【威胁通告】海王捕鱼威胁情报周报(2021.1.25-1.31)
2021-02-01
一、 威胁通告
Oracle全系产品2021年1月关键补丁更新通告(CVE-2021-1994、CVE-2021-2047、CVE-2021-2064)
【发布时间】2021-01-28 10:00:00 GMT
【概述】
海王捕鱼监测发现Oracle官方发布了2021年1月关键补丁更新公告CPU(Critical Patch Update),共修复了329个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle Database Server、Oracle Java SE、Oracle Fusion Middleware、Oracle MySQL、Oracle Enterprise Manager、Oracle Systems等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
【链接】
https://nti.nsfocus.com/threatWarning
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4949)通告(CVE-2020-4949)
【发布时间】2021-01-28 22:00:00 GMT
【概述】
近日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个XML外部实体注入(XXE)漏洞(CVE-2020-4949),由于WAS未正确处理XML数据,攻击者可以利用此漏洞远程获取服务器上的敏感信息。WebSphere Application Server是企业级Web中间件,由于其可靠、灵活和健壮的特点,被广泛应用于企业的Web服务中。参考链接:https://www.ibm.com/support/pages/node/6408244
【链接】
https://nti.nsfocus.com/threatWarning
Linux sudo权限提升漏洞(CVE-2021-3156)通告(CVE-2021-3156)
【发布时间】2021-01-28 11:00:00 GMT
【概述】
Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。目前漏洞细节已公开,请受影响的用户尽快采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
微软1月安全更新多个产品高危漏洞通告(CVE-2021-1647、CVE-2021-1648、CVE-2021-1707)
【发布时间】2021-01-27 11:00:00 GMT
【概述】
微软发布1月安全更新补丁,修复了83个安全问题,涉及Microsoft Windows、Microsoft Office、Microsoft SQL Server、Visual Studio、Microsoft Defender等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有9个,重要(Important)漏洞有73个,1个 中危(Moderate)级别漏洞。请相关用户及时更新补丁进行防护,详细漏洞列表请参考附录。 绿盟远程安全评估系统(RSAS)已具备微软此次补丁更新中大多数漏洞的检测能力(包括CVE-2021-1705,CVE-2021-1673,CVE-2021-1668,CVE-2021-1667,CVE-2021-1666,CVE-2021-1665,CVE-2021-1660,CVE-2021-1658等高危漏洞),请相关用户关注绿盟远程安全评估系统系统插件升级包的更新,及时升级至V6.0R02F01.2101,官网链接:http://update.nsfocus.com/update/listRsasDetail/v/vulsys
【链接】
https://nti.nsfocus.com/threatWarning
Weblogic多个远程代码执行漏洞通告(CVE-2021-1994、CVE-2021-2047、CVE-2021-2064)
【发布时间】2021-01-27 11:00:00 GMT
【概述】
海王捕鱼监测发现Oracle官方发布了2021年1月关键补丁更新公告CPU(Critical Patch Update),共修复了329个不同程度的漏洞,其中包括7个影响WebLogic的严重漏洞(CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-17195、CVE-2020-14756),未经身份验证的攻击者可通过此次的漏洞实现远程代码执行。CVSS评分均为9.8,利用复杂度低。建议用户尽快采取措施,对上述漏洞进行防护。 WebLogic Server远程代码执行漏洞(CVE-2021-2109),存在于WebLogic Server的console中,CVSS评分为7.2。经过身份验证的攻击者可以通过JNDI注入攻击来远程执行命令或代码。目前已有PoC公开,请相关用户尽快修复。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 特斯拉起诉前雇员涉嫌盗窃敏感文件
【概述】
周六,特斯拉状告前雇员亚历克斯·哈蒂洛夫(Alex Khatilov),称其窃取了26,000份机密文件,其中包括商业机密。软件工程师将敏感文件转移到他的个人Dropbox帐户中。
【参考链接】
https://securityaffairs.co/wordpress/113808/cyber-crime/tesla-sues-former-employee.html
2. 亚马逊Kindle RCE攻击以电子邮件开始
【概述】
亚马逊Kindle电子阅读器中的三个漏洞使远程攻击者可以执行代码并以root用户身份运行该程序,就可以从毫无戒心的用户身上窃取金钱。
