绿盟科技威胁周报(2023.05.15-2023.05.21)
2023-5-22 18:6:43 Author: blog.nsfocus.net(查看原文) 阅读量:28 收藏

阅读: 12

一、威胁通告

1.Linux Kernel权限提升漏洞(CVE-2023-32233)通告(CVE-2023-32233)

【发布时间】2023-05-17 16:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了Linux Kernel权限提升漏洞(CVE-2023-32233)的PoC。由于Linux内核的子系统Netfilter nf_tables中存在use-after-free漏洞,在处理批处理请求时存在缺陷,经过身份验证的本地攻击者可利用该漏洞在内核内存中进行任意读写操作,最终可实现将权限提升至ROOT。CVSS评分为7.8,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

2.泛微e-cology前台任意用户登录漏洞通

【发布时间】2023-05-17 16:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了一个泛微e-cology前台任意用户登录漏洞。由于系统对用户所发送数据包的验证存在缺陷,未经身份验证的远程攻击者可通过发送特制的HTTP请求,最终可实现任意用户登录操作,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

3.Foxit PDF Reader与Editor任意代码执行漏洞(CVE-2023-27363)(CVE-2023-27363)

【发布时间】2023-05-17 16:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了Foxit PDF Reader与Editor任意代码执行漏洞(CVE-2023-27363)的PoC。由于Foxit PDF Reader与Editor中对exportXFAData方法中cPath参数的验证存在缺陷,因而迫使将.hta文件写入Startup目录中,攻击者通过诱导受害者打开恶意PDF文档,在系统重启后,最终可实现任意代码执行。CVSS评分为7.8,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.MalasLocker勒索软件入侵Zimbra服务器窃取邮件和加密文件

【标签】企业

【概述】

一种新的勒索软件操作是入侵Zimbra服务器以窃取电子邮件和加密文件。然而,威胁行为者并没有要求支付赎金,而是声称要求向慈善机构捐款以提供加密器并防止数据泄露。被BleepingComputer称为MalasLocker的勒索软件行动于2023年3月底开始对Zimbra服务器进行加密,受害者在BleepingComputer和Zimbra论坛上都报告说他们的电子邮件已加密。Zimbra论坛中的许多受害者报告发现上传到/opt/zimbra/jetty_base/webapps/zimbra/或/opt/zimbra/jetty/webapps/zimbra/public文件夹的可疑JSP文件。加密电子邮件时,文件名不会附加额外的文件扩展名。

【参考链接】

    https://ti.nsfocus.com/security-news/IlP0l

2.ScanSource遭受勒索软件攻击导致部分系统中断

【标签】不区分行业

【概述】

技术提供商ScanSource宣布已成为勒索软件攻击的受害者,影响了其部分系统、业务运营和客户门户。ScanSource是一家位于美国的云服务和SaaS连接和网络通信提供商,还提供特殊的PoS(销售点)和支付、安全和AIDC(自动识别和数据捕获)解决方案。从5月15日左右开始,ScanSource客户联系研究人员称他们无法再访问该公司的客户门户网站和网站,担心他们遭受了网络攻击。ScanSource证实他们在2023年5月14日遭受了勒索软件攻击,影响了其部分系统。网络攻击的影响是巨大的,因为该公司警告说,在未来一段时间内,向客户提供的服务将会出现延迟,预计这将影响北美和巴西的业务。

【参考链接】

    https://ti.nsfocus.com/security-news/IlP0f

3.研究人员展示了滥用微软团队横向移动账户的方法

【标签】不区分行业

【概述】

随着组织越来越多地采用基于云的服务和应用程序,特别是协作工具,攻击者也转移了他们的攻击方向。当涉及到恶意登录尝试时,微软服务一直排在统计数据的首位,而微软Teams是最近似乎吸引了攻击者兴趣的一个应用程序。

