首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第36周

發布時間 2021-09-06

>本周安全態勢綜述

2021年08月30日至09月05日共收錄安全漏洞62個,值得關注的是Aruba Networks ArubaOS OS CVE-2021-37716 PAPI協議緩沖區溢出漏洞;Google Chrome Blink內存錯誤代碼執行漏洞;Nature Easy Soft Network Technology ZenTao命令執行漏洞;ZOHO ManageEngine ADSelfService Plus OS命令注入漏洞;Advantech WebAccess CVE-2021-38408緩沖區錯誤漏洞。


本周值得關注的網絡安全事件是Microsoft發布近期旨在竊取憑據的釣魚活動的警報;NFIB稱2021年H1英國因網絡犯罪損失高達13億英鎊;CNNIC發布第48次《中國互聯網絡發展狀況統計報告》;因Google應用bug,部分安卓用戶無法撥打和接聽電話;研究人員稱16個藍牙漏洞BrakTooth影響數十億設備。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1.Aruba Networks ArubaOS OS CVE-2021-37716 PAPI協議緩沖區溢出漏洞


Aruba Networks ArubaOS OS PAPI協議存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。


https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-016.txt



2.Google Chrome Blink內存錯誤代碼執行漏洞


Google Chrome Blink存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。


https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop_31.html


3.Nature Easy Soft Network Technology ZenTao命令執行漏洞


Nature Easy Soft Network Technology ZenTao Cron job 選項卡存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://privasec.com/blog/zentao-cms-a-monkeys-journey-to-priv-esc-remote-code-execution/


4.ZOHO ManageEngine ADSelfService Plus OS命令注入漏洞


ZOHO ManageEngine ADSelfService Plus存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意命令。


https://blog.stmcyber.com/vulns/cve-2021-33055/


5.Advantech WebAccess CVE-2021-38408緩沖區錯誤漏洞


Advantech WebAccess存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。


https://www.advantech.com/support/details/installation?id=1-MS9MJV


>重要安全事件綜述


1、Microsoft發布近期旨在竊取憑據的釣魚活動的警報


Microsoft 365 Defender威脅情報團隊在8月26日發布近期旨在竊取憑據的釣魚活動的警報。研究人員稱,該活動利用電子郵件通信中的開放重定向鏈接作為載體,誘使用戶訪問惡意網站,同時繞過安全檢測軟件。微軟表示它已經發現了至少350個網絡釣魚URL,并且它們均使用了令人信服的誘餌和精心設計的檢測繞過技術。這不僅顯示了此次攻擊的規模,還表明了攻擊者巨大的投入。


Microsoft發布近期旨在竊取憑據的釣魚活動的警報.jpg


原文鏈接:

https://thehackernews.com/2021/08/microsoft-warns-of-widespread-phishing.html



2、NFIB稱2021年H1英國因網絡犯罪損失高達13億英鎊


網絡犯罪.png


來自英國國家欺詐情報局(NFIB)的數據表明,2021年H1英國因網絡犯罪損失高達13億英鎊。個人和組織在今年上半年因網絡犯罪和欺詐而損失的資金是2020上半年(4.147億英鎊)的三倍。2020年H1只有39160案件,而2021年H1多達289437起。研究人員稱,政府應采取更多措施來教育個人有關網絡釣魚的風險和網絡安全的重要性,而組織應該盡力降低遠程工作的風險。


原文鏈接:

https://www.infosecurity-magazine.com/news/cybercrime-losses-triple-to-13bn/



3、CNNIC發布第48次《中國互聯網絡發展狀況統計報告》


CNNIC發布第48次《中國互聯網絡發展狀況統計報告》.jpg


中國互聯網絡信息中心(CNNIC)于8月27日在京發布第48次《中國互聯網絡發展狀況統計報告》。報告顯示,截至今年6月,中國網民規模達10.11億,較2020年12月增長2175萬,互聯網普及率達71.6%;互聯網基礎資源加速建設,截至6月,中國IPv6地址數量達62023塊/32;中國農村網民規模為2.97億,農村地區互聯網普及率為59.2%,較2020年12月,城鄉互聯網普及率差異縮小4.8%。


原文鏈接:

http://finance.people.com.cn/n1/2021/0828/c1004-32210949.html



4、因Google應用bug,部分安卓用戶無法撥打和接聽電話


因Google應用bug,部分安卓用戶無法撥打和接聽電話.jpg


Google表示,部分Android手機型號的用戶受到Google應用中bug的影響,無法撥打和接聽電話。目前Google沒有公開受影響手機的型號,但本周末受影響用戶提到了LG的設備,如LG G7、LG G7 ThinQ、LG V40 ThinQ和LG Q70等。Google稱其正在調查此事,并已發布了最新更新來修復該bug,建議用戶手動安裝最新更新。


原文鏈接:

https://www.bleepingcomputer.com/news/google/google-app-bug-blocks-android-users-from-receiving-making-calls/


5、研究人員稱16個藍牙漏洞BrakTooth影響數十億設備


研究人員稱16個藍牙漏洞BrakTooth影響數十億設備.jpg


研究人員檢測了來自11個供應商的13個片上系統 (SoC) 的藍牙軟件庫,發現了16個影響藍牙軟件堆棧的漏洞并統稱它們為BrakTooth。攻擊者可以利用這些漏洞使設備崩潰,甚至是執行惡意代碼并接管整個系統。這些漏洞中最嚴重的為CVE-2021-28139,利用該漏洞遠程攻擊者可以通過藍牙LMP數據包在目標設備上運行惡意代碼。并非所有所有供應商都及時發布了補丁,到目前為止,只有樂鑫、英飛凌和Bluetrum發布了補丁,而德州儀器則表示拒絕修復漏洞。


原文鏈接:

https://therecord.media/billions-of-devices-impacted-by-new-braktooth-bluetooth-vulnerabilities

上一篇 下一篇