首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第47周

發布時間 2021-11-22

>本周安全態勢綜述


本周共收錄安全漏洞67個,值得關注的是Advantech WebAccess HMI Designer CVE-2021-33000項目文件堆溢出漏洞;Google Chrome media內存錯誤引用代碼執行漏洞;Lantronix PremierWave 2050 CVE-2021-21888命令注入漏洞;Adobe Media Encoder M4A緩沖區溢出漏洞;Apache ShenYu未授權訪問漏洞。


本周值得關注的網絡安全事件是FBI郵件系統遭到入侵發送數十萬條虛假的攻擊警報;網信辦發布《網絡數據安全管理條例(征求意見稿)》;Facebook發現SideCopy偽造Android應用商店的攻擊;Google發布11月更新,修復Chrome中的多個漏洞;Cloudflare宣布其抵御了高達2 Tbps的DDoS攻擊。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Advantech WebAccess HMI Designer CVE-2021-33000項目文件堆溢出漏洞


Advantech WebAccess HMI Designer項目文件處理存在堆溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。


https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01


2. Google Chrome media內存錯誤引用代碼執行漏洞


Google Chrome media存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB頁請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。


https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html


3. Lantronix PremierWave 2050 CVE-2021-21888命令注入漏洞


Lantronix PremierWave 2050處理HTTP請求驗證存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意命令。


https://talosintelligence.com/vulnerability_reports/TALOS-2021-1332


4. Adobe Media Encoder M4A緩沖區溢出漏洞


Adobe Media Encoder M4A存在緩沖區溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。


https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html


5. Apache ShenYu未授權訪問漏洞


Apache ShenYu Admin ShenyuAdminBootstrap存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可繞過安全限制未授權訪問。


https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb


>重要安全事件綜述


1、FBI郵件系統遭到入侵發送數十萬條虛假的攻擊警報


FBI郵件系統在11月13日遭到入侵,被用來發送數十萬條虛假的攻擊警報。這些郵件冒充國土安全部 (DHS),聲稱收件人遭到了來自Vinny Troia的鏈式攻擊。但此人是安全公司NightLion和Shadowbyte的負責人,研究人員推斷此次活動旨在詆毀安全人員Troia。Spamhaus公司表示,這些郵件都來自FBI執法企業門戶(LEEP)的合法地址eims@ic.fbi.gov,IP地址為153.31.119.142(mx-east-ic.fbi.gov)。FBI稱由于軟件按配置錯誤,使得攻擊者可以利用LEEP發送偽造的郵件。


原文鏈接:

https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html


2、網信辦發布《網絡數據安全管理條例(征求意見稿)》


國家網信辦于11月14日發布了《網絡數據安全管理條例(征求意見稿)》的公開征求意見通知。截至今年6月,我國網民規模達10.11億,由此產生的網絡數據量更是天文數字。該條例規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益。中國互聯網協會法工委副秘書長胡鋼指出,這是新時代規范互聯網平臺企業,強化反壟斷和資本無序擴張的應有之義,也是維護國家安全、保護社會公共利益的需要。


原文鏈接:

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm


3、Facebook發現SideCopy偽造Android應用商店的攻擊


Facebook的安全團隊在11月16日披露了巴基斯坦黑客團伙SideCopy新一輪的釣魚活動。此次活動在今年4月至8月之間,建立并運營了一個偽造的Android應用商店。攻擊者主要通常會冒充年輕女性來接近目標,誘使其打開用來用來收集信息的釣魚網站或者偽造的Android應用商店。然后通過偽裝成聊天應用的惡意軟件,分發PJobRAT和Mayhem等。


原文鏈接:

https://therecord.media/pakistani-hackers-operated-a-fake-app-store-to-target-former-afghan-officials/


4、Google發布11月更新,修復Chrome中的多個漏洞


11月16日,Google發布了本月Chrome的安全更新,總計修復了25個漏洞。其中,較為嚴重的是在媒體中的釋放后使用漏洞(CVE-2021-38008)、V8中的類型混淆漏洞(CVE-2021-38007)和加載器中釋放后使用漏洞(CVE-2021-38005)等。此外,還修復了指紋識別中的堆緩沖區溢出漏洞(CVE-2021-38013)和Swiftshader中的越界寫入(CVE-2021-38014)等漏洞。


原文鏈接:

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html


5、Cloudflare宣布其抵御了高達2 Tbps的DDoS攻擊


美國網絡安全公司Cloudflare在11月15日宣布其抵御了迄今為止遇到的最大攻擊DDoS攻擊,峰值略低于2 Tbps。此次攻擊活動是結合了DNS放大攻擊和UDP泛洪的多向量攻擊,整個過程只持續了一分鐘,來自約15000個機器人組成的僵尸網絡Mirai變種。Cloudflare報告稱第三季度網絡層DDoS攻擊活動比上一季度增加了44%,該公司在8月抵御了每秒1720萬次請求的DDoS攻擊,微軟在10月稱其云服務Azure抵御了2.4 Tbps的DDoS攻擊。


原文鏈接:

https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html

上一篇 下一篇