首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第40周

發布時間 2021-10-08

>本周安全態勢綜述


2021年09月27日至10月03日共收錄安全漏洞59個,值得關注的是Micro Focus ArcSight Enterprise Security Manager遠程代碼執行漏洞;Nagios XI repairmysql.sh不正確權限指派代碼執行漏洞;ECOA BAS controller敏感信息泄露漏洞;Tenda AC9 httpd緩沖區溢出漏洞;Siemens Solid Edge OBJ文件CVE-2021-41535內存錯誤引用代碼執行漏洞。


本周值得關注的網絡安全事件是Windows WPBT中的新漏洞影響Win8及之后所有系統;歐洲呼叫中心供應商GSS遭到Conti團伙的勒索攻擊;美國VoIP提供商Bandwidth.com遭到DDoS攻擊;微軟發現旨在竊取AD FS管理員憑據的后門FoggyWeb;CISA和NSA聯合發布有關選擇和加固VPN的安全指南。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1.Micro Focus ArcSight Enterprise Security Manager遠程代碼執行漏洞


Micro Focus ArcSight Enterprise Security Manager存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://portal.microfocus.com/s/article/KM000001960?language=en_US


2.Nagios XI repairmysql.sh不正確權限指派代碼執行漏洞


Nagios XI repairmysql.sh存在不正確權限指派漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://www.nagios.com/downloads/nagios-xi/change-log/



3.ECOA BAS controller敏感信息泄露漏洞


ECOA BAS controller處理HTTP GET請求存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可獲取敏感信息。


https://www.twcert.org.tw/tw/cp-132-5137-730a6-1.html



4.Tenda AC9 httpd緩沖區溢出漏洞


Tenda AC9 httpd /goform/SetStaticRouteCfg存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://github.com/grapefruitvul/vulinfo/blob/master/tenda/vul1.md



5.Siemens Solid Edge OBJ文件CVE-2021-41535內存錯誤引用代碼執行漏洞


Siemens Solid Edge SE2021 OBJ文件存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或者以應用程序上下文執行任意代碼。


https://cert-portal.siemens.com/productcert/pdf/ssa-728618.pdf



 >重要安全事件綜述


1、Windows WPBT中的新漏洞影響Win8及之后所有系統


Windows WPBT中的新漏洞影響Win8及之后所有系統.jpg


Eclypsium研究團隊發現Microsoft Windows平臺二進制表(WPBT)中存在一個漏洞,可用來在系統上安裝Rootkit。該漏洞影響了2012年之后發行的Windows 8及更高版本的所有系統,攻擊者可利用該漏洞在系統啟動時以內核權限運行惡意代碼。微軟提出的緩解措施包括使用Windows Defender應用程序控制(WDAC)策略來控制在系統中運行的二進制文件,或使用AppLocker策略來控制允許運行的應用。


原文鏈接:


https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/



2、歐洲呼叫中心供應商GSS遭到Conti團伙的勒索攻擊


歐洲呼叫中心供應商GSS遭到Conti團伙的勒索攻擊.jpg


Covisian發言人稱,其西班牙和拉丁美洲分部GSS于9月18日遭到了Conti團伙的勒索攻擊。Covisian是歐洲最大的客戶服務和呼叫中心供應商之一,此次攻擊導致其大部分系統中斷,影響了Vodafone Spain、MasMovil ISP、馬德里的供水公司和電視臺等公司和組織。不久前,美國的呼叫中心和客戶支持服務供應商TTEC也遭到了勒索攻擊。


原文鏈接:

https://securityaffairs.co/wordpress/122570/cyber-crime/gss-ransomware-attack.html



3、美國VoIP提供商Bandwidth.com遭到DDoS攻擊


美國VoIP提供商Bandwidth.com遭到DDoS攻擊.jpg


美國VoIP提供商Bandwidth.com在近期遭到了DDoS攻擊,導致過去幾天內其在全美的語音服務中斷。Bandwidth從美國東部時間9月25日下午3:31開始報告其系統出現故障,影響了語音、增強型911(E911)服務、消息發送和官網訪問。Bandwidth未公開服務中斷的原因,但其員工稱是DDoS攻擊導致的。本月VoIP.ms曾遭到為期一周的DDoS攻擊并被勒索450萬美元,尚不清楚Bandwidth是否也遭到了類似的勒索攻擊。


原文鏈接:

https://www.bleepingcomputer.com/news/security/bandwidthcom-is-latest-victim-of-ddos-attacks-against-voip-providers/


4、微軟發現旨在竊取AD FS管理員憑據的后門FoggyWeb


微軟發現旨在竊取AD FS管理員憑據的后門FoggyWeb.jpg


微軟威脅情報中心(MSTIC)于9月27日披露了旨在竊取Active Directory聯合身份驗證服務(AD FS)管理員憑據的后門FoggyWeb。該惡意軟件與俄羅斯外國情報局(SVR)的黑客團伙Nobelium有關,濫用了SAML令牌。它可以為攻擊者定義的URI配置HTTP監聽器(這些URI模仿了目標AD FS使用的合法URI的結構),來監聽發送到AD FS的HTTP GET和POST請求,并攔截與自定義URI模式匹配的HTTP請求。


原文鏈接:

https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/



5、CISA和NSA聯合發布有關選擇和加固VPN的安全指南


CISA和NSA聯合發布有關選擇和加固VPN的安全指南.jpg


美國CISA和NSA在9月28日聯合發布了有關選擇和加固VPN的安全指南。指南指出,組織應該從信譽良好的供應商那里選擇產品,因為他們會以最快的速度修復已知漏洞。安全機構稱,VPN設備可以收集憑證、用來遠程執行代碼、削弱加密流量會話的加密、劫持會話以及讀取敏感信息,建議組織配置強加密和身份驗證、僅運行必要的功能以及保護和監控對VPN的訪問。


原文鏈接:

https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/cisa-and-nsa-release-guidance-selecting-and-hardening-vpns

上一篇 下一篇