信息安全周报-2021年第16周
发布时间 2021-04-19> 本周安全态势综述
2021年04月12日至04月18日共收录安全漏洞56个,值得关注的是Adobe Photoshop CVE-2021-28549缓冲区溢出代码执行漏洞;Google Chrome Blink内存错误引用代码执行漏洞;Apache Tapestry远程代码执行漏洞;Microsoft Exchange Server CVE-2021-28483远程代码执行漏洞;SolarWinds Orion Platform特权提升漏洞。
本周值得关注的网络安全事件是巴西金融公司Iugu数据库配置错误泄露1.7 TB数据;研究人员称超过53万个华为手机感染Joker恶意软件;Bitdefender发布2020年威胁态势和犯罪趋势的回顾报告;Forescout披露影响上亿台设备的DNS漏洞NAME:WRECK;Microsoft发布4月补丁,修复5个0day在内的108个漏洞。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1.Adobe Photoshop CVE-2021-28549缓冲区溢出代码执行漏洞
Adobe Photoshop处理文件存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://helpx.adobe.com/security/products/photoshop/apsb21-28.html
2.Google Chrome Blink内存错误引用代码执行漏洞
Google Chrome Blink存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB页请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-411/
3.Apache Tapestry远程代码执行漏洞
Apache Tapestry存在安全绕过漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
http://www.openwall.com/lists/oss-security/2021/04/15/1
4.Microsoft Exchange Server CVE-2021-28483远程代码执行漏洞
Microsoft Exchange Server存在未明安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28483
5.SolarWinds Orion Platform特权提升漏洞
SolarWinds Orion Platform SaveUserSetting存在缺陷漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可把guest用户提升为管理员。
https://www.zerodayinitiative.com/advisories/ZDI-21-192/
> 重要安全事件综述
1、巴西金融公司Iugu数据库配置错误泄露1.7 TB数据
研究人员Bob Diachenko于上周三发现,巴西金融科技Iugu因数据库服务器配置错误泄露1.7 TB数据。此次事件泄露了从2013年到2021年的敏感数据,包括客户电子邮件、用户名、电话号码和地址、交易记录、文档和其他财务详细信息等。Iugu确认该数据库暴露了大约两个小时,仅泄露了备份数据中大约1%的可用信息,目前泄露的数据已被保护起来。
原文链接:
https://canaltech.com.br/seguranca/vazamento-expoe-17-tb-de-dados-dos-clientes-da-fintech-brasileira-iugu-na-web-182312/
2、研究人员称超过53万个华为手机感染Joker恶意软件
安全公司Doctor Web称超过53万个华为手机在其官方商店AppGallery下载了受Joker(又名Bread)恶意软件感染的应用。Joker可被用来执行广泛的恶意操作,包括禁用Google Play保护服务、安装恶意应用程序、生成虚假评论和显示广告等。涉及的应用包括包括虚拟键盘、相机、启动器、在线Messenger、贴纸收集、着色程序和游戏等,其中大多数应用来自于同一位开发人员(山西快来拍网络技术有限公司)。
原文链接:
https://securityaffairs.co/wordpress/116643/malware/huawei-store-joker-malware.html
3、Bitdefender发布2020年威胁态势和犯罪趋势的回顾报告
Bitdefender发布了2020年网络威胁态势和犯罪趋势的回顾报告。报告指出,勒索软件攻击在全球范围内激增485%,在2020年Q1和Q2占所有攻击的64%;智能电视的漏洞数量增加了338%;NAS设备中的漏洞数量同比增长198%。此外,在检测到的所有Android恶意软件中,有35%来自Android.Trojan.Agent系列,其次是Android.Trojan.Downloader(占10%)和Android.Trojan.Banker(占7%)。
原文链接:
https://www.bitdefender.com/files/News/CaseStudies/study/395/Bitdefender-2020-Consumer-Threat-Landscape-Report.pdf
4、Forescout披露影响上亿台设备的DNS漏洞NAME:WRECK
安全公司Forescout和以色列安全团队JSOF联合披露了TCP/IP堆栈中DNS协议中的9个安全漏洞,统称为NAME:WRECK,影响了1亿个在Internet上运行的设备。攻击者可以利用这些漏洞使设备脱机或者完全控制设备。这些漏洞中最严重的为IPnet中的RCE漏洞(CVE-2016-20009),严重性得分为9.8。其次为RCE(CVE-2020-7461、CVE-2020-15795和CVE-2020-27009)和DoS(CVE-2020-27736和CVE-2020-27737)等漏洞。
原文链接:
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
5、Microsoft发布4月补丁,修复5个0day在内的108个漏洞
Microsoft发布了4月份的周二补丁,总计修复了包含5个0day在内的108个漏洞。此次修复的0day包括RPC端点映射器的提权漏洞(CVE-2021-27091)、NTFS拒绝服务漏洞(CVE-2021-28312)、Windows安装程序中的信息泄露漏洞(CVE-2021-28437)、Azure ms-rest-nodeauth库的提权漏洞(CVE-2021-28458)以及Win32k中的提权漏洞(CVE-2021-28310)。其中,CVE-2021-28310漏洞是Kaspersky在野发现的,已被APT组织BITTER利用。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2021-patch-tuesday-fixes-108-flaws-5-zero-days/
京公网安备11010802024551号