近日,明朝万达安元实验室发布了2022年第二期《安全通告》。该份报告收录了2022年2月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
德国石油供应公司 Oiltanking 因网络攻击而瘫痪
OiltankingGmbH是一家为该国壳牌加油站提供服务的德国汽油经销商,该公司已成为严重影响其运营的网络攻击的受害者。此外,此次袭击还影响了石油供应商MabanaftGmbH。这两个实体都是Marquard&Bahls集团的子公司,这可能是违规点。
与Memento勒索软件相关的网络间谍使用新的PowerShell恶意软件
一个被追踪为APT35(又名Phosphorus或CharmingKitten)的伊朗国家支持的黑客组织现在正在部署一个名为PowerLess并使用PowerShell开发的新后门。
根据CybereasonNocturnus团队今天发布的一份报告,该威胁组织还使用以前未知的恶意软件来部署其他模块,包括信息窃取器和键盘记录器。PowerLess后门具有加密的命令和控制通信通道,它允许在受感染的系统上执行命令并*死正在运行的进程。它还通过在.NET应用程序的上下文中运行来逃避检测,这允许它通过不启动新的PowerShell实例来隐藏安全解决方案。
Office365增强了针对MITM、降级攻击的电子邮件安全性
Microsoft已将SMTPMTA严格传输安全(MTA-STS)支持添加到ExchangeOnline,以确保Office365客户的电子邮件通信完整性和安全性。
Redmond于2020年9月首次宣布推出MTA-STS,此前该公司透露它还在努力增加对DNSSEC(域名系统安全扩展)和DANE(基于DNS的命名实体身份验证)的入站和出站支持。“我们一直在验证我们的实施,现在很高兴地宣布对来自ExchangeOnline的所有传出邮件的MTA-STS支持,”ExchangeOnline传输团队今天表示。
KPSnacks巨头被Conti勒索软件袭击,交付中断
KPSnacks是英国流行小吃的主要生产商,受到Conti勒索软件组织的打击,影响了向主要超市的分销。
KenyonProduce(KP)Snacks包括流行品牌,如PopChips、Skip、HulaHoops、PennStatepretzels、McCoy's、WheatCrunchies等。KPSnacks拥有2,000多名员工,据估计,该公司的年收入超过6亿美元,使其成为威胁参与者的有吸引力的目标。
虫洞加密货币平台被窃取3.26亿美元
黑客利用虫洞跨链加密平台中的一个漏洞窃取了3.26亿美元的加密货币。虫洞是一个允许用户跨不同区块链转移加密货币的平台。它通过将原始代币锁定在智能合约中,然后铸造一个可以转移到另一个区块链的存储代币的包装版本来做到这一点。该平台支持Avalanche、Oasis、BinanceSmartChain、Ethereum、Polygon、Solana和Terra区块链。
MFA的采用推动网络钓鱼攻击者采用反向代理解决方案
在线账户越来越多地采用多因素身份验证(MFA),这促使网络钓鱼攻击者使用更复杂的解决方案来继续其恶意操作,尤其是反向代理工具。COVID-19大流行永远改变了人们的工作方式,证明在家工作是可能的,有时甚至更可取。这增加了公司的安全风险,其中许多可以通过使用MFA来保护其员工的帐户来缓解。
微软去年阻止了数十亿次暴力破解和网络钓鱼攻击
Office365和AzureActiveDirectory(AzureAD)客户是去年微软成功阻止的数十亿网络钓鱼电子邮件和暴力攻击的目标。“从2021年1月到2021年12月,我们使用MicrosoftDefenderforOffice365阻止了超过256亿次AzureAD暴力验证攻击,并拦截了357亿封网络钓鱼电子邮件,”微软负责安全、合规性和合规性的公司副总裁VasuJakkal说身份。Jakkal补充说,多因素身份验证(MFA)和无密码身份验证将使威胁参与者更难强行进入目标的Microsoft帐户。
Zimbra零日漏洞被积极利用来窃取电子邮件
跨站点脚本(XSS)Zimbra安全漏洞在针对欧洲媒体和政府组织的攻击中被积极利用。Zimbra是一个电子邮件和协作平台,还包括即时消息、联系人、视频会议、文件共享和云存储功能。据Zimbra称,来自140多个国家/地区的200,000多家企业正在使用其软件,其中包括1,000多家政府和金融机构。
ArgoCD漏洞从Kubernetes应用程序中泄露敏感信息
ArgoCD中的一个漏洞被数千个组织用于将应用程序部署到Kubernetes,可在攻击中利用该漏洞来泄露密码和API密钥等敏感信息。Apiiro的安全研究团队发现了该路径遍历漏洞,编号为CVE-2022-24348,可导致权限升级、信息泄露和横向移动攻击。威胁者可以通过将恶意KubernetesHelmChartYAML文件加载到目标系统来利用该漏洞,从而允许从其他应用程序中提取敏感信息。
微软:俄罗斯FSB黑客自10月以来袭击乌克兰
微软表示,自2021年10月以来,一个名为Gamaredon的俄罗斯黑客组织一直在支持一系列针对乌克兰实体和与乌克兰事务相关的组织的鱼叉式网络钓鱼电子邮件。通过乌克兰的安全(SSU)和秘密(SBU)服务与该国的国内情报机构俄罗斯联邦安全局(FSB)相关联,该黑客组织也被追踪为世界末日、原始熊和ACTINIUM。
