信息安全周报-2021年第43周
发布时间 2021-10-26>本周安全态势综述
本周共收录安全漏洞61个,值得关注的是Linux Kernel Bluetooth CMTP模块两次释放权限提升漏洞;Oracle MySQL Cluster Data Node缓冲区溢出代码执行漏洞;Google Chrome Skia堆溢出代码执行漏洞;Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代码执行漏洞;AUVESY Versiondog验证机制绕过漏洞。
本周值得关注的网络安全事件是美国FinCEN发布关于勒索攻击态势的分析报告;REvil称其网站已被劫持,可能会再次终止运营;Symantec发现Harvester针对南亚电信行业的攻击活动;研究人员发现广告拦截扩展AllBlock插入广告的活动;研究人员发现LightBasin团伙攻击全球的电信公司。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Linux Kernel Bluetooth CMTP模块两次释放权限提升漏洞
Linux Kernel Bluetooth CMTP模块存在两次释放漏洞,允许本地攻击者利用漏洞提交特殊的请求,可提升权限。
https://www.zerodayinitiative.com/advisories/ZDI-21-1223/
2. Oracle MySQL Cluster Data Node缓冲区溢出代码执行漏洞
Oracle MySQL Cluster处理Data Node作业存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-1232/
3. Google Chrome Skia堆溢出代码执行漏洞
Google Chrome Skia存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_19.html
4. Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代码执行漏洞
Oracle Fusion Middleware Oracle WebLogic Server Coherence Container组件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.oracle.com/security-alerts/cpuoct2021.html
5. AUVESY Versiondog验证机制绕过漏洞
AUVESY Versiondog验证存在设计漏洞,允许远程攻击者利用漏洞提交特殊的请求,可无需提供任意形式验证与服务器初始化会话,未授权访问系统。
https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01
>重要安全事件综述
1、美国FinCEN发布关于勒索攻击态势的分析报告
美国财政部的金融犯罪执法网络 (FinCEN) 在10月15日发布了关于勒索攻击态势的分析报告。FinCEN分析了2011年1月1日至2021年6月30日期间提交的2184份SAR(可疑活动报告),发现了大约52亿美元的BTC交易可能与勒索攻击的相关。2021上半年与勒索攻击相关的SAR涉及5.9亿美元,已经超过了2020年全年的4.16亿美元。报告还确定了68种活跃的勒索软件变种(最常见的是REvil/Sodinokibi、Conti、DarkSide、Avaddon和Phobos)。
原文链接:
https://www.fincen.gov/sites/default/files/shared/Financial%20Trend%20Analysis_Ransomeware%20508%20FINAL.pdf
2、REvil称其网站已被劫持,可能会再次终止运营
10月17日,勒索运营团伙REvil的成员0_neday在黑客论坛XSS上称有人入侵了他们的服务器。0_neday表示,莫斯科时间12:00开始,攻击者利用其私钥调出了REvil隐藏服务,还称他们没有发现服务器遭到攻击的迹象。但17日晚上,0_neday再次发帖称他们的服务器遭到了入侵。目前尚不清楚攻击者如何获得的REvil私钥,研究人员推测这是执法部门所为。此外,此次攻击可能会导致REvil永久性的关闭。
原文链接:
https://www.bleepingcomputer.com/news/security/revil-ransomware-shuts-down-again-after-tor-sites-were-hijacked/
3、Symantec发现Harvester针对南亚电信行业的攻击活动
Symantec在10月18日披露了一个新的由国家支持的黑客团伙Harvester的攻击活动。此次攻击活动瞄准了南亚的组织,特别是阿富汗,针对电信和IT行业的公司以及官方组织,开始于2021年6月,最近一次活动发生在2021年10月。在技术方面,攻击者在目标中安装了一个名为Backdoor.Graphon的自定义后门,以及其他自定义下载器和截图工具。目前尚不清楚初始感染媒介是什么,但研究人员在被黑设备上发现的第一个关于此次活动的证据是恶意URL。
原文链接:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/harvester-new-apt-attacks-asia
4、研究人员发现广告拦截扩展AllBlock插入广告的活动
Imperva的研究人员在8月下旬发现了一种新的广告插入活动。该活动利用了Chrome和Opera浏览器上的广告拦截扩展程序AllBlock,针对一些大型网站的用户。研究人员称,该扩展可以将合法URL重定向到由攻击者控制的附属链接,并且开发者还使用了多种技术来绕过检测,包括每100毫秒清除一次调试控制台。目前,该扩展已从Chrome网上应用店中删除。
原文链接:
https://securityaffairs.co/wordpress/123488/cyber-crime/ad-blocking-chrome-extension-allblock.html
5、研究人员发现LightBasin团伙攻击全球的电信公司
10月19日,CrowdStrike研究人员称LightBasin在过去五年中一直攻击全球各地的通信网络。该团伙至少从2016年就开始活跃,主要针对Linux和Solaris系统,自2019年以来已经攻击了至少13家电信公司。LightBasin的目标系统包括外部DNS服务器(eDNS)、服务交付平台系统(SDP)和SIM/IMEI配置,这些都是通用分组无线电服务(GPRS)网络的一部分,在成功入侵之后会安装自定义恶意软件SLAPSTICK。
原文链接:
https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/
京公网安备11010802024551号