信息安全周报-2021年第50周
发布时间 2021-12-13>本周安全态势综述
本周共收录安全漏洞60个,值得关注的是Apache Log4j2任意代码执行漏洞;Tencent WeChat WXAM Decoder内存错误引用代码执行漏洞;Google golang ForrkExec拒绝服务漏洞;Mozilla Firefox file picker dialog内存错误引用代码执行漏洞;Veritas Enterprise Vault CVE-2021-44680代码执行漏洞。
本周值得关注的网络安全事件是magnat利用伪造的WeChat等安装程序分发后门;MailGuard发现以微软垃圾邮件通知为主题的钓鱼活动;Google捣毁控制着超过100万台设备的僵尸网络Glupteba;SonicWall发布更新,修复SMA 100系列中多个漏洞;新勒索软件Cerber瞄准Confluence和GitLab服务器。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Apache Log4j2任意代码执行漏洞
Apache Log4j2存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志记录,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
https://github.com/apache/logging-log4j2/commit/7fe72d6
2. Tencent WeChat WXAM Decoder内存错误引用代码执行漏洞
Tencent WeChat WXAM Decoder存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-1446/
3. Google golang ForrkExec拒绝服务漏洞
Google golang ForrkExec处理存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使服务程序崩溃,造成拒绝服务攻击。
https://github.com/golang/go/commit/99950270f3cf52cccc6966d8668ff21b573bb6f5
4. Mozilla Firefox file picker dialog内存错误引用代码执行漏洞
Mozilla Firefox file picker dialog存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的web页请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.mozilla.org/en-US/security/advisories/mfsa2021-48/
5. SVeritas Enterprise Vault CVE-2021-44680代码执行漏洞
Veritas Enterprise Vault应用启动服务存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.veritas.com/content/support/en_US/security/VTS21-003
>重要安全事件综述
1、magnat利用伪造的WeChat等安装程序分发后门
Cisco Talos在12月3日公开了magnat的攻击活动。此次攻击始于2018年底,自2021年4月以来达到峰值,主要针对加拿大,其次是美国、澳大利亚、意大利、西班牙、挪威等国。攻击者利用伪造的Viber、WeChat、NoxPlayer和Battlefield等应用和游戏的安装程序,诱使目标下载后门程序和恶意Chrome扩展程序,最终会窃取凭据、系统中的敏感数据以及远程访问权限。
原文链接:
https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html
2、MailGuard发现以微软垃圾邮件通知为主题的钓鱼活动
邮件安全公司MailGuard在12月2日发现以微软垃圾邮件通知为主题的钓鱼活动。这些邮件发送自quarantine[at]messaging.microsoft.com,显示的名称是收件人的域,通过这种方式来增加其可信度。该钓鱼邮件提示目标有被隔离的垃圾邮件,当目标点击查看后会被重定向到钓鱼网站并被要求输入Office 365凭证。微软公司在8月份透露,自2020年7月开始的鱼叉式钓鱼活动多次针对Office 365用户。
原文链接:
https://www.mailguard.com.au/blog/scammers-mimic-microsoft-with-spam-notification-phishing-email
3、Google捣毁控制着超过100万台设备的僵尸网络Glupteba
Google在12月7日宣布其已捣毁控制着超过100万台设备的僵尸网络Glupteba。Glupteba自2011年以来一直活跃,是一种支持区块链的模块化恶意软件,主要针对美国、印度、巴西和东南亚的国家,每天新增感染设备的数量高达数千台。该僵尸网络主要通过破解或盗版软件和PPI方案传播,感染目标后会窃取加密货币、用户凭据和cookie,并在目标设备上部署代理,随后出售给其他攻击者。
原文链接:
https://www.bleepingcomputer.com/news/security/google-disrupts-massive-glupteba-botnet-sues-russian-operators/
4、SonicWall发布更新,修复SMA 100系列中多个漏洞
SonicWall在12月7日发布更新,修复SMA 100系列设备中的多个漏洞。此次修复的最为严重的漏洞是基于堆栈的缓冲区溢出漏洞(CVE-2021-20038),CVSS评分为9.8,由于设备的Apache httpd服务器中的HTTP GET方法的环境变量使用了strcat()函数导致的;其次是缓冲区溢出漏洞(CVE-2021-20045),CVSS评分9.4。此外,还修复了缓冲区溢出漏洞(CVE-2021-20043)和认证命令注入漏洞(CVE-2021-20039)等。
原文链接:
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/sonicwall-releases-security-advisory-sma-100-series-appliances
5、新勒索软件Cerber瞄准Confluence和GitLab服务器
12月7日,研究人员发现使用了旧名称的新勒索软件Cerber。勒索软件Cerber于2016年出现,直到2019年底消失。从上个月开始,Cerbe回归,但是它与旧版并不相同,代码不匹配,新版使用Crypto+++库而旧版本使用Windows CryptoAPI库,并且旧版Cerber也没有Linux变体。新Cerber的赎金要求从1000美元到3000美元不等,利用了CVE-2021-26084和CVE-2021-22205漏洞瞄准Confluence和GitLab服务器,主要针对美国、德国和中国。
原文链接:
https://www.bleepingcomputer.com/news/security/new-cerber-ransomware-targets-confluence-and-gitlab-servers/
京公网安备11010802024551号