信息安全周报-2021年第4周

发布时间 2021-01-25

> 本周安全态势综述


2021年01月18日至01月24日共收录安全漏洞57个,值得关注的是Oracle E-Business Suite One-to-One Fulfillment CVE-2021-2101未明任意代码实行漏洞;Netapp Clustered Data ONTAP任意数据覆盖漏洞;Delta Electronics ISPSoft项目文件处理内存错误引用代码实行漏洞;Cisco SD-WAN vManage Software 命令注入漏洞;谷歌 Chrome Cryptohome不充分策略实行漏洞。


本周值得关注的网络安全事件是俄罗斯铁路存在可访问其监控系统的漏洞;FiberHome FTTH ONT路由器中存在28个后门帐户;JSOF披露Dnsmasq中7个统称为DNSpooq的漏洞;Malwarebytes称SolarWinds黑客已入侵其邮件系统;研究团队发现FreakOut利用多个新漏洞的攻击活动。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.Oracle E-Business Suite One-to-One Fulfillment CVE-2021-2101未明任意代码实行漏洞


Oracle E-Business Suite One-to-One Fulfillment存在未明安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://www.oracle.com/security-alerts/cpujan2021.html


2.Netapp Clustered Data ONTAP任意数据覆盖漏洞


Netapp Clustered Data ONTAP存在未明安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可覆盖系统数据。

https://security.netapp.com/advisory/ntap-20210119-0001/


3.Delta Electronics ISPSoft项目文件处理内存错误引用代码实行漏洞


Delta Electronics ISPSoft项目文件处理存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://us-cert.cisa.gov/ics/advisories/icsa-21-021-01


4.Cisco SD-WAN vManage Software 命令注入漏洞


Cisco SD-WAN vManage Software WEB接口存在安全漏洞,允许通过验证的远程攻击者可以利用漏洞提交特殊的请求,可以ROOT上下文实行任意代码。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-cmdinjm-9QMSmgcn


5.谷歌 Chrome Cryptohome不充分策略实行漏洞


谷歌 Chrome Cryptohome存在不充分策略实行漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB页请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html


> 重要安全事件综述


1、俄罗斯铁路存在可访问其监控系统的漏洞


1.jpg


俄罗斯铁路企业存在漏洞,可用来访问其监控系统和内部服务。该漏洞是由于默认情况下MikroTik路由器上的密码未更改所导致的,黑客可利用该漏洞在一周内关闭铁路上的所有监控,而恢复系统需要至少一个月的时间,花费1.3亿卢布(180万美金)。目前,该漏洞已被修复,但不能确定是否有攻击者利用其非法访问过企业的系统。


原文链接:

https://www.ehackingnews.com/2021/01/hackers-accessed-thousands-of.html


2、FiberHome FTTH ONT路由器中存在28个后门帐户


2.png


研究人员Pierre Kim发现FiberHome FTTH ONT路由器中存在28个后门帐户和多个其他漏洞。该路由器主要部署于南美和东南亚,通常安装在选择千兆位的公寓楼内、家庭或企业内部。Kim称其发现大量可被滥用来接管ISP的后门和漏洞,例如后门允许攻击者通过发送特制的HTTPS请求[https:// [ip]/telnet?enable=0&key=calculated(BR0_MAC)]与路由器的Telnet连接,Web服务器包含22个由不同的Internet服务提供商使用的硬编码凭据等。


原文链接:

https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/


3、JSOF披露Dnsmasq中7个统称为DNSpooq的漏洞


3.png


JSOF的研究人员披露了Dnsmasq中的7个DNSpooq漏洞。Dnsmasq是基于*NIX操作系统的DNS转发客户端,通常在各种网络设备的固件中。此次总共披露了7个漏洞,他们被统称为DNSpooq,其中4个是缓冲区溢出漏洞,可能导致远程实行代码,而其他3个漏洞则可导致DNS缓存中毒。JSOF称攻击者可结合使用DNSpooq和旧版DnsmasqApp,对直接暴露在Internet上的Dnsmasq进行攻击,并且受影响设备所处的内网上的其它设备也将处于危险之中。


原文链接:

https://www.zdnet.com/article/dnspooq-lets-attackers-poison-dns-cache-records/


4、Malwarebytes称SolarWinds黑客已入侵其邮件系统


4.png


安全企业Malwarebytes称SolarWinds背后的黑客已入侵其邮件系统。该企业指出,虽然其没有使用SolarWinds,但与其他企业一样遭到了SolarWinds供应链攻击。攻击发生在去年,黑客利用Azure Active Directory中的漏洞和恶意Office 365应用程序,对企业部分系统发起了攻击。经过调查,该企业确定攻击者仅获得了部分内部邮件的访问权,其内部生产环境并未受到影响,目前仍可安全使用MalwarebytesApp。


原文链接:

https://securityaffairs.co/wordpress/113628/hacking/malwarebytes-solarwinds-attack.html


5、研究团队发现FreakOut利用多个新漏洞的攻击活动


5.png


研究团队发现僵尸网络FreakOut利用多个新漏洞的攻击活动。此次攻击主要针对TerraMaster操作系统、Zend Framework和Liferay Portal,利用了CVE-2020-28188、 CVE-2021-3007和CVE-2020-7961漏洞。FreakOut具有服务端口扫描、收集信息、网络嗅探或发动分布式拒绝服务(DDoS)攻击等功能,可感染Linux设备,并利用其挖加密货币、在企业网络上横向传播或伪装成受影响的企业攻击其他目标。


原文链接:

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/