【参考链接】

    https://ti.nsfocus.com/security-news/IlP0t

4.未打补丁的WEMO智能插头漏洞打开无数网络遭受网络攻击

【标签】不区分行业

【概述】

Wemo迷你智能插头V2允许用户通过移动应用程序远程控制插入其中的任何东西,但它存在一个安全漏洞,允许网络攻击者开启各种不良后果。其中包括远程打开和关闭电子设备,以及深入内部网络或跳转到其他设备的潜力。

【参考链接】

    https://ti.nsfocus.com/security-news/IlP0d

5.联邦政府悬赏1000万美元寻找涉嫌俄罗斯勒索软件犯罪的信息

【标签】医疗,执法

【概述】

美国联邦调查局已经批准了一名俄罗斯公民,他被指控使用LockBit、Babuk和Hive勒索软件勒索新泽西州的一家执法机构和非营利医疗机构,以及华盛顿特区的大都会警察局,以及美国和全球“众多”其他受害组织。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOZR

6.国家支持的Sidewinder黑客组织的隐蔽攻击基础设施被发现

【标签】政府

【概述】

网络安全研究人员发现了以前没有记录的攻击基础设施,这些基础设施是由国家支持的组织SideWinder用来攻击位于巴基斯坦和中国的实体的。网络安全公司Group-IB和Bridewell在与the Hacker News分享的一份联合报告中表示,这包括威胁行为者使用的55个域名和IP地址的网络。

【参考链接】

    https://ti.nsfocus.com/security-news/IlP07

7.俄罗斯的Check Mate勒索软件悄悄地瞄准了流行的文件共享协议

【标签】不区分行业

【概述】

与大多数勒索活动不同,2022年发现的CheckMate在整个运营过程中一直保持沉默。据我们所知,它并没有操作数据泄露网站。对于勒索软件运动来说,这是非常不寻常的,因为许多知名团伙吹嘘大目标,并将其作为受害者发布在数据泄露网站上。他们这样做是为了增加受害者支付赎金的压力。网络新闻研究最近发现了新的CheckMate活动。事实证明,该团伙一直在积极瞄准受保护不力的中小企业股票。在获得SMB共享的访问权限后,威胁行为者对所有文件进行加密,并留下赎金单,要求支付以换取解密密钥。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOYB

8.针对ABB集团有限公司的Black Basta勒索软件攻击

【标签】企业

【概述】

据报道,进军自动化技术业务领域的ABB集团遭到黑巴斯塔勒索软件攻击。这家总部位于瑞士的跨国公司表示,袭击袭击了其业务运营,目前已得到控制。然而,在删除恶意软件加密之前,一些核心工厂功能一直处于停滞状态。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOYF

9.Django SQL注入漏洞 CVE-2022-28346

【标签】不区分行业

【概述】

Django 在2022年发布的安全更新,修复了在 QuerySet 的 annotate(), aggregate(), extra() 等函数中存在的 SQL 注入漏洞。
影响版本
2.2<= Django Django <2.2.28
3.2<= Django Django <3.2.13
4.0<= Django Django <4.0.4
需要使用了 annotate 或者 aggregate 或 extra 方法

【参考链接】

    https://ti.nsfocus.com/security-news/IlOZb

10.扒一扒针对东亚的新型恶意软件FLUHORSE

【标签】不区分行业

【概述】

Check Point的研究人员最近发现了一种名为FluHorse的新型恶意软件。该恶意软件具有几个模仿合法应用程序的恶意安卓应用程序,其中大多数安装量超过100万次。这些恶意应用程序窃取受害者的凭据和双因素身份验证(2FA)代码。FluHorse针对东亚市场的不同领域,并通过电子邮件进行传播。在某些情况下,第一阶段攻击中使用的电子邮件属于知名对象。恶意软件可以在数月内不被发现,这使其成为一种持久、危险且难以发现的威胁。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOZZ

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weeklyreport202321/
如有侵权请联系:admin#unsafe.sh