首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第42周

發布時間 2021-10-19

>本周安全態勢綜述


本周共收錄安全漏洞62個,值得關注的是Microsoft SharePoint Server CVE-2021-40487遠程代碼執行漏洞;SAP Environmental Compliance XML外部實體注入漏洞;JP1/IT Desktop Management 2 31016服務代碼執行漏洞;Schneider Electric IGSS長度檢查代碼執行漏洞;ZOHO ManageEngine ADManager Plus文件上傳代碼執行漏洞。


本周值得關注的網絡安全事件是研究團隊發現Sky.com服務器因配置錯誤泄露大量數據;Apple發布緊急更新修復iOS和iPadOS中內存損壞0day;Microsoft發布10月更新,修復4個0day在內的74個漏洞;Microsoft稱其成功抵御高達2.4 Tbps的DDoS攻擊;研究團隊發現Linux惡意挖礦軟件的新變體瞄準華為云。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Microsoft SharePoint Server CVE-2021-40487遠程代碼執行漏洞


Microsoft SharePoint Server存在未明安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-40487



2. SAP Environmental Compliance XML外部實體注入漏洞


SAP Environmental Compliance解析XML存在外部實體注入漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可獲取敏感信息或使服務程序崩潰。


https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983



3. JP1/IT Desktop Management 2 31016服務代碼執行漏洞


JP1/IT Desktop Management 2 31016服務存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://www.hitachi.com/hirt/security/index.html



4. Schneider Electric IGSS長度檢查代碼執行漏洞


Schneider Electric IGSS處理報文存在長度檢查漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://us-cert.cisa.gov/ics/advisories/icsa-21-285-03



5. ZOHO ManageEngine ADManager Plus文件上傳代碼執行漏洞


ZOHO ManageEngine ADManager Plus /RestAPI/WC/Personalize存在任意文件上傳漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,可以應用程序上下文執行任意代碼。


https://zh-cn.tenable.com/security/research/tra-2021-43?tns_redirect=true


 >重要安全事件綜述


1、研究團隊發現Sky.com服務器因配置錯誤泄露大量數據


CyberNews研究團隊在10月8日披露,Sky.com服務器因配置錯誤泄露大量數據。Sky是歐洲最大的媒體公司,擁有12%的市場份額,2020年的收入約為134億英鎊。研究團隊在10月7日發現一個托管在Sky.com的“upliftmedia”子域上的應用程序的主配置文件,其中包含了對托管在Sky.com域名上的數據庫的訪問憑證。CyberNews在10月8日將此問題報告給Sky,該公司現已禁用對配置文件的訪問。


原文鏈接:

https://cybernews.com/news/sky-com-servers-exposed-via-misconfiguration/


2、Apple發布緊急更新修復iOS和iPadOS中內存損壞0day


Apple在10月11日發布緊急更新,修復了iOS 15.0.2和iPadOS 15.0.2中的內存損壞0day。該漏洞追蹤為CVE-2021-30883,是IOMobileFrameBuffer中的一個內存損壞漏洞,可用來在目標設備執行命令。Apple在安全公告中稱該漏洞已在針對手機和iPad的攻擊中被廣泛利用。此外,在漏洞公開不久,研究人員Saar Amar就發布了關于該漏洞的技術文章和利用漏洞的PoC。


原文鏈接:

https://www.bleepingcomputer.com/news/security/emergency-apple-ios-1502-update-fixes-zero-day-used-in-attacks/


3、Microsoft發布10月更新,修復4個0day在內的74個漏洞


Microsoft在10月12日發布了本月的周二補丁,總計修復了74個漏洞(包括Microsoft Edge在內是81個)。此次更新總共修復了4個0day,包括Win32k中的提權漏洞CVE-2021-40449,Windows DNS服務器中的遠程代碼執行漏洞CVE-2021-40469,Windows內核提權漏洞CVE-2021-41335,以及Windows AppContainer 防火墻規則安全功能繞過漏洞CVE-2021-41338。此外,Kaspersky研究人員已經在野發現利用CVE-2021-40449的攻擊活動。


原文鏈接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2021-patch-tuesday-fixes-4-zero-days-71-flaws/


4、Microsoft稱其成功抵御高達2.4 Tbps的DDoS攻擊


Microsoft研究人員Amir Dahan在10月11日稱,他們在8月的最后一周成功抵御了史上最高的DDoS攻擊。Amir Dahan表示,這是針對其歐洲Azure客戶的攻擊,由主要分布在亞太地區和美國的約70000臺設備發起的。此次的攻擊向量為UDP反射,持續時間超過10分鐘,爆發時間非常短,每次爆發都會在幾秒鐘內上升到TB量級,總共出現了了三個主要峰值,分別為2.4 Tbps、0.55 Tbps和1.7 Tbps。


原文鏈接:

https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/


5、研究團隊發現Linux惡意挖礦軟件的新變體瞄準華為云


TrendMicro的研究人員發現以前用于針對Docker容器的Linux惡意挖礦軟件的新變體,開始針對像華為云這樣的新云服務提供商。具體地說,新樣本已經注釋掉了防火墻規則創建功能,并繼續使用網絡掃描器來尋找其他具有api相關端口的主機。華為云是較新的云提供商,聲稱它已經為超過300萬客戶提供服務。研究人員已將此次攻擊通知該公司,但尚未收到回復。


原文鏈接:

https://www.bleepingcomputer.com/news/security/huawei-cloud-targeted-by-updated-cryptomining-malware/

上一篇 下一篇