信息安全周报-2021年第21周
发布时间 2021-05-24> 本周安全态势综述
2021年05月17日至05月23日共收录安全漏洞51个,值得关注的是Microsoft Windows JET数据库引擎内存破坏代码执行漏洞;Pulse Connect Secure CVE-2021-22908缓冲区溢出漏洞;SolarWinds Orion Job Scheduler JobRouterService不正确授权代码执行漏洞;Cisco DNA Space CVE-2021-1559 OS命令执行漏洞;Ubiquiti Networks EdgeRouter不正确证书校验任意代码执行漏洞。
本周值得关注的网络安全事件是爱尔兰医疗机构HSE感染Conti,被勒索近2000万美元;DarkSide勒索软件服务器被查封并宣布将终止运营;研究人员披露新木马Bizarro针对欧洲等多家银行;Netscout发布有关2021年Q1 DDoS攻击的分析报告;Uptycs披露与Keksec团伙有关的新僵尸网络Simps。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1.Microsoft Windows JET数据库引擎内存破坏代码执行漏洞
Microsoft Windows JET数据库引擎存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-594/
2.Pulse Connect Secure CVE-2021-22908缓冲区溢出漏洞
Pulse Connect Secure浏览SMB共享存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800
3.SolarWinds Orion Job Scheduler JobRouterService不正确授权代码执行漏洞
SolarWinds Orion Job Scheduler JobRouterService存在不正确授权漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-605/
4.Cisco DNA Space CVE-2021-1559 OS命令执行漏洞
Cisco DNA Space存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以ROOT上下文执行任意代码。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnasp-conn-cmdinj-HOj4YV5n
5.Ubiquiti Networks EdgeRouter不正确证书校验任意代码执行漏洞
Ubiquiti Networks EdgeRouter HTTPS下载固件存在证书校验漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以ROOT上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-601/
> 重要安全事件综述
1、爱尔兰医疗机构HSE感染Conti,被勒索近2000万美元
爱尔兰的医疗服务机构HSE表示,其遭到了Conti勒索软件攻击,并被要求支付19999000美元的赎金。该机构在发现攻击后,已于上周五关闭了所有IT系统。Conti团伙声称已经进入HSE的网络两周了,在此期间,他们窃取了HSE 700 GB的未加密文件,包括患者信息和员工信息、合同、财务报表和工资单等。爱尔兰总理Taoiseach Micheál Martin于5月14日在新闻发布会上表示,他们将不支付任何赎金。
原文链接:
https://www.bleepingcomputer.com/news/security/ireland-s-health-services-hit-with-20-million-ransomware-demand/
2、DarkSide勒索软件服务器被查封并宣布将终止运营
DarkSide是一个勒索软件服务器团伙(RaaS),一周前攻击了Colonial Pipeline Co.并勒索500万美元。该团伙于2021年5月13日发布声明称,由于执法行动,他们目前已经无法通过SSH访问其公共数据泄露网站、支付服务器和CDN服务器,以及主机界面。因此将为所有尚未付款的公司提供解密工具,并承诺在2021年5月23日之前偿还所有未偿债务。该声明还指出由于来自美国的压力,其将终止勒索活动。
原文链接:
https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime
3、研究人员披露新木马Bizarro针对欧洲等多家银行
卡巴斯基研究人员发现新的巴西银行木马Bizarro针对欧洲和南美的70多家银行。Bizarro是Windows恶意软件,具有x64模块,可以诱骗受害者在伪造的弹出窗口中输入2FA身份验证代码,还利用社会工程攻击诱骗受害者下载移动应用程序。该恶意软件的的核心组件是一个支持100多个命令的后门,只有当其检测到已经连接到一个硬编码的网上银行系统时,后门才会启动。
原文链接:
https://securityaffairs.co/wordpress/118032/cyber-crime/bizarro-banking-trojan.html
4、Netscout发布有关2021年Q1 DDoS攻击的分析报告
Netscout发布了有关2021年Q1 DDoS攻击的分析报告。报告指出,攻击者在2021年第一季度发动了大约290万次DDoS攻击,比2020年同期增加了31%,最大为480 Gbps,最大吞吐量为675 Mpps,最高攻击类型是UDP。其中,卫生保健行业遭到了8400次攻击,教育行业遭到了45000次攻击,在线服务行业遭到了59000次攻击。
原文链接:
https://www.netscout.com/blog/asert/beat-goes
5、Uptycs披露与Keksec团伙有关的新僵尸网络Simps
Uptycs威胁研究团队披露与Keksec团伙有关的新僵尸网络Simps。它使用物联网(IoT)节点对游戏和其他目标进行分布式拒绝服务(DDoS)攻击,于2021年5月的第一周被发现。研究人员指出,攻击者通过Wget来利用shell脚本和Gafgyt(Keksec最青睐的工具之一)为不同的基于Linux的系统安装Simps payload。根据一条包含Gafgyt恶意软件样本的Discord消息,研究人员推断该恶意软件与Keksec团伙有关。
原文链接:
https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-group
京公网安备11010802024551号