信息安全周报-2021年第42周
发布时间 2021-10-19>本周安全态势综述
本周共收录安全漏洞62个,值得关注的是Microsoft SharePoint Server CVE-2021-40487远程代码执行漏洞;SAP Environmental Compliance XML外部实体注入漏洞;JP1/IT Desktop Management 2 31016服务代码执行漏洞;Schneider Electric IGSS长度检查代码执行漏洞;ZOHO ManageEngine ADManager Plus文件上传代码执行漏洞。
本周值得关注的网络安全事件是研究团队发现Sky.com服务器因配置错误泄露大量数据;Apple发布紧急更新修复iOS和iPadOS中内存损坏0day;Microsoft发布10月更新,修复4个0day在内的74个漏洞;Microsoft称其成功抵御高达2.4 Tbps的DDoS攻击;研究团队发现Linux恶意挖矿软件的新变体瞄准华为云。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Microsoft SharePoint Server CVE-2021-40487远程代码执行漏洞
Microsoft SharePoint Server存在未明安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-40487
2. SAP Environmental Compliance XML外部实体注入漏洞
SAP Environmental Compliance解析XML存在外部实体注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可获取敏感信息或使服务程序崩溃。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983
3. JP1/IT Desktop Management 2 31016服务代码执行漏洞
JP1/IT Desktop Management 2 31016服务存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.hitachi.com/hirt/security/index.html
4. Schneider Electric IGSS长度检查代码执行漏洞
Schneider Electric IGSS处理报文存在长度检查漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://us-cert.cisa.gov/ics/advisories/icsa-21-285-03
5. ZOHO ManageEngine ADManager Plus文件上传代码执行漏洞
ZOHO ManageEngine ADManager Plus /RestAPI/WC/Personalize存在任意文件上传漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,可以应用程序上下文执行任意代码。
https://zh-cn.tenable.com/security/research/tra-2021-43?tns_redirect=true
>重要安全事件综述
1、研究团队发现Sky.com服务器因配置错误泄露大量数据
CyberNews研究团队在10月8日披露,Sky.com服务器因配置错误泄露大量数据。Sky是欧洲最大的媒体公司,拥有12%的市场份额,2020年的收入约为134亿英镑。研究团队在10月7日发现一个托管在Sky.com的“upliftmedia”子域上的应用程序的主配置文件,其中包含了对托管在Sky.com域名上的数据库的访问凭证。CyberNews在10月8日将此问题报告给Sky,该公司现已禁用对配置文件的访问。
原文链接:
https://cybernews.com/news/sky-com-servers-exposed-via-misconfiguration/
2、Apple发布紧急更新修复iOS和iPadOS中内存损坏0day
Apple在10月11日发布紧急更新,修复了iOS 15.0.2和iPadOS 15.0.2中的内存损坏0day。该漏洞追踪为CVE-2021-30883,是IOMobileFrameBuffer中的一个内存损坏漏洞,可用来在目标设备执行命令。Apple在安全公告中称该漏洞已在针对手机和iPad的攻击中被广泛利用。此外,在漏洞公开不久,研究人员Saar Amar就发布了关于该漏洞的技术文章和利用漏洞的PoC。
原文链接:
https://www.bleepingcomputer.com/news/security/emergency-apple-ios-1502-update-fixes-zero-day-used-in-attacks/
3、Microsoft发布10月更新,修复4个0day在内的74个漏洞
Microsoft在10月12日发布了本月的周二补丁,总计修复了74个漏洞(包括Microsoft Edge在内是81个)。此次更新总共修复了4个0day,包括Win32k中的提权漏洞CVE-2021-40449,Windows DNS服务器中的远程代码执行漏洞CVE-2021-40469,Windows内核提权漏洞CVE-2021-41335,以及Windows AppContainer 防火墙规则安全功能绕过漏洞CVE-2021-41338。此外,Kaspersky研究人员已经在野发现利用CVE-2021-40449的攻击活动。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2021-patch-tuesday-fixes-4-zero-days-71-flaws/
4、Microsoft称其成功抵御高达2.4 Tbps的DDoS攻击
Microsoft研究人员Amir Dahan在10月11日称,他们在8月的最后一周成功抵御了史上最高的DDoS攻击。Amir Dahan表示,这是针对其欧洲Azure客户的攻击,由主要分布在亚太地区和美国的约70000台设备发起的。此次的攻击向量为UDP反射,持续时间超过10分钟,爆发时间非常短,每次爆发都会在几秒钟内上升到TB量级,总共出现了了三个主要峰值,分别为2.4 Tbps、0.55 Tbps和1.7 Tbps。
原文链接:
https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/
5、研究团队发现Linux恶意挖矿软件的新变体瞄准华为云
TrendMicro的研究人员发现以前用于针对Docker容器的Linux恶意挖矿软件的新变体,开始针对像华为云这样的新云服务提供商。具体地说,新样本已经注释掉了防火墙规则创建功能,并继续使用网络扫描器来寻找其他具有api相关端口的主机。华为云是较新的云提供商,声称它已经为超过300万客户提供服务。研究人员已将此次攻击通知该公司,但尚未收到回复。
原文链接:
https://www.bleepingcomputer.com/news/security/huawei-cloud-targeted-by-updated-cryptomining-malware/
京公网安备11010802024551号