首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第44周

發布時間 2021-11-01

>本周安全態勢綜述


本周共收錄安全漏洞62個,值得關注的是Apache Storm getTopologyHistory服務SHELL命令注入漏洞;Microsoft Azure GridPro代碼執行漏洞;Apple macOS bigsur內核代碼執行漏洞;BillQuick Web SuiteSQL注入漏洞;Penguin Aurora TV Box 41502未授權訪問漏洞。


本周值得關注的網絡安全事件是WizardUpdate新變種通過冒充合法軟件繞過檢測;Microsoft發布NOBELIUM團伙攻擊活動的分析報告;Emsisoft發布針對勒索軟件BlackMatter的解密器;研究團隊披露APT組織Lazarus發起的供應鏈攻擊的細節;伊朗石油公司NIOPDC遭到攻擊,全國加油站運營中斷。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Apache Storm getTopologyHistory服務SHELL命令注入漏洞


Apache Storm getTopologyHistory服務存在SHELL命令注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意代碼并以應用程序上下文執行。


https://lists.apache.org/thread.html/r5fe881f6ca883908b7a0f005d35115af49f43beea7a8b0915e377859%40%3Cuser.storm.apache.org%3E


2. Microsoft Azure GridPro代碼執行漏洞


Microsoft Azure GridPro請求管理存在目錄遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://seclists.org/fulldisclosure/2021/Oct/33


3. Apple macOS bigsur內核代碼執行漏洞


Apple macOS bigsur內核存在安全漏洞,允許本地攻擊者可以利用漏洞提交特殊的請求,可以內核上下文執行任意代碼。


https://support.apple.com/zh-cn/HT212872


4. BillQuick Web SuiteSQL注入漏洞


Bqe Software BillQuick Web Suite存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。


https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware


5. Penguin Aurora TV Box 41502未授權訪問漏洞


Penguin Aurora TV Box對特定鏈接處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,未授權控制系統。


https://www.cnvd.org.cn/flaw/show/2934166



 >重要安全事件綜述


1、WizardUpdate新變種通過冒充合法軟件繞過檢測


研究人員在10月22日披露了惡意軟件WizardUpdate(又名UpdateAgent)的新變種。WizardUpdate最初于2020年11月被發現,主要針對macOS。該變體開發了新的功能,例如濫用公共云來分發惡意廣告軟件Adload,并且還能繞過Apple的安全功能Gatekeeper。此外,它使用了偷渡式下載(Drive-by downloads)的方式進行分發,通過冒充合法軟件來繞過檢測,研究人員尚未透露其模仿了哪些軟件。 


原文鏈接:

https://www.hackread.com/updateagent-malware-variant-macos-software/


2、Microsoft發布NOBELIUM團伙攻擊活動的分析報告


Microsoft威脅情報中心在10月25日發布了關于NOBELIUM團伙攻擊活動的分析報告。NOBELIUM是2020年12月針對SolarWinds的供應鏈攻擊的幕后黑手,自2021年5月以來,該團伙在美國和歐洲發起了有針對性的供應鏈攻擊。此次活動并未利用任何漏洞,而是利用密碼噴射、令牌盜竊、API濫用和魚叉式網絡釣魚等多種技術來竊特權帳戶的憑據,從而在云環境中橫向移動。


原文鏈接:

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/


3、Emsisoft發布針對勒索軟件BlackMatter的解密器


安全公司Emsisoft在10月24日公開了勒索軟件BlackMatter的解密器。今年早些時候,研究人員發現BlackMatter中存在一個可用于恢復加密文件漏洞,并且他們在之前一直沒有透露該漏洞的存在,以防止該團伙修復漏洞。不幸的是,BlackMatter在9月底發現并修復了該漏洞,因此這個解密器僅能解密2021年7月中旬至9月下旬之間被加密的文件。


原文鏈接:

https://securityaffairs.co/wordpress/123736/security/blackmatter-decryptor-pat-victims.html


4、研究團隊披露APT組織Lazarus發起的供應鏈攻擊的細節


Kaspersky研究團隊于本周二披露了Lazarus在近期發起的供應鏈攻擊。APT組織Lazarus自2009年以來一直活躍,利用MATA攻擊各個行業的組織。在此次活動中,該團伙于5月攻擊了拉脫維亞的IT供應商,又在6月份利用后門BLINDINGCAN的新變體攻擊了韓國智庫。研究人員稱,最近的活動展現了兩個趨勢:Lazarus仍然對國防行業感興趣,并且還希望通過供應鏈攻擊來擴展其攻擊范圍。


原文鏈接:

https://usa.kaspersky.com/about/press-releases/2021_apt-actor-lazarus-attacks-defense-industry-develops-supply-chain-attack-capabilities


5、伊朗石油公司NIOPDC遭到攻擊,全國加油站運營中斷


伊朗國有石油產品分銷公司(NIOPDC)在10月26日遭到攻擊。NIOPDC在伊朗全國范圍內擁有超過3500個加油站,因為無法支付費用,受影響的加油站在遭到攻擊后立即中斷了運營。許多加油站的廣告牌上都顯示著“Khamenei!我們的燃料呢?”和“免費汽油”的字樣,此外,加油站的屏幕上顯示著“cyebrattack 64411”的字樣,其中64411是該國最高領袖Ayatollah Ali Khamenei辦公室的電話。尚不確定攻擊者的身份,但伊朗當局推斷這是由敵對國家發起的網絡攻擊活動。目前,加油站的運營已恢復。


原文鏈接:

https://securityaffairs.co/wordpress/123824/hacking/iranian-gas-stations-incident.html

上一篇 下一篇