信息安全周报-2021年第5周

发布时间 2021-02-01

> 本周安全态势综述


2021年01月25日至01月31日共收录安全漏洞59个,值得关注的是谷歌 Android运行时CVE-2020-0267代码实行漏洞;Bosch FSM-2500 server密码泄露漏洞;Rust SmallVec::insert_many堆溢出漏洞;SonicWall SSL-VPN User-Agent远程命令实行漏洞;Mozilla Firefox CVE-2021-23964内存破坏代码实行漏洞。


本周值得关注的网络安全事件是SonicWall警告利用其VPN产品中0day的攻击活动;黑客公开加密货币交易所Buyucoin用户的数据;Apple安全更新,修复iOS中3个已被在野利用的0day;Sudo漏洞BaronSamedit无需密码可提权至root权限;全球执法部门联合破获Emotet僵尸网络的基础设施。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.谷歌 Android运行时CVE-2020-0267代码实行漏洞


谷歌 Android运行时存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://source.android.com/security/bulletin/android-11


2.Bosch FSM-2500 server密码泄露漏洞


Bosch FSM-2500 server使用的密码哈希不够健壮,允许远程攻击者利用漏洞提交特殊的请求,可获取敏感信息。

https://psirt.bosch.com/security-advisories/BOSCH-SA-332072-BT.html


3.Rust SmallVec::insert_many堆溢出漏洞


Rust SmallVec::insert_many存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://github.com/servo/rust-smallvec/issues/252


4.SonicWall SSL-VPN User-Agent远程命令实行漏洞


Sonicwall ssl-vpn CGI程序处理存在逻辑漏洞,允许远程攻击者利用漏洞提交特殊的User-Agent请求,可以应用程序上下文实行任意代码。

https://darrenmartyn.ie/2021/01/24/visualdoor-sonicwall-ssl-vpn-exploit/


5.Mozilla Firefox CVE-2021-23964内存破坏代码实行漏洞


Mozilla Firefox处理WEB页存在内存破坏漏洞,允许远程攻击者利用漏洞构建恶意WEB页,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://www.auscert.org.au/bulletins/ESB-2021.0291/


> 重要安全事件综述


1、SonicWall警告利用其VPN产品中0day的攻击活动


1.jpg


安全厂商SonicWall发布紧急通知,警告利用其VPN产品中0day的攻击活动。该漏洞位于Secure Mobile Access(SMA)VPN设备及NetExtender VPN客户端中,可被用来对企业的内部系统进行协同攻击。SonicWall尚未发布有关该漏洞的详细信息,但根据缓解措施判断,其可能是是身份验证漏洞,可被用来在可公开访问的设备上远程利用。


原文链接:

https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/


2、黑客公开加密货币交易所Buyucoin用户的数据


2.png


ShinyHunters在暗网上公开印度加密货币交易所Buyucoin用户的数据。此次总共泄露了三个MongoDB数据库,这些数据库均以时间命名,分别为2020年6月1日、2020年7月14日和2020年9月5日。泄露数据包括用户记录、加密货币贸易交易、用户链接的银行帐户信息以及交易所内部使用的其他表,其中用户记录表存储了161487个成员的信息,包括电子邮件地址、国家/地区、哈希密码、手机号码和谷歌登录令牌等。


原文链接:

https://www.bleepingcomputer.com/news/security/data-breach-at-buyucoin-crypto-exchange-leaks-user-info-trades/


3、Apple安全更新,修复iOS中3个已被在野利用的0day


3.png


Apple发布了针对iOS的安全更新,修复了3个已被在野利用的0day。第一个为影响iOS操作系统内核的竞争条件漏洞(CVE-2021-1782),它可以使攻击者提升其攻击代码的权限。另外两个为影响WebKit浏览器引擎的逻辑漏洞(CVE-2021-1870和CVE-2021-1871),可允许远程攻击者在用户的Safari浏览器中实行恶意代码。在漏洞利用链中,用户被引诱到一个恶意网站,该网站利用WebKit漏洞运行代码,随后升级其运行系统级代码的权限,危及操作系统。


原文链接:

https://www.zdnet.com/article/apple-fixes-another-three-ios-zero-days-exploited-in-the-wild/


4、Sudo漏洞BaronSamedit无需密码可提权至root权限


4.png


安全审计企业Qualys发现Sudo漏洞BaronSamedit无需密码可提权至root权限,已有近十年的历史。该漏洞是由于sudo错误地在参数中转义了反斜杠导致基于堆的缓冲区溢出漏洞,被追踪为CVE-2021-3156,允许任何本地用户(无论是否在sudoers文件中)无需进行身份验证获得root权限。在过去两年中发现了另外两个Sudo漏洞(CVE-2019-14287和CVE-2019-18634),但是此次披露的漏洞是三个中最危险的一个。


原文链接:

https://www.zdnet.com/article/10-years-old-sudo-bug-lets-linux-users-gain-root-level-access/


5、全球执法部门联合破获Emotet僵尸网络的基础设施


5.png


由欧洲刑警组织(Europol)领导的全球执法行动破获了著名僵尸网络Emotet的基础设施。Emotet至少从2014年开始活跃,与黑客组织TA542有关。Europol称,此次行动被称为Operation Ladybird,由荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰当局共同合作,破坏并接管了位于90多个国家的Emotet的C&C,并逮捕了多两名网络犯罪分子。据荷兰警方称,Emotet总计造成了数亿美金的损失,而乌克兰执法部门损失额估计为25亿美金。


原文链接:

https://securityaffairs.co/wordpress/113933/cyber-crime/emotet-global-takedown.html