首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第43周

發布時間 2021-10-26

>本周安全態勢綜述


本周共收錄安全漏洞61個,值得關注的是Linux Kernel Bluetooth CMTP模塊兩次釋放權限提升漏洞;Oracle MySQL Cluster Data Node緩沖區溢出代碼執行漏洞;Google Chrome Skia堆溢出代碼執行漏洞;Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代碼執行漏洞;AUVESY Versiondog驗證機制繞過漏洞。


本周值得關注的網絡安全事件是美國FinCEN發布關于勒索攻擊態勢的分析報告;REvil稱其網站已被劫持,可能會再次終止運營;Symantec發現Harvester針對南亞電信行業的攻擊活動;研究人員發現廣告攔截擴展AllBlock插入廣告的活動;研究人員發現LightBasin團伙攻擊全球的電信公司。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Linux Kernel Bluetooth CMTP模塊兩次釋放權限提升漏洞


Linux Kernel Bluetooth CMTP模塊存在兩次釋放漏洞,允許本地攻擊者利用漏洞提交特殊的請求,可提升權限。


https://www.zerodayinitiative.com/advisories/ZDI-21-1223/



2. Oracle MySQL Cluster Data Node緩沖區溢出代碼執行漏洞


Oracle MySQL Cluster處理Data Node作業存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。


https://www.zerodayinitiative.com/advisories/ZDI-21-1232/



3. Google Chrome Skia堆溢出代碼執行漏洞


Google Chrome Skia存在堆溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。


https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_19.html



4. Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代碼執行漏洞


Oracle Fusion Middleware Oracle WebLogic Server Coherence Container組件存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://www.oracle.com/security-alerts/cpuoct2021.html



5. AUVESY Versiondog驗證機制繞過漏洞


AUVESY Versiondog驗證存在設計漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可無需提供任意形式驗證與服務器初始化會話,未授權訪問系統。


https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01


>重要安全事件綜述


1、美國FinCEN發布關于勒索攻擊態勢的分析報告


美國財政部的金融犯罪執法網絡 (FinCEN) 在10月15日發布了關于勒索攻擊態勢的分析報告。FinCEN分析了2011年1月1日至2021年6月30日期間提交的2184份SAR(可疑活動報告),發現了大約52億美元的BTC交易可能與勒索攻擊的相關。2021上半年與勒索攻擊相關的SAR涉及5.9億美元,已經超過了2020年全年的4.16億美元。報告還確定了68種活躍的勒索軟件變種(最常見的是REvil/Sodinokibi、Conti、DarkSide、Avaddon和Phobos)。


原文鏈接:

https://www.fincen.gov/sites/default/files/shared/Financial%20Trend%20Analysis_Ransomeware%20508%20FINAL.pdf



2、REvil稱其網站已被劫持,可能會再次終止運營


10月17日,勒索運營團伙REvil的成員0_neday在黑客論壇XSS上稱有人入侵了他們的服務器。0_neday表示,莫斯科時間12:00開始,攻擊者利用其私鑰調出了REvil隱藏服務,還稱他們沒有發現服務器遭到攻擊的跡象。但17日晚上,0_neday再次發帖稱他們的服務器遭到了入侵。目前尚不清楚攻擊者如何獲得的REvil私鑰,研究人員推測這是執法部門所為。此外,此次攻擊可能會導致REvil永久性的關閉。


原文鏈接:

https://www.bleepingcomputer.com/news/security/revil-ransomware-shuts-down-again-after-tor-sites-were-hijacked/



3、Symantec發現Harvester針對南亞電信行業的攻擊活動


Symantec在10月18日披露了一個新的由國家支持的黑客團伙Harvester的攻擊活動。此次攻擊活動瞄準了南亞的組織,特別是阿富汗,針對電信和IT行業的公司以及官方組織,開始于2021年6月,最近一次活動發生在2021年10月。在技術方面,攻擊者在目標中安裝了一個名為Backdoor.Graphon的自定義后門,以及其他自定義下載器和截圖工具。目前尚不清楚初始感染媒介是什么,但研究人員在被黑設備上發現的第一個關于此次活動的證據是惡意URL。


原文鏈接:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/harvester-new-apt-attacks-asia



4、研究人員發現廣告攔截擴展AllBlock插入廣告的活動


Imperva的研究人員在8月下旬發現了一種新的廣告插入活動。該活動利用了Chrome和Opera瀏覽器上的廣告攔截擴展程序AllBlock,針對一些大型網站的用戶。研究人員稱,該擴展可以將合法URL重定向到由攻擊者控制的附屬鏈接,并且開發者還使用了多種技術來繞過檢測,包括每100毫秒清除一次調試控制臺。目前,該擴展已從Chrome網上應用店中刪除。


原文鏈接:

https://securityaffairs.co/wordpress/123488/cyber-crime/ad-blocking-chrome-extension-allblock.html


5、研究人員發現LightBasin團伙攻擊全球的電信公司


10月19日,CrowdStrike研究人員稱LightBasin在過去五年中一直攻擊全球各地的通信網絡。該團伙至少從2016年就開始活躍,主要針對Linux和Solaris系統,自2019年以來已經攻擊了至少13家電信公司。LightBasin的目標系統包括外部DNS服務器(eDNS)、服務交付平臺系統(SDP)和SIM/IMEI配置,這些都是通用分組無線電服務(GPRS)網絡的一部分,在成功入侵之后會安裝自定義惡意軟件SLAPSTICK。


原文鏈接:

https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/

上一篇 下一篇