【参考链接】
https://threatpost.com/amazon-kindle-attack-email/163282/
3. 攻击者可利用DNSpooq漏洞劫持DNS
【概述】
以色列安全咨询公司JSOF披露了七个Dnsmasq漏洞,这些漏洞被统称为DNSpooq,可被攻击者用于发起DNS缓存投毒、远程执行代码和拒绝服务攻击,数百万设备受到影响。Dnsmasq是一个流行的、开源的域名系统(DNS)转发软件,经常用于将DNS缓存和动态主机配置协议(DHCP)服务器功能添加到物联网(IoT)和其他各种嵌入式设备中。
【参考链接】
https://www.freebuf.com/vuls/261411.html
4. Magniber勒索软件已更改漏洞并尝试绕过行为检测
【概述】
今年年初,ASEC分析团队发布了一份关于Magniber恶意软件的研究报告,并详细阐述了Magniber开发者用来传播勒索软件时所使用的漏洞变化情况。自2019年9月23日起,Magniber开发者用于传播勒索软件时所使用的漏洞CVE-2019-1367在应用了紧急安全补丁(1903版本)的系统中已经无法正常被利用了。对此,开发者将最新漏洞改为了CVE-2020-0968,扩大了感染目标范围。除此之外,由于微软在2020年1月14日开始不再为Windows 7操作系统提供支持,因此针对漏洞CVE-2020-0968的安全更新补丁(于2020年4月15日发布)将无法应用于Windows 7。接下来,我们一起看一看漏洞利用的具体变化。
【参考链接】
5. 加密货币交易所buyucin遭黑客攻击
【概述】
印度加密货币交易所Buyucoin遭遇安全事故,威胁者泄露了32.5万用户的敏感数据。涉及加密货币交易所的新事件成为头条新闻,这家总部位于印度的加密货币交易所发生了安全事件,威胁参与者在Dark Web上泄露了325K用户的敏感数据。泄漏的数据包括姓名,电子邮件,手机号码,加密密码,用户钱包详细信息,订单详细信息,银行详细信息,KYC详细信息(PAN号码,护照号码)和存款历史记录。
【参考链接】
https://securityaffairs.co/wordpress/113819/cyber-crime/exchange-buyucoin-hacked.html
6. 思科DNA中心漏洞使企业面临远程攻击
【概述】
思科数字网络体系结构(DNA)中心中的跨站点请求伪造(CSRF)漏洞可能使企业用户容易受到远程攻击和接管。该漏洞被跟踪为CVE-2021-1257,存在于Cisco DNA Center的基于Web的管理界面中,该界面是Cisco DNA的集中式网络管理和编排平台。它具有7.1的CVSS漏洞严重性评分,具有很高的严重性。
【参考链接】
https://threatpost.com/cisco-dna-center-bug-remote-attack/163302/
7. JumpServer Websockets 未授权访问漏洞
【概述】
JumpServer是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A的专业运维审计系统。使用Python / Django进行开发,遵循Web 2.0规范,配备了领先的Web终端解决方案替代分布式架构,支持多机房跨区域部署,中心提供API,各机房部署登录中断,可横向扩展,无并发访问限制。
【参考链接】
https://www.secpulse.com/archives/152129.html
8. TikTok修复了检查点研究发现的隐私问题
【概述】
最近几个月,Check Point Research团队在TikTok移动应用程序的“朋友查找器”功能中发现了一个漏洞:该漏洞一旦被利用,将使攻击者能够访问用户的个人资料详细信息以及与他们的帐户相关联的电话号码。这将使攻击者能够建立用户及其相关电话号码的数据库,然后将其用于恶意活动。Check Point Research将此问题通知了TikTok的开发人员和安全团队。TikTok负责任地部署了一个解决方案,以确保其用户可以安全地继续使用该应用程序。
【参考链接】
9. 苹果修补了三个iOS零日漏洞
【概述】
苹果已经为其iOS和iPadOS操作系统推出了一个更新,以修补三个零日安全漏洞,这些漏洞在外部被积极利用。这三处缺陷会影响iPhone和iPad的各种版本以及最新一代的iPod touch。“苹果公司了解到有关该问题可能已经被积极利用的报告,”苹果公司的安全公告说,该公告描述了iOS和iPadOS 14.4发行版所解决的每个安全漏洞。影响设备的列表包括iPhone 6S和其后发行的设备,iPad Air2和更高版本,iPad Mini4和更高版本,以及7代的iPod touch。位于库比蒂诺的总部还发布了针对其一系列其他产品中的漏洞安全更新,包括Apple Watch(watchOS 7.3)和Apple TV(tvOS 14.4)。
【参考链接】
https://www.welivesecurity.com/2021/01/27/apple-patches-three-ios-zero-days-under-attack/
10. 警方破坏Emotet僵尸网络
【概述】
欧洲刑警组织(Europol)报道,一家跨国执法机构通过控制数百台服务器,破坏了Emotet僵尸网络的基础架构。欧洲刑警组织表示当局还将以前受Emotet感染的计算机重定向到执法机构运营的服务器。但是,一些网络安全专家预计,Emotet最终将从拆除工作中反弹。欧洲刑警组织将Emotet描述为“最专业和持久的网络犯罪服务之一”。执法机构说,僵尸网络于2014年首次被发现为银行木马,多年来已发展成为网络犯罪分子的首选解决方案。
【参考链接】
https://www.inforisktoday.com/police-disrupt-emotet-botnet-a-15866
