信息安全周报-2021年第36周
发布时间 2021-09-06>本周安全态势综述
2021年08月30日至09月05日共收录安全漏洞62个,值得关注的是Aruba Networks ArubaOS OS CVE-2021-37716 PAPI协议缓冲区溢出漏洞;Google Chrome Blink内存错误代码执行漏洞;Nature Easy Soft Network Technology ZenTao命令执行漏洞;ZOHO ManageEngine ADSelfService Plus OS命令注入漏洞;Advantech WebAccess CVE-2021-38408缓冲区错误漏洞。
本周值得关注的网络安全事件是Microsoft发布近期旨在窃取凭据的钓鱼活动的警报;NFIB称2021年H1英国因网络犯罪损失高达13亿英镑;CNNIC发布第48次《中国互联网络发展状况统计报告》;因Google应用bug,部分安卓用户无法拨打和接听电话;研究人员称16个蓝牙漏洞BrakTooth影响数十亿设备。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1.Aruba Networks ArubaOS OS CVE-2021-37716 PAPI协议缓冲区溢出漏洞
Aruba Networks ArubaOS OS PAPI协议存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-016.txt
2.Google Chrome Blink内存错误代码执行漏洞
Google Chrome Blink存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文执行任意代码。
https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop_31.html
3.Nature Easy Soft Network Technology ZenTao命令执行漏洞
Nature Easy Soft Network Technology ZenTao Cron job 选项卡存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://privasec.com/blog/zentao-cms-a-monkeys-journey-to-priv-esc-remote-code-execution/
4.ZOHO ManageEngine ADSelfService Plus OS命令注入漏洞
ZOHO ManageEngine ADSelfService Plus存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意命令。
https://blog.stmcyber.com/vulns/cve-2021-33055/
5.Advantech WebAccess CVE-2021-38408缓冲区错误漏洞
Advantech WebAccess存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.advantech.com/support/details/installation?id=1-MS9MJV
>重要安全事件综述
1、Microsoft发布近期旨在窃取凭据的钓鱼活动的警报
Microsoft 365 Defender威胁情报团队在8月26日发布近期旨在窃取凭据的钓鱼活动的警报。研究人员称,该活动利用电子邮件通信中的开放重定向链接作为载体,诱使用户访问恶意网站,同时绕过安全检测软件。微软表示它已经发现了至少350个网络钓鱼URL,并且它们均使用了令人信服的诱饵和精心设计的检测绕过技术。这不仅显示了此次攻击的规模,还表明了攻击者巨大的投入。
原文链接:
https://thehackernews.com/2021/08/microsoft-warns-of-widespread-phishing.html
2、NFIB称2021年H1英国因网络犯罪损失高达13亿英镑
来自英国国家欺诈情报局(NFIB)的数据表明,2021年H1英国因网络犯罪损失高达13亿英镑。个人和组织在今年上半年因网络犯罪和欺诈而损失的资金是2020上半年(4.147亿英镑)的三倍。2020年H1只有39160案件,而2021年H1多达289437起。研究人员称,政府应采取更多措施来教育个人有关网络钓鱼的风险和网络安全的重要性,而组织应该尽力降低远程工作的风险。
原文链接:
https://www.infosecurity-magazine.com/news/cybercrime-losses-triple-to-13bn/
3、CNNIC发布第48次《中国互联网络发展状况统计报告》
中国互联网络信息中心(CNNIC)于8月27日在京发布第48次《中国互联网络发展状况统计报告》。报告显示,截至今年6月,中国网民规模达10.11亿,较2020年12月增长2175万,互联网普及率达71.6%;互联网基础资源加速建设,截至6月,中国IPv6地址数量达62023块/32;中国农村网民规模为2.97亿,农村地区互联网普及率为59.2%,较2020年12月,城乡互联网普及率差异缩小4.8%。
原文链接:
http://finance.people.com.cn/n1/2021/0828/c1004-32210949.html
4、因Google应用bug,部分安卓用户无法拨打和接听电话
Google表示,部分Android手机型号的用户受到Google应用中bug的影响,无法拨打和接听电话。目前Google没有公开受影响手机的型号,但本周末受影响用户提到了LG的设备,如LG G7、LG G7 ThinQ、LG V40 ThinQ和LG Q70等。Google称其正在调查此事,并已发布了最新更新来修复该bug,建议用户手动安装最新更新。
原文链接:
https://www.bleepingcomputer.com/news/google/google-app-bug-blocks-android-users-from-receiving-making-calls/
5、研究人员称16个蓝牙漏洞BrakTooth影响数十亿设备
研究人员检测了来自11个供应商的13个片上系统 (SoC) 的蓝牙软件库,发现了16个影响蓝牙软件堆栈的漏洞并统称它们为BrakTooth。攻击者可以利用这些漏洞使设备崩溃,甚至是执行恶意代码并接管整个系统。这些漏洞中最严重的为CVE-2021-28139,利用该漏洞远程攻击者可以通过蓝牙LMP数据包在目标设备上运行恶意代码。并非所有所有供应商都及时发布了补丁,到目前为止,只有乐鑫、英飞凌和Bluetrum发布了补丁,而德州仪器则表示拒绝修复漏洞。
原文链接:
https://therecord.media/billions-of-devices-impacted-by-new-braktooth-bluetooth-vulnerabilities
京公网安备11010802024551号