Armis发现APC UPS设备中统称为TLSstorm的3个漏洞
发布时间 2022-03-11Armis发现APC UPS设备中统称为TLSstorm的3个漏洞
据媒体3月日报道,安全公司Armis在APC的SmartConnect和Smart-UPS系列产品中发现了统称为TLSstorm的3个漏洞。其中2个漏洞涉及UPS和APC云之间的TLS握手过程,分别为TLS缓冲区溢出漏洞(CVE-2022-22805)和TLS身份验证绕过漏洞(CVE-2022-22806);第三个漏洞(CVE-2022-0715)可被用来构建一个恶意APC固件版本并作为官方更新进行分发。研究人员表示,利用这些漏洞可对设备造成物理损害,例如远程烧毁设备和断电,建议立即安装补丁程序。
https://www.bleepingcomputer.com/news/security/apc-ups-zero-day-bugs-can-remotely-burn-out-devices-disable-power/
Google发布3月份安全更新,修复Android中多个漏洞
3月8日,Google发布了2022年3月的Android 10、11和12安全更新。此次修复的较为严重的是提权漏洞(CVE-2021-39708),位于Android系统组件中,不需要用户交互即可远程提升权限;另外2个严重漏洞是CVE-2021-1942和CVE-2021-35110,它们都会影响基于Qualcomm的闭源组件。目前,没有任何已修复漏洞的技术细节,以防还未安装最新补丁的用户遭到攻击。
https://source.android.com/security/bulletin/2022-03-01
阿根廷电商公司Mercado Libre部分源码和用户信息泄露
媒体3月8日报道,阿根廷电商公司Mercado Libre称其部分源代码遭到了未经授权的访问。该公司还表示,攻击者还访问了大约300000个用户的数据。MercadoLibre总部位于布宜诺斯艾利斯,是拉丁美洲最大的电子商务和支付生态系统。勒索团伙Lapsus$声称已经访问了Mercado Libre和Mercado Pago的24000个源代码存储。该团伙还在3月7日发起了一项投票,要求用户选出接下来应该泄露数据的公司。
https://www.bleepingcomputer.com/news/security/e-commerce-giant-mercado-libre-confirms-source-code-data-breach/
Akamai在野外发现多起利用Mitel设备的DDoS攻击活动
3月8日,Akamai发布关于利用Mitel设备的DDoS攻击活动的分析报告。研究人员观察到利用反射和放大方法来进行长达14小时的DDoS攻击活动,放大率高达4294967296:1。报告指出,漏洞TP240PhoneHome(CVE-2022-26143)已被武器化,以发动针对宽带ISP、金融机构、物流公司、游戏公司等组织的DDoS攻击。约有2600个暴露的Mitel MiCollab和MiVoice Business Express协作系统,被攻击者用于发起每秒超过5300万个包(PPS)的DDoS攻击。
https://www.akamai.com/blog/security/phone-home-ddos-attack-vector
Mandiant发布关于APT41攻击美国政府机构的分析报告
Mandiant在3月8日发布一份报告,详述了APT41针对美国政府机构攻击活动。报告指出,在2021年5月至2022年2月期间,APT41已攻击了至少6个美国州政府机构,利用了USAHERDS 应用程序中的0 day( CVE-2021-44207 ) 和Log4j中的0 day( CVE-2021-44228 )。此外,攻击者还使用了新的模块化C++后门KEYPLUG和特制的dropper DUSTPAN,并在C2通信和数据泄露方面大量使用Cloudflare服务。
https://www.mandiant.com/resources/apt41-us-state-governments
Clearview AI因收集人脸图像被GPDP罚款2000万欧元
据3月9日报道,意大利隐私担保人(GPDP)对Clearview AI处以20000000欧元的罚款,原因是该公司在未征得用户同意的情况下在意大利实施了一个生物识别监控网络。调查显示,这家美国的面部识别软件公司拥有一个包含100亿张人脸图像的数据库,其中包括从网站中的个人资料和在线视频中提取的意大利公民面部图像数据。该机构还称Clearview AI拥有非法获得的地理位置数据。Clearview辩护称在意大利市场的测试已于2020年3月结束,但GPDP否决了这一论点。
https://www.bleepingcomputer.com/news/legal/clearview-ai-fined-20m-for-collecting-italians-biometric-data/
安全工具
LAZYPARIAH
易于安装的命令行工具,用纯Ruby编写,用于产生反向shell payload。
https://github.com/octetsplicer/LAZYPARIAH
lnkbomb
用于收集NTLM哈希的恶意快捷方式发生器。
https://github.com/dievus/lnkbomb
AWS_Loot
搜索一个AWS环境中寻找密钥,通过列举环境变量和源代码。
https://github.com/sebastian-mora/AWS-Loot
PwnKit-Exploit
CVE-2021-4034的概念证明 (PoC)。
安全分析
谷歌以 54 亿美元收购网络安全公司 Mandiant
https://thehackernews.com/2022/03/google-buys-cybersecurity-firm-mandiant.html
Apple 发布 iOS 15.4 RC,下周全面上线
https://news.softpedia.com/news/apple-releases-ios-15-4-rc-full-launch-next-week-535010.shtml
Windows 10 KB5011487 和 KB5011485 更新发布
https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5011487-and-kb5011485-updates-released/
如何对 Apple 设备进行网络安全审查
https://www.hackread.com/how-to-give-apple-devices-a-cybersecurity-review/
Adobe 修补 Illustrator、After Effects 中的“严重”安全漏洞
https://www.securityweek.com/adobe-patches-critical-security-flaws-illustrator-after-effects