信息安全周报-2021年第19周
发布时间 2021-05-10> 本周安全态势综述
2021年05月03日至05月09日共收录安全漏洞54个,值得关注的是Tenda AC11 /goform/setVLAN缓冲区溢出漏洞;Pulse Secure Pulse Connect Secure证书服务WEB服务内存错误应用代码执行漏洞;Linux Kernel eBPF权限提升漏洞;Trend Micro IM Security弱令牌验证绕过漏洞;Foxit Reader CVE-2021-31468内存错误引用代码执行漏洞。
本周值得关注的网络安全事件是比利时Belnet遭到DDoS攻击,多个官方网站无法访问;Qualys披露Exim中影响数百万台服务器的漏洞21Nails;FireEye发布有关UNC2529钓鱼活动的分析报告;Win10 Defender中存在bug,可在C盘创建大量文件;高通芯片存在代码执行漏洞,影响30%的Android系统。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1.Tenda AC11 /goform/setVLAN缓冲区溢出漏洞
Tenda AC11 /goform/setVLAN存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://github.com/Yu3H0/IoT_CVE/tree/main/Tenda/CVE_4
2.Pulse Secure Pulse Connect Secure证书服务WEB服务内存错误应用代码执行漏洞
Pulse Secure Pulse Connect Secure证书服务WEB服务存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/p?pubstatus=o
3.Linux Kernel eBPF权限提升漏洞
Linux Kernel eBPF存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可提升权限。
https://www.zerodayinitiative.com/advisories/ZDI-21-503/
4.Trend Micro IM Security弱令牌验证绕过漏洞
Trend Micro IM Security监听16373端口的WEB控制台存在弱会话漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过安全限制,未授权访问。
https://www.zerodayinitiative.com/advisories/ZDI-21-525/
5.Foxit Reader CVE-2021-31468内存错误引用代码执行漏洞
Foxit Reader U3D越界读漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-557/
> 重要安全事件综述
1、比利时Belnet遭到DDoS攻击,多个官方网站无法访问
比利时Belnet于周二遭到大规模DDoS攻击,多个官方网站无法访问。Belnet(比利时 国家研究和教育网络)是为比利时教育机构、研究中心、科学研究所和政府服务提供服务的互联网提供商。据估计,这次攻击影响了比利时的200多个组织,包括政府、警察局和COVID-19疫苗预订等网站。目前,比利时当局正在调查此事件,尚不清楚发动此次攻击的攻击者。
原文链接:
https://news.softpedia.com/news/belgium-was-hit-by-a-massive-cyberattack-532812.shtml
2、Qualys披露Exim中影响数百万台服务器的漏洞21Nails
Qualys披露Exim邮件传输代理(MTA)软件影响数百万台服务器的21个漏洞,统称为21Nails。这些漏洞有10个可被远程利用,另外11个为本地漏洞,未经身份验证的攻击者可组合使用这些漏洞,来远程执行代码,并在Exim Server上获得root权限。这些漏洞分别为queue_run()中的堆缓冲区溢出漏洞(CVE-2020-28011)、tls-openssl.c中的释放后使用漏洞(CVE-2020-28018)等。研究人员建议用户立即升级到最新的可用Exim版本。
原文链接:
https://www.bleepingcomputer.com/news/security/critical-21nails-exim-bugs-expose-millions-of-servers-to-attacks/
3、FireEye发布有关UNC2529钓鱼活动的分析报告
FireEye发布了有关UNC2529钓鱼活动的分析报告。FireEye的Mandiant团队发现2020年12月2日,和2020年12月11日至12月18日之间发生的两轮钓鱼活动,主要以美国、欧洲、中东、非洲、亚洲和澳大利亚的公司为目标。攻击者总共使用了超过50个域,利用定制的钓鱼邮件,针对包括国防、医药、运输、军事和电子等不同的行业。在一次攻击活动中,UNC2529成功入侵了美国一家供暖和制冷服务公司的域并篡改了其DNS记录。
原文链接:
https://www.fireeye.com/blog/threat-research/2021/05/unc2529-triple-double-trifecta-phishing-campaign.html
4、Win10 Defender中存在bug,可在C盘创建大量文件
Windows Defender存在bug,可在C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store文件夹内创建大量MD5哈希文件。这些文件的大小为600字节到1KB,有的系统中只有大约1MB的文件,而有的用户则称其系统存在大量的文件,占用了30GB的存储空间。目前,该问题已在Windows Defender 1.1.18100.6版本中修复。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/windows-defender-bug-fills-windows-10-boot-drive-with-thousands-of-files/
5、高通芯片存在代码执行漏洞,影响30%的Android系统
Check Point发现高通(Qualcomm)调制解调器(MSM)接口(简称为QMI)中存在代码执行漏洞。据统计,全球约30%的手机都在使用QMI,包括Google Pixels、LG、OnePlus、三星Galaxy系列和小米手机。该漏洞追踪为CVE-2020-11292,是qmi_voicei_srvcc_call_config_req处理程序(0x64)中的堆溢出漏洞,攻击者可以利用此漏洞远程执行代码,来访问用户的通话记录和短信。
原文链接:
https://threatpost.com/qualcomm-chip-bug-android-eavesdropping/165934/