微软计划通过Office宏阻止恶意软件传递
微软宣布,从4月初开始,将难以在多个MicrosoftOffice应用程序中启用从Internet下载的VBA宏,从而有效地扼*了一种流行的恶意软件分发方法。使用嵌入在恶意Office文档中的VBA宏是一种非常流行的方法,可以在网络钓鱼攻击中推送各种恶意软件系列,包括Emotet、TrickBot、Qbot和Dridex。
“这一变化只影响运行Windows的设备上的Office,并且只影响以下应用程序:Access、Excel、PowerPoint、Visio和Word,”微软Office产品组今天表示。
Puma在Kronos勒索软件攻击后遭受数据泄露
运动服装制造商Puma在2021年12月对其北美劳动力管理服务提供商之一的Kronos发起勒索软件攻击后,遭到数据泄露。本月早些时候向几家司法部长办公室提交的数据泄露通知称,攻击者还在加密数据之前从Kronos私有云(KPC)云环境中窃取了属于Puma员工及其家属的个人信息。
Qbot只需30分钟即可窃取您的凭据、电子邮件
被称为Qbot(又名Qakbot或QuakBot)的广泛传播的恶意软件最近恢复了光速攻击,据分析师称,在最初感染后只需大约30分钟即可窃取敏感数据。
根据DFIR报告的一份新报告,Qbot早在2021年10月就开始执行这些快速的数据抓取攻击,现在看来,其背后的威胁参与者已经恢复了类似的策略。更具体地说,分析师报告说,攻击者需要半小时才能从Outlook窃取浏览器数据和电子邮件,而他们需要50分钟才能跳转到相邻的工作站。
谷歌几乎将Linux内核翻倍,Kubernetes零日奖励
谷歌表示,它通过使用独特的利用技术为零日漏洞和漏洞利用增加更大的奖金,从而提高了对Linux内核、Kubernetes、谷歌Kubernetes引擎(GKE)或kCTF漏洞的报告的奖励。
“我们增加了奖励,因为我们认识到,为了吸引社区的注意力,我们需要将我们的奖励与他们的期望相匹配,”EduardoVela解释道。
“我们认为扩张是成功的,因此我们希望将其进一步延长至至少到今年年底(2022年)。”
网络安全最新漏洞追踪Samba 远程代码执行漏洞(CVE-2021-44142)
漏洞概述
漏洞详情
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(ServerMessagesBlock,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。
2022年1月31日,Samba官方发布安全公告,4.13.17之前的所有Samba版本中存在一个代码执行漏洞(CVE-2021-44142),其CVSSv3评分为9.9。
该漏洞存在于Samba中vfs_fruit模块的默认配置中,在smbd解析EA元数据时,对文件扩展属性具有写访问权限的远程攻击者(可以是guest或未认证用户)可越界写入并以root身份执行任意代码。
影响范围
Samba4.13.x<4.13.17
Samba4.14.x<4.14.12
Samba4.15.x<4.15.5
处置建议
目前此漏洞已经修复,建议受影响用户及时升级更新至Samba4.13.17、4.14.12或4.15.5版本。
下载链接:
https://www.samba.org/samba/history/security.html
缓解措施:
若暂时无法升级,可应用以下缓解措施:从Samba配置文件smb.conf的"VFSobjects"行中删除"fruit"VFS模块。
注:如果fruit:metadata=netatalk或fruit:resource=file选项被设置为与默认值不同的设置,则系统不受此漏洞影响。更改VFS模块设置fruit:metadata或fruit:resource以使用不受影响的设置会导致所有存储的信息无法访问。
微软 2 月多个安全漏洞
漏洞概述
2022 年 2 月 8 日,微软发布了 2 月份的安全更新,本次发布的安全更新修复了包括 1 个 0 day 漏洞在内的 48 个安全漏洞(不包括 22 个 Microsoft Edge 漏洞),其中没 有漏洞被评级为严重,所有漏洞均评级为高危。
漏洞详情
本次发布的安全更新涉及 Azure Data Explorer、Kestrel Web Server、Microsoft Dynamics GP、Microsoft Office、Microsoft OneDrive、SQL Server、Visual Studio Code、 Windows Common Log File System Driver、Windows Print Spooler Components、 Windows Win32K 和 Windows Kernel 等多个产品和组件。
本次修复的 48 个漏洞中,16 个为权限提升漏洞,16 个为远程代码执行漏洞,5 个为信息泄露漏洞,5 个为拒绝服务漏洞,3 个为安全功能绕过漏洞,以及 3 个欺骗漏洞。
