Windows用户安装最新补丁后发现L2TP VPN连接中断
发布时间 2022-01-14Windows用户安装最新补丁后发现L2TP VPN连接中断
据媒体1月12日报道,最新的Windows KB5009543和KB5009566更新会中断L2TP VPN连接。1月11日,Windows用户在安装本月的补丁后,尝试打开Windows VPN客户端进行连接时发现,会显示一条错误消息,指出“无法连接到VPN。L2TP连接请求失败,因为安全层在与远程计算机的初始协商期间遇到了处理错误”,事件日志中记录的错误代码为789。该问题似乎并不会影响所有VPN设备,仅影响使用内置Windows VPN客户端的用户。目前尚无针对此问题的修复方法。
https://www.bleepingcomputer.com/news/microsoft/new-windows-kb5009543-kb5009566-updates-break-l2tp-vpn-connections/
KCodes NetUSB中存在RCE漏洞CVE-2021-45608
SentinelLabs在1月11日发布报告,披露了KCodes NetUSB中新的RCE漏洞的细节。NetUSB是KCodes开发的内核模块连接解决方案,已集成到来自 Netgear、TP-Link、Tenda、EDiMAX、D-Link和Western Digital等供应商的数百万路由器设备中。该漏洞追踪为CVE-2021-45608,CVSSv3评分为9.8,与缓冲区溢出漏洞有关,可被用来在内核中远程执行代码。KCodes已于11月19日修复该漏洞。
https://www.sentinelone.com/labs/cve-2021-45608-netusb-rce-flaw-in-millions-of-end-user-routers/
Intezer发布关于新后门SysJoker的详细技术报告
1月11日,Intezer发布在野外发现的新后门SysJoker的技术报告。研究人员于2021年12月首次发现该恶意软件的活动,它是用C++开发的,主要针对Windows、Linux和macOS,至今未被VirusTotal检测到。恶意软件在感染目标后会创建一个新目录并将其复制为英特尔图形通用用户界面服务(“igfxCUIService.exe”),然后使用LOtL命令收集设备的信息并确保持久性,最后使用硬编码的Google Drive链接来访问C2服务器。
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
Check Point披露伊朗APT35近期攻击活动的细节信息
Check Point在1月11日发布的报告揭示了伊朗APT35近期攻击活动的细节。在此次活动中,APT35(又名Charming Kitten和Phosphorus)利用了Log4Shell漏洞CVE-2021-44228,来安装新的PowerShell后门CharmPower。该后门的主要功能包括:验证网络连接、基本系统枚举、检索C&C域以及接收、解密、执行后续模块。研究人员表示,该模块化后门与APT35过去使用的Android间谍软件之间存在相似之处。
https://research.checkpoint.com/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular-powershell-toolkit/
印度时装公司ABG遭到攻击,客户和员工数据已被盗
媒体1月11日报道,印度时装公司Aditya Birla Group(ABG)遭到网络攻击。该公司声称其价值450亿美元,在全球拥有130个制造单位。12月初,ShinyHunters表示其已入侵该公司的网络,直到现在仍然可以访问其客户和员工的敏感数据。研究人员曾多次就此事联系ABG,但未收到回复。1月11日,ShinyHunters称其和ABG之间的谈判失败,将直接公开或出售这些信息。
https://www.databreaches.net/major-indian-fashion-retailer-hacked-and-data-leaked/
FBI、CISA和NSA联合发布关于来自俄罗斯的攻击的咨询
1月11日,美国FBI、CISA和NSA联合发布关于来自俄罗斯的攻击的安全咨询。这份网络安全咨询(CSA)概述了与俄罗斯有关的网络攻击活动、检测操作、事件响应指南、缓解措施以及常见的战术、技术和程序(TTP),旨在帮助降低这些威胁带来的风险。通告还强调了APT组织APT29、APT28和Sandworm使用恶意软件针对关键基础设施组织的工控系统(ICS)和运营技术(OT)网络的攻击活动,并敦促用户根据该咨询进行防御。
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
安全工具
RCLocals
RCLocals 分析所有 Linux 启动可能性以找到后门,还执行进程完整性验证,扫描 DLL 注入进程等等。
https://github.com/YJesus/RCLocals
Bluffy
用于通过将 shellcode 格式化为逼真的数据格式来绕过反病毒产品(静态)的实验。
https://github.com/ad-995/bluffy
安全分析
CVE-2021-20038:远程代码执行漏洞
Sonic Wall 的安全移动访问 (SMA) 100 系列设备中存在远程代码执行漏洞。
https://threatpost.com/sonicwall-nac-vulnerability-apache-mods/177529/
Mozilla Firefox 96 正式发布
Mozilla发布Firefox 96,新版本主线程显着减少,具有更低的资源使用率,还添加了新的安全功能来保护用户免受 CSRF 攻击。
https://news.softpedia.com/news/mozilla-firefox-96-officially-released-534674.shtml
信息窃取器RedLine新变种分析报告
Redline Stealer利用伪装成Omicron统计工具分发。
https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer