信息安全周报-2021年第47周
发布时间 2021-11-22>本周安全态势综述
本周共收录安全漏洞67个,值得关注的是Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出漏洞;Google Chrome media内存错误引用代码执行漏洞;Lantronix PremierWave 2050 CVE-2021-21888命令注入漏洞;Adobe Media Encoder M4A缓冲区溢出漏洞;Apache ShenYu未授权访问漏洞。
本周值得关注的网络安全事件是FBI邮件系统遭到入侵发送数十万条虚假的攻击警报;网信办发布《网络数据安全管理条例(征求意见稿)》;Facebook发现SideCopy伪造Android应用商店的攻击;Google发布11月更新,修复Chrome中的多个漏洞;Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出漏洞
Advantech WebAccess HMI Designer项目文件处理存在堆溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。
https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01
2. Google Chrome media内存错误引用代码执行漏洞
Google Chrome media存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB页请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
3. Lantronix PremierWave 2050 CVE-2021-21888命令注入漏洞
Lantronix PremierWave 2050处理HTTP请求验证存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意命令。
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1332
4. Adobe Media Encoder M4A缓冲区溢出漏洞
Adobe Media Encoder M4A存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html
5. Apache ShenYu未授权访问漏洞
Apache ShenYu Admin ShenyuAdminBootstrap存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可绕过安全限制未授权访问。
https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb
>重要安全事件综述
1、FBI邮件系统遭到入侵发送数十万条虚假的攻击警报
FBI邮件系统在11月13日遭到入侵,被用来发送数十万条虚假的攻击警报。这些邮件冒充国土安全部 (DHS),声称收件人遭到了来自Vinny Troia的链式攻击。但此人是安全公司NightLion和Shadowbyte的负责人,研究人员推断此次活动旨在诋毁安全人员Troia。Spamhaus公司表示,这些邮件都来自FBI执法企业门户(LEEP)的合法地址eims@ic.fbi.gov,IP地址为153.31.119.142(mx-east-ic.fbi.gov)。FBI称由于软件按配置错误,使得攻击者可以利用LEEP发送伪造的邮件。
原文链接:
https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html
2、网信办发布《网络数据安全管理条例(征求意见稿)》
国家网信办于11月14日发布了《网络数据安全管理条例(征求意见稿)》的公开征求意见通知。截至今年6月,我国网民规模达10.11亿,由此产生的网络数据量更是天文数字。该条例规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。中国互联网协会法工委副秘书长胡钢指出,这是新时代规范互联网平台企业,强化反垄断和资本无序扩张的应有之义,也是维护国家安全、保护社会公共利益的需要。
原文链接:
http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
3、Facebook发现SideCopy伪造Android应用商店的攻击
Facebook的安全团队在11月16日披露了巴基斯坦黑客团伙SideCopy新一轮的钓鱼活动。此次活动在今年4月至8月之间,建立并运营了一个伪造的Android应用商店。攻击者主要通常会冒充年轻女性来接近目标,诱使其打开用来用来收集信息的钓鱼网站或者伪造的Android应用商店。然后通过伪装成聊天应用的恶意软件,分发PJobRAT和Mayhem等。
原文链接:
https://therecord.media/pakistani-hackers-operated-a-fake-app-store-to-target-former-afghan-officials/
4、Google发布11月更新,修复Chrome中的多个漏洞
11月16日,Google发布了本月Chrome的安全更新,总计修复了25个漏洞。其中,较为严重的是在媒体中的释放后使用漏洞(CVE-2021-38008)、V8中的类型混淆漏洞(CVE-2021-38007)和加载器中释放后使用漏洞(CVE-2021-38005)等。此外,还修复了指纹识别中的堆缓冲区溢出漏洞(CVE-2021-38013)和Swiftshader中的越界写入(CVE-2021-38014)等漏洞。
原文链接:
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
5、Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击
美国网络安全公司Cloudflare在11月15日宣布其抵御了迄今为止遇到的最大攻击DDoS攻击,峰值略低于2 Tbps。此次攻击活动是结合了DNS放大攻击和UDP泛洪的多向量攻击,整个过程只持续了一分钟,来自约15000个机器人组成的僵尸网络Mirai变种。Cloudflare报告称第三季度网络层DDoS攻击活动比上一季度增加了44%,该公司在8月抵御了每秒1720万次请求的DDoS攻击,微软在10月称其云服务Azure抵御了2.4 Tbps的DDoS攻击。
原文链接:
https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html
京公网安备11010802024551号