信息安全周报-2021年第6周
发布时间 2021-02-08> 本周安全态势综述
2021年02月01日至02月07日共收录安全漏洞66个,值得关注的是Apache Shiro访问绕过漏洞;Apache Dubbo decodeBody反序列化代码执行漏洞;Siemens Comfort Panel Telnet服务无验证代码执行漏洞;Sonicwall SMA100 SQL注入漏洞;Apple macOS CoreText TTF越界写代码执行漏洞。
本周值得关注的网络安全事件是Cisco发布2021年数据隐私基准的研究报告;Azure Functions中存在提权漏洞,可逃逸至Docker主机;NCC Group检测到利用SonicWall中0day的攻击活动;Agent Tesla尝试篡改微软AMSI来绕过杀毒软件检测;货运公司Forward Air感染Hades,损失达750万美元。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1.Apache Shiro访问绕过漏洞
Apache Shiro使用spring存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问服务。
https://lists.apache.org/thread.html/rce5943430a6136d37a1f2fc201d245fe094e2727a0bc27e3b2d43a39%40%3Cdev.shiro.apache.org%3E
2.Apache Dubbo decodeBody反序列化代码执行漏洞
Apache Dubbo decodeBody处理存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以服务上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-128/
3.Siemens Comfort Panel Telnet服务无验证代码执行漏洞
Siemens Comfort Panel Telnet服务无验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以ROOT上下文执行任意代码。
https://us-cert.cisa.gov/ics/advisories/icsa-21-033-02
4.Sonicwall SMA100 SQL注入漏洞
Sonicwall SMA100 WEB接口存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或执行任意代码。
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
5.Apple macOS CoreText TTF越界写代码执行漏洞
Apple macOS CoreText TTF解析存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-149/
> 重要安全事件综述
1、Cisco发布2021年数据隐私基准的研究报告
Cisco发布了2021年数据隐私基准的研究报告。研究调查了来自25个国家和地区的4400多个组织,并探讨了他们对隐私法规的态度。报告显示,60%的组织没有为远程工作所涉及的隐私和安全要求做好准备,93%的组织通过隐私保护团队来应对这些挑战,87%的个人担心他们所使用的远程工具的隐私保护问题。此外,现已有140多个司法管辖区制定了隐私保护法,近80%的受访者认为这些法律具有积极影响。
原文链接:
https://blogs.cisco.com/security/privacy-comes-of-age-during-the-pandemic
2、Azure Functions中存在提权漏洞,可逃逸至Docker主机
Intezer Lab的研究人员披露了Microsoft Azure Functions中未修复的提权漏洞,攻击者可能利用来逃逸至Docker主机。Azure Functions可以由HTTP请求触发,用户的代码在Azure托管的容器上运行,但是代码没有被安全分割,并且可能被滥用来访问底层环境。研究人员发现可以通过创建一个HTTP触发器来执行shell,以无特权的app用户身份在容器查找属于root权限的进程接口。
原文链接:
https://securityaffairs.co/wordpress/114061/hacking/azure-functions-escape-docker.html
3、NCC Group检测到利用SonicWall中0day的攻击活动
网络安全公司NCC Group周日称,它已检测到针对SonicWall网络设备中零日漏洞的主动利用尝试。目前尚不清楚此漏洞是否与SonicWall在1月23日披露的漏洞相同,但NCC认为这是极有可能的。SonicWall在其SMA 100安全公告的更新中已确认了NCC Group发现的零日漏洞,列出了受影响的设备型号并表示会在2月2日之前发布补丁程序。有关漏洞的细节并未公开,以防止其他攻击者对其进行研究并发动攻击。
原文链接:
https://www.zdnet.com/article/sonicwall-zero-day-exploited-in-the-wild/
4、Agent Tesla尝试篡改微软AMSI来绕过杀毒软件检测
Sophos研究人员发现间谍软件Agent Tesla尝试篡改微软防恶意软件软件接口(AMSI),来绕过杀毒软件的扫描和分析。Agent Tesla于2014年首次被发现,是一种用.NET编写的商业RAT。Sophos表示,该恶意软件正在不断开发中,其.NET下载程序可调用并下载托管在合法网站上的恶意代码。在成功篡改AMSI后该恶意软件可在没有任何干扰的情况下完整部署,以窃取数据,主要针对Opera、Chromium、Chrome、Firefox、OpenVPN和Outlook等应用。
原文链接:
https://www.zdnet.com/article/agent-tesla-ramps-up-its-game-in-bypassing-security-walls-attacks-endpoint-protection/
5、货运公司Forward Air感染Hades,损失达750万美元
货运公司Forward Air遭到了Hades勒索软件攻击,造成的损失达750万美元。该攻击事件发生在去年12月15日,因感染Hades导致该公司将所有IT系统脱机以应对入侵。导致驾驶员和员工无法获取必要的文件以通过海关清关运输,其运营受到严重破坏。尽管Forward Air表示其已成功地从攻击中恢复,但还是付出了沉重代价,其在第四季度的财务业绩中的损失高达750万美元。
原文链接:
https://www.zdnet.com/article/trucking-company-forward-air-said-its-ransomware-incident-cost-it-7-5-million/
京公网安备11010802024551号