首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第21周

發布時間 2021-05-24

> 本周安全態勢綜述


2021年05月17日至05月23日共收錄安全漏洞51個,值得關注的是Microsoft Windows JET數據庫引擎內存破壞代碼執行漏洞;Pulse Connect Secure CVE-2021-22908緩沖區溢出漏洞;SolarWinds Orion Job Scheduler JobRouterService不正確授權代碼執行漏洞;Cisco DNA Space CVE-2021-1559 OS命令執行漏洞;Ubiquiti Networks EdgeRouter不正確證書校驗任意代碼執行漏洞。


本周值得關注的網絡安全事件是愛爾蘭醫療機構HSE感染Conti,被勒索近2000萬美元;DarkSide勒索軟件服務器被查封并宣布將終止運營;研究人員披露新木馬Bizarro針對歐洲等多家銀行;Netscout發布有關2021年Q1 DDoS攻擊的分析報告;Uptycs披露與Keksec團伙有關的新僵尸網絡Simps。


根據以上綜述,本周安全威脅為中。


> 重要安全漏洞列表


1.Microsoft Windows JET數據庫引擎內存破壞代碼執行漏洞


Microsoft Windows JET數據庫引擎存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-594/


2.Pulse Connect Secure CVE-2021-22908緩沖區溢出漏洞


Pulse Connect Secure瀏覽SMB共享存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800


3.SolarWinds Orion Job Scheduler JobRouterService不正確授權代碼執行漏洞


SolarWinds Orion Job Scheduler JobRouterService存在不正確授權漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-605/


4.Cisco DNA Space CVE-2021-1559 OS命令執行漏洞


Cisco DNA Space存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以ROOT上下文執行任意代碼。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnasp-conn-cmdinj-HOj4YV5n


5.Ubiquiti Networks EdgeRouter不正確證書校驗任意代碼執行漏洞


Ubiquiti Networks EdgeRouter HTTPS下載固件存在證書校驗漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以ROOT上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-601/


> 重要安全事件綜述


1、愛爾蘭醫療機構HSE感染Conti,被勒索近2000萬美元


1.jpg


愛爾蘭的醫療服務機構HSE表示,其遭到了Conti勒索軟件攻擊,并被要求支付19999000美元的贖金。該機構在發現攻擊后,已于上周五關閉了所有IT系統。Conti團伙聲稱已經進入HSE的網絡兩周了,在此期間,他們竊取了HSE 700 GB的未加密文件,包括患者信息和員工信息、合同、財務報表和工資單等。愛爾蘭總理Taoiseach Micheál Martin于5月14日在新聞發布會上表示,他們將不支付任何贖金。


原文鏈接:

https://www.bleepingcomputer.com/news/security/ireland-s-health-services-hit-with-20-million-ransomware-demand/


2、DarkSide勒索軟件服務器被查封并宣布將終止運營


2.jpg


DarkSide是一個勒索軟件服務器團伙(RaaS),一周前攻擊了Colonial Pipeline Co.并勒索500萬美元。該團伙于2021年5月13日發布聲明稱,由于執法行動,他們目前已經無法通過SSH訪問其公共數據泄露網站、支付服務器和CDN服務器,以及主機界面。因此將為所有尚未付款的公司提供解密工具,并承諾在2021年5月23日之前償還所有未償債務。該聲明還指出由于來自美國的壓力,其將終止勒索活動。


原文鏈接:

https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime


3、研究人員披露新木馬Bizarro針對歐洲等多家銀行


3.jpg


卡巴斯基研究人員發現新的巴西銀行木馬Bizarro針對歐洲和南美的70多家銀行。Bizarro是Windows惡意軟件,具有x64模塊,可以誘騙受害者在偽造的彈出窗口中輸入2FA身份驗證代碼,還利用社會工程攻擊誘騙受害者下載移動應用程序。該惡意軟件的的核心組件是一個支持100多個命令的后門,只有當其檢測到已經連接到一個硬編碼的網上銀行系統時,后門才會啟動。


原文鏈接:

https://securityaffairs.co/wordpress/118032/cyber-crime/bizarro-banking-trojan.html


4、Netscout發布有關2021年Q1 DDoS攻擊的分析報告


4.jpg


Netscout發布了有關2021年Q1 DDoS攻擊的分析報告。報告指出,攻擊者在2021年第一季度發動了大約290萬次DDoS攻擊,比2020年同期增加了31%,最大為480 Gbps,最大吞吐量為675 Mpps,最高攻擊類型是UDP。其中,衛生保健行業遭到了8400次攻擊,教育行業遭到了45000次攻擊,在線服務行業遭到了59000次攻擊。


原文鏈接:

https://www.netscout.com/blog/asert/beat-goes


5、Uptycs披露與Keksec團伙有關的新僵尸網絡Simps


5.jpg


Uptycs威脅研究團隊披露與Keksec團伙有關的新僵尸網絡Simps。它使用物聯網(IoT)節點對游戲和其他目標進行分布式拒絕服務(DDoS)攻擊,于2021年5月的第一周被發現。研究人員指出,攻擊者通過Wget來利用shell腳本和Gafgyt(Keksec最青睞的工具之一)為不同的基于Linux的系統安裝Simps payload。根據一條包含Gafgyt惡意軟件樣本的Discord消息,研究人員推斷該惡意軟件與Keksec團伙有關。


原文鏈接:

https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-group

上一篇 下一篇