.Foxit PhantomPDF U3DBrowser內存破壞代碼執行漏洞


Foxit PhantomPDF U3DBrowser存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-353/


4.NETGEAR ProSAFE Network Management System MFileUploadController文件上傳漏洞


NETGEAR ProSAFE Network Management System MFileUploadController存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可上傳文件,并以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-357/


5.Apache SpamAssassin .cf注入漏洞


Apache SpamAssassin存在.cf注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入惡意命令并執行。

https://s.apache.org/3r1wh


> 重要安全事件綜述


1、ESET發現黑客利用偽造的Clubhouse分發BlackRock


1.jpg


上周五,ESET的研究人員發現黑客利用偽造的Android版Clubhouse分發BlackRock Trojan。Clubhouse是音頻聊天應用,但目前只在iOS上當前可用,尚未發布Android版本的Clubhouse。BlackRock最初于2020年5月被發現,旨在竊取用戶在各種互聯網應用(超過458個)上的信息。該木馬能夠攔截和篡改SMS消息、隱藏通知、在用戶運行殺毒軟件時將其重定向到設備主屏幕和遠程鎖定屏幕。 


原文鏈接:

https://www.zdnet.com/article/fraudsters-jump-on-clubhouse-hype-to-push-malicious-android-app/


2、McAfee披露遠程監控軟件Netop Vision Pro存在多個漏洞


2.jpg


McAfee披露遠程監控軟件Netop Vision Pro存在多個可用來劫持目標電腦的漏洞。這些漏洞分別為權限分配漏洞(CVE-2021-27192)、默認權限錯誤(CVE-2021-27193)、以明文傳輸的敏感信息(CVE-2021-27194)和授權問題(CVE-2021-27195)。黑客可用這些漏洞進行提權和執行遠程代碼,獲得對目標系統的完全控制權并啟用網絡攝像頭和麥克風。目前,Netop已修復部分漏洞。


原文鏈接:

https://www.zdnet.com/article/popular-remote-student-learning-program-found-to-be-riddled-with-security-holes/


3、伯明翰議會員工因操作失誤公開大量弱勢群體的個人信息


3.jpg


伯明翰議會在3月19日星期五稱,因員工操作失誤導致大量弱勢群體的個人信息被公開。據稱此次泄露的是有權獲得免費巴士通行證的兒童的詳細信息。該市表示,其在發現泄露后立刻采取了措施,數據還未被下載,并且由于此事件的規模和嚴重性質,現已通知負責監督的信息專員辦公室(ICO)。


原文鏈接:

https://www.birminghammail.co.uk/news/midlands-news/details-vulnerable-kids-uploaded-birmingham-20217314


4、Kaspersky發布2020年ICS行業的態勢分析報告


4.jpg


Kaspersky發布了2020年ICS行業的態勢分析報告。該報告分析了用于設計、配置和維護工業控制設備和軟件的計算機所受到的網絡威脅。報告指出,在2020年下半年,在ICS工程和集成行業中39.3%的計算機受到了惡意軟件攻擊,與2020年上半年(31.5%)相比有所增加,其中建筑自動化、汽車制造、能源石油和天然氣行業遭到的攻擊增多。2020年下半年,針對拉丁美洲、中東、亞洲和北美的攻擊次數增多,針對非洲、俄羅斯和歐洲的攻擊數量有所減少。


原文鏈接:

https://ics-cert.kaspersky.com/reports/2021/03/17/threat-landscape-for-the-ics-engineering-and-integration-sector-2020/


5、微軟警告近期釣魚活動已竊取40萬個OWA和Office 365憑據


5.jpg


自去年12月以來,釣魚活動已竊取40萬個OWA和Office 365憑據。WMC Global于去年年初發現該釣魚活動,偽裝成偽裝成視頻會議服務、安全解決方案和生產工具來迷惑受害者。去年12月,黑客冒充了Outlook Web App來欺騙目標用戶輸入憑據,而今年1月改為模仿Office 365來竊取憑據。此外,微軟發現該活動還利用了Amazon Simple Email Service(SES)和Appspot云計算平臺來發送網絡釣魚電子郵件。


原文鏈接:

https://www.bleepingcomputer.com/news/security/microsoft-warns-of-phishing-attacks-bypassing-email-gateways/

上一篇 下一篇