信息安全周报-2021年第30周
发布时间 2021-07-26> 本周安全态势综述
2021年07月19日至07月25日共收录安全漏洞66个,值得关注的是Motorola CX2 HNAP1/GetNetworkTomographySettings命令执行漏洞;Oracle E-Business Suite Oracle Marketing CVE-2021-2355代码执行漏洞;Schneider Electric EVlink City硬编码漏洞;Teradici PCOIP Software Agent vHub驱动程序特权提升漏洞;Apple macOS Big Sur Model I/O图像越界写代码执行漏洞。
本周值得关注的网络安全事件是研究团队披露Windows远程打印服务中的新0day;Check Point发布2021年Q2品牌网络钓鱼分析报告;ZeroX团伙在暗网出售石油公司沙特阿美1TB的数据;新的MosaicLoader可利用Windows Defender绕过检测;Qualys披露Linux内核中的本地提权漏洞Sequoia。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1.Motorola CX2 HNAP1/GetNetworkTomographySettings命令执行漏洞
Motorola CX2 router CX HNAP1/GetNetworkTomographySettings存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意命令。
https://github.com/cc-crack/router/blob/master/motocx2.md
2.Oracle E-Business Suite Oracle Marketing CVE-2021-2355代码执行漏洞
Oracle E-Business Suite Oracle Marketing存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.oracle.com/security-alerts/cpujul2021.html
3.Schneider Electric EVlink City硬编码漏洞
Schneider Electric EVlink City存在硬编码漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以管理员上下文未授权访问系统。
http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-06
4.Teradici PCOIP Software Agent vHub驱动程序特权提升漏洞
Teradici PCOIP Software Agent vHub驱动程序可接受来自任意程序的命令,允许远程攻击者利用漏洞提交特殊的请求,可提升特权。
https://advisory.teradici.com/security-advisories/100/
5.Apple macOS Big Sur Model I/O图像越界写代码执行漏洞
Apple macOS Big Sur Model I/O图像处理存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以内核上下文执行任意代码。
https://support.apple.com/en-us/HT212602l
> 重要安全事件综述
1、研究团队披露Windows远程打印服务中的新0day
研究团队公开披露了一个新的0day,攻击者利用该漏洞可以通过远程打印服务获得Windows上的SYSTEM权限。研究人员Benjamin Delpy称,该漏洞利用了Windows Point and Print功能中的“Queue-Specific Files”特性。在安装打印机时,供应商提供的安装程序可以指定一组与特定打印队列相关联的任何类型的文件,该文件将被下载到每一个连接到此打印服务器的客户端。因此,当客户端连接到攻击者所控制的打印服务器时,将自动下载并以SYSTEM权限执行恶意DLL。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/
2、Check Point发布2021年Q2品牌网络钓鱼分析报告
Check Point发布了2021年Q2品牌网络钓鱼分析报告。报告指出,与2020年Q4和2021年Q1一样,Microsoft再次成为网络犯罪分子最常针对的品牌,45%的品牌网络钓鱼尝试都与Microsoft有关,比Q1增加了6%。航运公司DHL为第二大目标,占比为26%。其次为亚马逊(11%)、Bestbuy(4%)、谷歌(3%)、领英(3%)、Dropbox(1%)、Chase(1%)、苹果(%)和Paypal(0.5%)。此外,科技仍然是品牌网络钓鱼攻击最主要的目标行业,其次是运输和零售行业。
原文链接:
https://blog.checkpoint.com/2021/07/15/brand-phishing-report-q2-2021-microsoft-continues-reign/
3、ZeroX团伙在暗网出售石油公司沙特阿美1TB的数据
本月,一个名为ZeroX的黑客团伙在暗网以500万美元的价格出售沙特阿美公司1TB的数据。沙特阿拉伯石油公司简称沙特阿美(Saudi Aramco),是世界上最大的公共石油和天然气公司之一,拥有超过66000名员工,年收入近2300亿美元。ZeroX称这些数据是在2020年通过入侵沙特阿美的网络及服务器获得的,其中最早的可追溯到1993年。此次泄露的数据包括14254名员工的完整信息、各种系统的项目规范;内部分析报告、协议、信函、定价表;Scada点、Wi-Fi、IP摄像机和IoT设备的网络布局;Aramco客户名单、发票和合同等。
原文链接:
https://www.bleepingcomputer.com/news/security/saudi-aramco-data-breach-sees-1-tb-stolen-data-for-sale/
4、新的MosaicLoader可利用Windows Defender绕过检测
Bitdefender研究人员发现新恶意软件MosaicLoader可利用Windows Defender绕过检测。该恶意软件通过搜索引擎结果伪装成破解软件,具有复杂的内部结构,旨在绕过恶意软件分析。其模仿类似于合法软件的文件信息并使用小块和无序执行顺序进行代码混淆。在成功感染目标后,最初的基于Delphi的dropper会从远程服务器获取下一阶段的payload,并在Windows Defender中为下载的可执行文件添加本地排除项以绕过杀毒软件的扫描。
原文链接:
https://thehackernews.com/2021/07/this-new-malware-hides-itself-among.html
5、Qualys披露Linux内核中的本地提权漏洞Sequoia
Qualys研究人员披露了Linux内核中的本地提权漏洞Sequoia。该漏洞追踪为CVE-2021-33909,存在于用来管理用户数据的文件系统层,是由于fs/seq_file.c没有正确限制seq缓冲区分配而导致的。Qualys称,该漏洞影响了自2014年以来发布的所有Linux内核版本。此外,研究人员还发现了systemd中的一个堆栈耗尽导致的拒绝服务漏洞(CVE-2021-33910),存在于2015年4月之后发布的所有systemd版本中。
原文链接:
https://www.bleepingcomputer.com/news/security/new-linux-kernel-bug-lets-you-get-root-on-most-modern-distros/
京公网安备11010802024551号