信息安全周报-2021年第1周

发布时间 2021-01-04

> 本周安全态势综述


2020年12月28日至2021年01月03日共收录安全漏洞52个,值得关注的是KLog Server actions/authenticate.php命令注入漏洞;Solarwinds Orion Platform Request.PathInfo安全绕过漏洞;Panasonic Security System硬编码漏洞;Netgear NMS300 CVE-2020-35789命令注入漏洞;NETGEAR D7800 CVE-2020-35791命令注入漏洞。


本周值得关注的网络安全事件是Apple iCloud中断36小时,尚不清楚故障原因;GoDaddy向员工发送钓鱼邮件,测试员工的反应;新恶意App可利用Imgur来解码Cobalt Strike脚本;日本军工企业川崎重工遭到攻击,或将导致数据泄露;Wasabi云存储服务因DNS解析问题导致中断13个小时。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1.KLog Server actions/authenticate.php命令注入漏洞


KLog Server actions/authenticate.php存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令并实行。

https://github.com/mustgundogdu/Research/blob/main/KLOG_SERVER/Exploit_Code


2.Solarwinds Orion Platform Request.PathInfo安全绕过漏洞


Solarwinds Orion Platform Request.PathInfo存在验证绕过漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行未授权的API命令。

https://www.kb.cert.org/vuls/id/843464


3.Panasonic Security System硬编码漏洞


Panasonic Security System存在lkjhgfdsa硬编码漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问设备。

https://security.panasonic.com/products_technology/products/wv-s2231l/



4.Netgear NMS300 CVE-2020-35789命令注入漏洞


Netgear NMS300存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问设备。

https://kb.netgear.com/000062686/Security-Advisory-for-Post-Authentication-Command-Injection-on-NMS300-PSV-2020-0559


5.NETGEAR D7800 CVE-2020-35791命令注入漏洞


NETGEAR D7800存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问设备。

https://kb.netgear.com/000062714/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-PSV-2019-0079


> 重要安全事件综述


1、Apple iCloud中断36小时,尚不清楚故障原因


1.jpg


Apple iCloud服务出现故障,使用户无法登录该服务访问文件或设置新设备。此次中断从美国东部时间12月25日上午4:45开始,直到12月26日下午4:35才被修复,历时36小时。中断期间,Apple的系统状态页上仅显示“用户可能遇到此服务的问题”的提示,没有更多有关此中断的信息。目前,Apple企业没有提供任何故障原因。


原文链接:

https://www.bleepingcomputer.com/news/apple/apple-icloud-outage-prevents-device-activations-access-to-data/


2、GoDaddy向员工发送钓鱼邮件,测试员工的反应


2.jpg


GoDaddy向员工发送钓鱼邮件,以测试员工对网络钓鱼活动的反应。该测试于12月进行,邮件声称将提供650美金的圣诞节奖金,以帮助员工应对因COVID-19爆发而导致的经济问题,并要求他们填写个人信息表格。这次测试活动大约500名员工中招,他们将被要求重新参加社会工程安全意识的培训。由于测试中使用的诱饵和模拟时间的选择,该方法受到了部分网络安全团体的批评。


原文链接:

https://securityaffairs.co/wordpress/112664/security/godaddy-phishing-test-employees.html


3、新恶意App可利用Imgur来解码Cobalt Strike脚本


3.jpg


新恶意App可利用图像托管服务Imgur下载合法的图像,来解码Cobalt Strike脚本。新的恶意App使用带有宏的Word文件从GitHub下载PowerShell脚本,该脚本将从Imgur下载实际PNG文件。之后,利用像Invoke-PSImage这样的工具来使用PNG文件中的像素值编码PowerShell脚本,并生成一行命令来实行payload,最终获得Cobalt Strike脚本。研究人员推测此恶意App可能与主要针对中东实体的APT组织MuddyWater有关。


原文链接:

https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/


4、日本军工企业川崎重工遭到攻击,或将导致数据泄露


4.png


日本军工企业川崎重工遭到攻击,或将导致数据泄露。川崎重工(Kawasaki)称,2020年6月11日有未经授权的第三方从泰国办事处访问了日本的服务器,在发现该问题后两个站点之间的所有通信都被停止。随后,该企业又发现了其他海外站点(印度尼西亚、菲律宾和美国)未经授权访问日本服务器的情况,并切断通信。川崎称此次攻击使用了先进技术而没有留下任何痕迹和证据,但企业数据或许已经泄露。所有被终止的通信于11月30日恢复正常。


原文链接:

https://securityaffairs.co/wordpress/112765/data-breach/kawasaki-heavy-industries-cyber-attack.html


5、Wasabi云存储服务因DNS解析问题导致中断13个小时


5.png


Wasabi云存储服务因DNS解析问题导致中断13个小时。12月28日下午2:30 EST用户发现无法访问wasabisys.com上的存储桶,Wasabi在中断报告中称是由于DNS解析问题导致。据悉,该平台用户上传了恶意App,其域名称注册商发现后想要通过电子邮件通知Wasabi,却把报告转发到了错误的地址,使得Wasabi未得到通知。而该注册商因未得到回复而暂停了该域,Wasabi在得知该事件后删除了托管恶意App并要求重新激活该域,平台在12月29日下午12:57 EST终于得到恢复。


原文链接:

https://www.bleepingcomputer.com/news/security/wasabi-cloud-storage-service-knocked-offline-for-hosting-malware/