信息安全周报-2021年第46周
发布时间 2021-11-15本周共收录安全漏洞58个,值得关注的是Adobe RoboHelp Server目录遍历代码执行漏洞;ServiceTonic Helpdesk software未授权访问漏洞;Microsoft Windows Active Directory CVE-2021-42278权限提升漏洞;Microsoft Windows Remote Desktop Client代码执行漏洞;Siemens SIMATIC PCS 7目录遍历漏洞。
本周值得关注的网络安全事件是研究人员发现冒充安全公司Proofpoint的钓鱼活动;统称为NUCLEUS:13的多个漏洞影响西门子RTOS;BusyBox中14个新漏洞影响数百万基于Unix的设备;微软发布11月更新,修复6个0day在内的55个漏洞;ESET发现Lazarus利用盗版的IDA Pro分发恶意软件。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Adobe RoboHelp Server目录遍历代码执行漏洞
Adobe RoboHelp Server存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-1305/
2. ServiceTonic Helpdesk software未授权访问漏洞
ServiceTonic Helpdesk software存在授权机制漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可不使用密码未授权访问系统。
https://www.srlabs.de/bites/chaining-three-zero-day-exploits-in-itsm-software-servicetonic-for-remote-code-execution
3. Microsoft Windows Active Directory CVE-2021-42278权限提升漏洞
Microsoft Windows Active Directory存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以提升特权。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
4. Microsoft Windows Remote Desktop Client代码执行漏洞
Microsoft Windows Remote Desktop Client存在未明安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以系统上下文执行任意代码。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38666
5. Siemens SIMATIC PCS 7目录遍历漏洞
Siemens SIMATIC PCS 7存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
>重要安全事件综述
1、研究人员发现冒充安全公司Proofpoint的钓鱼活动
Armorblox的研究团队于11月4日披露了冒充网络安全公司Proofpoint的钓鱼活动。这些钓鱼邮件的主题为“Re:Payoff Request”,声称包含一份通过Proofpoint发送的抵押贷款相关文件,旨在窃取目标的Microsoft Office 365和Google Gmail凭据。该邮件是从被盗的个人帐户发送的,发件人的域名域为“sdis34[.]fr”,这是法国南部的一个消防救援部门,而钓鱼页面托管在greenleafproperties[.]co[.]uk域。
原文链接:
https://www.armorblox.com/blog/proofpoint-credential-phishing/
2、统称为NUCLEUS:13的多个漏洞影响西门子RTOS
Forescout和Medigate的研究人员在11月9日披露了Nucleus中13个漏洞的细节。Nucleus是西门子的实时操作系统(RTOS),通常运行在医疗设备、汽车、智能手机、物联网设备、工业plc等设备的片上系统(SoC)。这些漏洞统称为NUCLEUS:13,影响了Nucleus TCP/IP堆栈。其中,最严重的是影响了FTP服务器组件的远程代码执行漏洞(CVE-2021-31886),CVSS评分为9.8,是由于对USER命令长度的验证不正确导致的。
原文链接:
https://therecord.media/nucleus13-vulnerabilities-impact-siemens-medical-industrial-equipment/
3、BusyBox中14个新漏洞影响数百万基于Unix的设备
软件开发公司JFrog和安全公司Claroty在11月9日联合披露了BusyBox中14个漏洞的细节。BusyBox被称为嵌入式Linux的“瑞士军刀”,可将各种常见的Unix应用或小程序(例如cp、ls、grep)组合成一个可执行文件。这些漏洞存在于BusyBox 1.16到1.33.1的多个版本,影响了数百万基于Unix的设备。其中较为严重的是awk中的DoS漏洞CVE-2021-42383、CVE-2021-42384和CVE-2021-42385等。
原文链接:
https://securityaffairs.co/wordpress/124429/hacking/busybox-vulnerabilities.html
4、微软发布11月更新,修复6个0day在内的55个漏洞
微软在11月9日发布了本月的周二补丁,总计修复了55个漏洞。此次修复了6个0 day,包括Excel中安全功能绕过漏洞(CVE-2021-42292)、Exchange Server中RCE(CVE-2021-42321),RDP中信息泄露漏洞(CVE-2021-38631和CVE-2021-41371),以及3D中查看器RCE(CVE-2021-43208和CVE-2021-43209)。其中,CVE-2021-42292和CVE-2021-42321已被用于恶意攻击活动。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2021-patch-tuesday-fixes-6-zero-days-55-flaws/
5、ESET发现Lazarus利用盗版的IDA Pro分发恶意软件
ESET团队于11月10日发现朝鲜黑客团伙Lazarus利用盗版IDA Pro攻击安全研究人员的活动。研究人员通常使用逆向工程应用IDA Pro来分析漏洞和恶意软件,而此次发现的IDA Pro 7.5版本包含了两个名为idahelp.dll和win_fw.dll的恶意DLL。其中,win_fw.dll将在Windows任务调度程序中创建一个新任务,该任务将启动idahelper.dll,然后idahelper.dll将连接到devguardmap[.]org网站并下载远程访问木马NukeSped的payload。
原文链接:
https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/
京公网安备11010802024551号