首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第28周

發布時間 2021-07-12

> 本周安全態勢綜述


2021年07月05日至07月11日共收錄安全漏洞61個,值得關注的是Advantech WebAccess Node BwFreRPT棧溢出代碼執行漏洞;Microsoft Teams ElectronJS幀重定向代碼執行漏洞;NPort IA5000A-I/O Series CVE-2021-32968拒絕服務漏洞;Phoenix Contact Automationworx BCP文件內存錯誤引用代碼執行漏洞;Siemens Simcenter Femap FEMAP越界寫代碼執行漏洞。


本周值得關注的網絡安全事件是瑞典連鎖超市Coop因Kaseya供應鏈攻擊關閉數百家門店;美國保險公司AJG稱其遭到勒索軟件攻擊,客戶信息泄露;CISA和FBI發布針對Kaseya供應鏈攻擊受害者的指南;微軟發布的PrintNightmare的緊急更新可被繞過;Kaspersky發現WildPressure針對macOS的攻擊活動。


根據以上綜述,本周安全威脅為中。


> 重要安全漏洞列表


1.Advantech WebAccess Node BwFreRPT棧溢出代碼執行漏洞


Advantech WebAccess Node BwFreRPT存在棧溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的0x2711 IOCTL請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-779/


2.Microsoft Teams ElectronJS幀重定向代碼執行漏洞


Microsoft Teams ElectronJS幀保護存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊請求,可重定向惡意頁面,訪問內部應用對象,提升權限。

https://www.zerodayinitiative.com/advisories/ZDI-21-772/


3.NPort IA5000A-I/O Series CVE-2021-32968拒絕服務漏洞


NPort IA5000A-I/O Series內部WEB服務存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊請求,可使應用程序崩潰。

https://us-cert.cisa.gov/ics/advisories/icsa-21-187-01


4.Phoenix Contact Automationworx BCP文件內存錯誤引用代碼執行漏洞


Phoenix Contact Automationworx BCP文件處理存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-782/


5.Siemens Simcenter Femap FEMAP越界寫代碼執行漏洞


Siemens Simcenter Femap FEMAP文件處理存在越界寫漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-781/


> 重要安全事件綜述


1、瑞典連鎖超市Coop因Kaseya供應鏈攻擊關閉數百家門店


1.jpg


瑞典連鎖超市Coop稱其遭到了Kaseya供應鏈攻擊,數百家門店關閉。Coop的發言人表示其于上周五晚上6點30分左右發現有少數門店出現問題,但一夜之后其大部分門店都被迫關閉,包括收銀臺和自助結賬在內的整個支付系統都中斷了。此外,Coop沒有使用Kesaya軟件,因為他們的一個軟件提供商使用了該軟件而受到影響。安全公司HuntressLabs稱,此次攻擊活動的調查仍在進行中,至少有200家組織受到影響。


原文鏈接:

https://securityaffairs.co/wordpress/119663/cyber-crime/coop-supermarket-kaseya-ransomware-attack.html


2、美國保險公司AJG稱其遭到勒索軟件攻擊,客戶信息泄露


2.jpg


美國Arthur J. Gallagher (AJG) 稱其遭到勒索軟件攻擊,客戶信息泄露。AJG是美國的全球保險經紀和風險管理公司,作為全球最大的保險經紀商之一,業務遍及49個國家/地區。攻擊發生在2020年6月3日至2020年9月26日期間,其在2020年9月28日披露該事件并稱沒有數據泄露。但在隨后的調查發現,7376人的敏感信息泄露,包括社會安全號碼或稅號、駕照、護照、出生日期、用戶名和密碼、員工識別號、財務賬戶或信用卡信息、電子簽名、醫療信息、保險信息以及生物識別信息等。


原文鏈接:

https://www.bleepingcomputer.com/news/security/us-insurance-giant-ajg-reports-data-breach-after-ransomware-attack/


3、CISA和FBI發布針對Kaseya供應鏈攻擊受害者的指南


3.jpg


CISA和FBI聯合發布了針對受到Kaseya供應鏈攻擊影響的受害者的指南。這兩個機構建議組織使用Kaseya提供的檢測工具來檢查他們的系統是否存在入侵跡象,并啟用多因素身份驗證(MFA)。此外,組織還應使用白名單來外部限制對其內部資產的訪問,并使用防火墻或VPN保護其遠程監控工具的管理界面。而受影響的MSP客戶需要確保備份是最新的,并且立即安裝供應商提供的最新的補丁。


原文鏈接:

https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html


4、微軟發布的PrintNightmare的緊急更新可被繞過


4.jpg


Microsoft發布KB5004945緊急安全更新,修復影響所有Windows Print Spooler服務中被積極利用的PrintNightmare 0day。該遠程代碼執行漏洞(CVE-2021-34527)允許攻擊者使用SYSTEM權限的遠程執行代碼并完全接管目標服務器。在更新發布后,研究人員發現該補丁僅修復了涉及遠程代碼執行的組件,因此研究人員開始修改漏洞利用程序并測試補丁,確定可以完全繞過整個補丁來實現本地提權和遠程代碼執行。


原文鏈接:

https://www.bleepingcomputer.com/news/security/microsoft-pushes-emergency-update-for-windows-printnightmare-zero-day/


5、Kaspersky發現WildPressure針對macOS的攻擊活動


5.jpg


Kaspersky的研究人員發現WildPressure在最近的攻擊活動中增加了針對macOS的惡意軟件變體。研究人員于2020年3月首次發現該團伙,當時WildPressure使用了C++版本的Milum木馬攻擊中東的組織。在近期針對能源行業的攻擊中,Milum已經通過PyInstaller包進行了重組,其中包含了與Windows和macOS系統兼容的木馬程序,被黑的網站可被APT組織用來下載和上傳文件并執行命令。


原文鏈接:

https://threatpost.com/macos-wildpressure-apt/167606/


上一篇 下一篇