微软本次共修复了 1 个 0 day 漏洞,其中没有 0 day 漏洞被积极利用:CVE-2022-21989:Windows 内核权限提升漏洞(CVSSv3 评分为 7.8)。该漏洞的攻击复杂度高,所需权限低,无需用户交互即可被本地利用。目前此漏洞已公开披露,且 PoC/EXP 已公开。微软的可利用性评估将其评为“可能被利用“。
处置建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows update 更新
自动更新:Microsoft Update 默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows 快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows 更新”(Windows 8、Windows 8.1、Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”,具体步骤为“控制面板”->“系统和安全”->“Windows 更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows 更新”->“查看更 新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft 官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb
Apache Cassandra 远程代码执行漏洞(CVE-2021-44521)
漏洞概述
漏洞详情
Apache Cassandra 是一个开源的 NoSQL 分布式数据库,具有可扩展性和高可用 性,并被数千家拥有大量活动数据集的公司使用。
当使用下列不安全配置运行 Apache Cassandra 时,可能导致攻击者在主机上执行任意代码(脚本化 UDF 的远程代码执行),但攻击者需要有足够的权限来创建用户定义函数才能够利用此漏洞:
enable_user_defined_functions:true
enable_scripted_user_defined_functions:true
enable_user_defined_functions_threads: false
影响范围
使用上述不安全配置的:
Apache Cassandra 3.0 < 3.0.26
Apache Cassandra 3.11 < 3.11.12
Apache Cassandra 4.0 < 4.0.2
处置建议
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Apache Cassandra 3.0 版本用户升级到 3.0.26。
Apache Cassandra 3.11 版本用户升级到 3.11.12。
Apache Cassandra 4.0 版本用户升级到 4.0.2。
下载链接:
https://cassandra.apache.org/_/download.html
缓解措施:
若无法升级,可应用以下缓解措施:
设置 enable_user_defined_functions_threads: true(默认设置)。
Adobe Magento Open Source 远程代码执行漏洞(CVE-2022-24086)
漏洞概述
漏洞详情
Adobe Magento 是 Adobe 公司的一套开源的 PHP 电子商务系统,该系统提供权限 管理、搜索引擎和支付网关等功能,Magento Open Source 是 Magento 的开源版本。
2022 年 2 月 13 日,Adobe 发布安全公告,修复了 Adobe Commerce 和 Magento Open Source 中由于输入验证不当导致的一个远程代码执行漏洞(CVE-2022-24086), 其 CVSSv3 评分为 9.8,成功利用此漏洞将导致任意代码执行。该漏洞无需任何凭据即可被利用,但攻击者必须具有管理权限。
Adobe 表示此漏洞已在针对 Adobe Commerce 用户的有限攻击中被利用。
影响范围
Adobe Commerce、Magento Open Source <= 2.4.3-p1(所有平台)
Adobe Commerce、Magento Open Source <= 2.3.7-p2 (所有平台)
注:Adobe Commerce <= 2.3.3 版本不受影响。
处置建议
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Adobe Commerce 更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)
Magento Open Source 更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)
Linux Snap 本地提权漏洞(CVE-2021-44731)
漏洞概述
漏洞详情
snap 是 Canonical 公司推出的一种新的软件包管理方式,解决了 linux 依赖性的问题,Snap 软件包拥有更加稳定和安全的特性。Snap-confine 是 snapd 内部使用的一个程序,用于构建 snap 应用程序的执行环境。
