海王捕鱼威胁情报周报(2020.09.21-2020.09.27)
2020-09-27
一、 威胁通告
Linux内核权限提升漏洞通告(CVE-2020-14386)
【发布时间】2020-09-24 18:00:00 GMT
【概述】
近日,海王捕鱼监测发现Linux kernel 存在一个权限提升漏洞(CVE-2020-14386),由于net/packet/af_packet.c在处理AF_PACKET时存在整数溢出,导致可进行越界写从而实现权限提升,攻击者可以利用此漏洞从非特权进程获得系统root权限。使用了Linux Kernel的openshift/docker/kubernetes等虚拟化产品可能会受到该漏洞影响,导致虚拟化逃逸,请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
WebSphere XML外部实体注入(XXE)漏洞处置手册(CVE-2020-4643)
【发布时间】2020-09-24 17:00:00 GMT
【概述】
近日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个XML外部实体注入(XXE)漏洞(CVE-2020-4643),由于WAS未正确处理XML数据,攻击者可以利用此漏洞远程获取服务器上的敏感信息。CVE-2020-4643由海王捕鱼安全研究团队报告给IBM,可以与CVE-2020-4450组合利用达到无需身份认证的XXE漏洞,造成服务器敏感信息泄露,利用复杂度较低,风险较高。请相关用户尽快采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 严重漏洞允许黑客劫持Firefox Android浏览器
【概述】
Mozilla修复了一个漏洞,该漏洞可能使攻击者劫持共享同一Wi-Fi网络的任何Firefox Android浏览器。Firefox Android Web浏览器用户必须升级到Firefox Android应用程序的最新可用版本,以防止其设备被劫持。原因是攻击者可以利用此漏洞劫持同一网络上的所有Firefox Web浏览器。与GitLab相关的澳大利亚安全研究人员Chris Moberly 在较旧版本的Android手机Firefox Web浏览器的SSDP(简单服务发现协议)引擎中发现了一个远程命令执行漏洞。
【参考链接】
https://www.hackread.com/vulnerability-allowed-hackers-hijack-firefox-android-browser/
2. 案例研究:Emotet线程劫持,一种电子邮件攻击技术
【概述】
推动Emotet恶意软件的恶意垃圾邮件(malspam)是最常见的基于电子邮件的威胁,远远超过了其他恶意软件家族,只有少数其他威胁正在接近。近几周来,我们发现使用“线程劫持”技术的Emotet垃圾邮件数量明显增加,该技术利用了从受感染计算机的电子邮件客户端窃取的合法消息。此垃圾邮件欺骗了合法用户,并冒充了对被盗电子邮件的回复。线程被劫持的垃圾邮件将从原始邮件发送到地址。这种技术比许多人现已发现的不太复杂的方法有效得多。这种方法在说服潜在的受害者单击附件文件或单击链接以下载带有设计为用Emotet感染用户的宏的恶意Word文档方面更为成功。在这里,我们回顾一个Emotet的线程劫持过程的案例研究,以便我们可以更好地认识和理解这种技术。
【参考链接】
https://unit42.paloaltonetworks.com/emotet-thread-hijacking/
3. TikTok危害国家安全?美国网络安全专家表示“看不懂”
【概述】
特朗普于8月6日发布禁止令的理由只有一个:基于中国的应用程序存在“国家安全问题”。而商务部长威尔伯·罗斯(Wilbur Ross)在新闻稿中还补充了一条“隐私侵犯”,因为这些应用程序允许“中国恶意收集美国公民的个人数据。”这个问题,从技术层面来说,只有网络安全和隐私保护的专业人士才最有发言权。近日,Threatpost搞了个美国网络安全专家研讨会,邀请了多位大咖发声,是目前为止从技术层面对TikTok和Wechat相关的安全和隐私话题最为专业的探讨。
【参考链接】
https://www.aqniu.com/industry/70308.html
4. Fort McCoy领导人审查了设施的大流行应对措施
【概述】
到2020年6月10日,陆军上校Michael D. Poss指挥Fort McCoy(威斯康星州)驻军时,他很可能是第一个在该国应对全球流行病时担任这一职务的人。波斯斯说:“今年春天,我和其他人一样都在经历这种大流行。”在来到麦考伊堡之前,他是堪萨斯州威奇托陆军后备中心第451远征维持司令部的参谋长。“我们可能正在经历与其他所有人正在处理的相同的事情。我们正在试图弄清楚如何在这种新环境中进行操作。”
【参考链接】
5. 电子邮件传递的MoDi RAT攻击会粘贴PowerShell命令
【概述】
SophosLabs的研究人员Fraser Howard和Andrew O'Donnell 上个月在通过威胁遥测进行搜寻时偶然发现了一种不寻常的反射式装载机攻击方法。攻击链始于包含一些敌对的VB脚本代码的恶意电子邮件,最后以交付名为MoDi RAT的商品远程访问木马为结尾。
【参考链接】
https://news.sophos.com/en-us/2020/09/24/email-delivered-modi-rat-attack-pastes-powershell-commands/
6. Cardbleed:大规模的Magento1破解
【概述】
从上周末到现在为止,规模最大的有据可查的广告活动已破坏了全球近2000家Magento 1商店。这是一种典型的Magecart攻击:注入的恶意代码将拦截毫无疑问的商店客户的付款信息。被检查商店运行的是Magento版本1,该版本于去年6月宣布终止。
【参考链接】
https://sansec.io/research/cardbleed
7. Taidoor-真正持久的威胁
【概述】
政府支持的行为者通常在网络空间中进行长期的活动,并且为了简化这种连续的过程,他们经常开发恶意工具,以期长期使用它们。像任何其他恶意工具一样,它们需要隐身,并且在被检测到时,需要进行一些修改才能再次检测不到。这种工具的一个示例是Taidoor RAT(远程访问木马),其历史可以追溯到2008年,最近发现了其新版本,并在美国政府机构发布的技术报告中进行了介绍。Taidoor被描述为由中国政府支持的网络参与者开发和使用的远程访问木马。
【参考链接】
https://blog.reversinglabs.com/blog/taidoor-a-truly-persistent-threat
8. MTR案例:阻止1500万美元的Maze勒索软件攻击
【概述】
Sophos托管威胁响应(MTR)团队应邀帮助以Maze勒索软件为目标的组织。攻击者发出了1500万美元的赎金要求-如果他们成功了,这将是迄今为止支出最多的勒索软件之一。
【参考链接】
https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/
9. 苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码
【概述】
苹果发布了iOS和iPadOS操作系统的更新,修复了多个安全性问题。通过此安全更新,Apple 解决了 AppleAVD,Apple Keyboard,WebKit和Siri等各种产品和组件中的11个漏洞。在已修复的漏洞中,严重性最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。
【参考链接】
https://www.4hou.com/posts/Jlpl
10. 德国调查人员指责俄罗斯的DoppelPaymer团伙制造了致命的医院袭击
【概述】
德国当局对最近对杜塞尔多夫医院的袭击进行的调查显示,俄罗斯黑客可能参与其中。
【参考链接】
https://securityaffairs.co/wordpress/108620/malware/doppelpaymer-german-hospital-attack.htm
