信息安全周报-2021年第44周
发布时间 2021-11-01>本周安全态势综述
本周共收录安全漏洞62个,值得关注的是Apache Storm getTopologyHistory服务SHELL命令注入漏洞;Microsoft Azure GridPro代码执行漏洞;Apple macOS bigsur内核代码执行漏洞;BillQuick Web SuiteSQL注入漏洞;Penguin Aurora TV Box 41502未授权访问漏洞。
本周值得关注的网络安全事件是WizardUpdate新变种通过冒充合法软件绕过检测;Microsoft发布NOBELIUM团伙攻击活动的分析报告;Emsisoft发布针对勒索软件BlackMatter的解密器;研究团队披露APT组织Lazarus发起的供应链攻击的细节;伊朗石油公司NIOPDC遭到攻击,全国加油站运营中断。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Apache Storm getTopologyHistory服务SHELL命令注入漏洞
Apache Storm getTopologyHistory服务存在SHELL命令注入漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意代码并以应用程序上下文执行。
https://lists.apache.org/thread.html/r5fe881f6ca883908b7a0f005d35115af49f43beea7a8b0915e377859%40%3Cuser.storm.apache.org%3E
2. Microsoft Azure GridPro代码执行漏洞
Microsoft Azure GridPro请求管理存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://seclists.org/fulldisclosure/2021/Oct/33
3. Apple macOS bigsur内核代码执行漏洞
Apple macOS bigsur内核存在安全漏洞,允许本地攻击者可以利用漏洞提交特殊的请求,可以内核上下文执行任意代码。
https://support.apple.com/zh-cn/HT212872
4. BillQuick Web SuiteSQL注入漏洞
Bqe Software BillQuick Web Suite存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或执行任意代码。
https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware
5. Penguin Aurora TV Box 41502未授权访问漏洞
Penguin Aurora TV Box对特定链接处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,未授权控制系统。
https://www.cnvd.org.cn/flaw/show/2934166
>重要安全事件综述
1、WizardUpdate新变种通过冒充合法软件绕过检测
研究人员在10月22日披露了恶意软件WizardUpdate(又名UpdateAgent)的新变种。WizardUpdate最初于2020年11月被发现,主要针对macOS。该变体开发了新的功能,例如滥用公共云来分发恶意广告软件Adload,并且还能绕过Apple的安全功能Gatekeeper。此外,它使用了偷渡式下载(Drive-by downloads)的方式进行分发,通过冒充合法软件来绕过检测,研究人员尚未透露其模仿了哪些软件。
原文链接:
https://www.hackread.com/updateagent-malware-variant-macos-software/
2、Microsoft发布NOBELIUM团伙攻击活动的分析报告
Microsoft威胁情报中心在10月25日发布了关于NOBELIUM团伙攻击活动的分析报告。NOBELIUM是2020年12月针对SolarWinds的供应链攻击的幕后黑手,自2021年5月以来,该团伙在美国和欧洲发起了有针对性的供应链攻击。此次活动并未利用任何漏洞,而是利用密码喷射、令牌盗窃、API滥用和鱼叉式网络钓鱼等多种技术来窃特权帐户的凭据,从而在云环境中横向移动。
原文链接:
https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/
3、Emsisoft发布针对勒索软件BlackMatter的解密器
安全公司Emsisoft在10月24日公开了勒索软件BlackMatter的解密器。今年早些时候,研究人员发现BlackMatter中存在一个可用于恢复加密文件漏洞,并且他们在之前一直没有透露该漏洞的存在,以防止该团伙修复漏洞。不幸的是,BlackMatter在9月底发现并修复了该漏洞,因此这个解密器仅能解密2021年7月中旬至9月下旬之间被加密的文件。
原文链接:
https://securityaffairs.co/wordpress/123736/security/blackmatter-decryptor-pat-victims.html
4、研究团队披露APT组织Lazarus发起的供应链攻击的细节
Kaspersky研究团队于本周二披露了Lazarus在近期发起的供应链攻击。APT组织Lazarus自2009年以来一直活跃,利用MATA攻击各个行业的组织。在此次活动中,该团伙于5月攻击了拉脱维亚的IT供应商,又在6月份利用后门BLINDINGCAN的新变体攻击了韩国智库。研究人员称,最近的活动展现了两个趋势:Lazarus仍然对国防行业感兴趣,并且还希望通过供应链攻击来扩展其攻击范围。
原文链接:
https://usa.kaspersky.com/about/press-releases/2021_apt-actor-lazarus-attacks-defense-industry-develops-supply-chain-attack-capabilities
5、伊朗石油公司NIOPDC遭到攻击,全国加油站运营中断
伊朗国有石油产品分销公司(NIOPDC)在10月26日遭到攻击。NIOPDC在伊朗全国范围内拥有超过3500个加油站,因为无法支付费用,受影响的加油站在遭到攻击后立即中断了运营。许多加油站的广告牌上都显示着“Khamenei!我们的燃料呢?”和“免费汽油”的字样,此外,加油站的屏幕上显示着“cyebrattack 64411”的字样,其中64411是该国最高领袖Ayatollah Ali Khamenei办公室的电话。尚不确定攻击者的身份,但伊朗当局推断这是由敌对国家发起的网络攻击活动。目前,加油站的运营已恢复。
原文链接:
https://securityaffairs.co/wordpress/123824/hacking/iranian-gas-stations-incident.html
京公网安备11010802024551号