2 月 17 日,Qualys 安全研究人员公开披露了在 snap-confine 中发现的一个本地权限提升漏洞 (CVE-2021-44731),其 CVSSv3 评分为 7.8,成功利用此漏洞允许任何非特权用户在易受攻击的主机上获得 root 权限,目前研究人员已发布了此漏洞的 PoC。但由于 snap-confine 使用了一种非常具有防御性的编程风格,因此利用 snap-confine 中的漏洞极具挑战性。
snapd 2.54.2 snap-confine 二进制文件在为 snap 准备私有挂载命名空间时存在竞 争条件,可能允许本地攻击者通过在 snap 的私有挂载命名空间内绑定挂载自己的内容来获得 root 权限,并导致 snap-confine 执行任意代码,从而实现权限提升。
除 CVE-2021-44731 外,研究人员还在 snap-confine、util-linux、glibc 和 systemd 中发现了其它 6 个漏洞,7 个漏洞如下:
l CVE-2021-44731:snap-confine 的 setup_private_mount() 中的竞争条件
l CVE-2021-44730:snap-confine 的 sc_open_snapd_tool() 中的硬链接攻击
l CVE-2021-3996:util-linux 的 libmount 中未经授权的卸载
l CVE-2021-3995:util-linux 的 libmount 中未经授权的卸载
l CVE-2021-3998:来自 glibc 的 realpath() 的意外返回值
l CVE-2021-3999:glibc 的 getcwd() 中的缓冲区溢出
l CVE-2021-3997:systemd 的 systemd-tmpfiles 中不受控制的递归
影响范围
Snapd:2.54.2 版本
glibc:2021 年 1 月提交的 c6e0b0b("stdlib: Sync canonicalize with gnulib")之后 的版本
util-linux :2018 年 11 月提交的 5fea669 ( "libmount: Support unmount FUSE mounts")之后的版本
Systemd:2019 年 2 月提交的 e535840("tmpfiles: let's bumpRLIMIT_NOFILE for tmpfiles")之后的版本
处置建议
强目前这些漏洞已经修复,建议受影响用户及时升级更新。
Snapd:在 snapd 2.54.3 18.04、2.54.3 20.04 或 2.54.3 21.10.1 版本中修复。
下载链接:
https://launchpad.net/ubuntu/ source/snapd/
util-linux、glibc 和 systemd 的补丁已于 2022 年 1 月发布,链接如下:
https://www.openwall.com/lists/oss-security/2022/01/10/2
https://www.openwall.com/lists/oss-security/2022/01/24/2
https://www.openwall.com/lists/oss-security/2022/01/24/4
WordPress UpDraftPlus 任意文件下载漏洞(CVE-2022-0633)
漏洞概述
漏洞详情
WordPress 是互联网上最大的网站后端之一,拥有庞大的插件生态系统。WordPress UpDraftPlus 是流行的计划备份插件,目前有超过 300 多万次安装。
2 月 16 日,WordPress 在所有网站上推送了 UpdraftPlus 强制更新,以修复 UpdraftPlus 中的一个任意文件下载漏洞(CVE-2022-0633),该漏洞的 CVSSv3 评分为8.5。由于 UpdraftPlus 无法正确验证用户是否具有访问备份的随机数标识符所需的权限, 这可能允许任何在网站上拥有帐户的用户(如订阅者)下载最新的站点和数据库备份。
影响范围
UpdraftPlus 版本 1.16.7 - 1.22.2(免费版)
处置建议
目前此漏洞已经修复,且 WordPress 已经启动强制更新。受影响用户也可以选择手动升级更新到 UpdraftPlus 1.22.3 或更高版本。
下载链接:
https://wordpress.org/plugins/updraftplus/
向日葵存在命令执行高危漏洞(CNVD-2022-10270)
漏洞概述
有关部门监测发现上海贝锐信息科技股份有限公司研发的远程运维软件“向日葵"存在命令执行高危漏洞(CNVD-2022-10270)。
漏洞详情
“向日葵"是一款免费的,集远程桌面连接、远程开机、远程管理、内网穿透于一体的远程控制管理工具软件,在远程运维、远程协助等工作场景中应用广泛。攻击者可利用其存在的命令执行漏洞,获取安装了“向日葵"软件的主机密钥,进而获取主机控制权。
影响范围
向日葵个人版 for Windows 11.0.0.33
处置建议
将软件升级到最新版本,下载链接为 https://sunlogin.oray.com/。
【持续关注网络安全,更多相关资讯敬请关注“明朝万达”】
