信息安全周报-2021年第18周

发布时间 2021-05-06

> 本周安全态势综述


2021年04月26日至05月02日共收录安全漏洞66个,值得关注的是Apple macOS Big Sur WebKit CVE-2021-1817内存破坏代码实行漏洞;谷歌 Chrome ANGLE堆溢出代码实行漏洞;Cisco Adaptive Security Appliances Software CVE-2021-1504缓冲区溢出漏洞;PHP FilteredIterator反序列化代码实行漏洞;Vivotek VIVOTEK IP Camera OS命令注入漏洞。


本周值得关注的网络安全事件是黑客在暗网公开印度BigBasket约2000万个用户的信息;脸书披露近期2个巴勒斯坦黑客团伙的间谍活动;德国联邦警察局重置Emotet,该恶意App将自动卸载;Apple安全更新,修复macOS中被Shlayer利用的0day;Azure云帐户因配置错误泄露MicroSoft多款产品的源代码。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.Apple macOS Big Sur WebKit CVE-2021-1817内存破坏代码实行漏洞


Apple macOS Big Sur WebKit存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://support.apple.com/zh-cn/HT212325


2.谷歌 Chrome ANGLE堆溢出代码实行漏洞


谷歌 Chrome ANGLE存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html


3.Cisco Adaptive Security Appliances Software CVE-2021-1504缓冲区溢出漏洞


Cisco Adaptive Security Appliances Software HTTPS请求存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行拒绝服务攻击。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vpn-dos-fpBcpEcD


4.PHP FilteredIterator反序列化代码实行漏洞


PHP FilteredIterator存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://github.com/WordPress/Requests/security/advisories/GHSA-52qp-jpq7-6c54


5.Vivotek VIVOTEK IP Camera OS命令注入漏洞


Vivotek VIVOTEK IP Camera NTP Server configuration处理参数存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意OS命令。

https://www.meritlilin.com/assets/uploads/support/file/M00166-TW.pdf


> 重要安全事件综述


1、黑客在暗网公开印度BigBasket约2000万个用户的信息


1.jpg


BigBasket是印度的在线杂货配送服务,可在用户在线购买物品之后将其运送到家中。4月25日清晨,著名泄露数据卖家ShinyHunter在暗网上发布了一个据称是从BigBasket盗取的数据库,其中有超过2000万个用户的记录,包括电子邮件地址、SHA1哈希密码、地址、电话号码和其他类型的信息等。此外,该黑客称其已经使用SHA1算法破解了200万个密码,其中70万名客户使用了“password”作为密码。


原文链接:

https://www.bleepingcomputer.com/news/security/hacker-leaks-20-million-alleged-bigbasket-user-records-for-free/


2、脸书披露近期2个巴勒斯坦黑客团伙的间谍活动


2.jpg


脸书近期发现了2个分别在2019年和2020年开始活跃的巴勒斯坦黑客团伙的间谍活动。这两个组织之间似乎没有联系,但它们的目的似乎相反。他们均利用了iOS间谍App,并以脸书等社交媒体平台为起点,与目标建立联系并发起社会工程攻击,诱使他们进入钓鱼页面和其他恶意网站。研究人员推断其中之一与巴勒斯坦安全机构有关,在土耳其、伊拉克、黎巴嫩和利比亚也有攻击活动。另一组与Arid Viper有关,主要针对法塔赫政党成员、政府官员、安全部队和学生。


原文链接:

https://www.wired.com/story/palestine-hacking-ios-custom-spyware/


3、德国联邦警察局重置Emotet,该恶意App将自动卸载


3.jpg


德国联邦警察局Bundeskriminalamt重置了Emotet,该恶意App将在所有受感染的系统中自动卸载。Emotet是近期最危险的垃圾邮件僵尸网络之一,其基础设施于今年1月份由多国执法部门联合捣毁。在此次行动中,德国警方负责开发和推送卸载模块,其为了收集证据和信息而推迟了该卸载模块的发布。该机构通过其控制的C2服务器,将32位EmotetLoader.dll形式的新Emotet模块分发给所有受感染的系统,使这些系统在2021年4月25日自动卸载该恶意App。


原文链接:

https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/


4、Apple安全更新,修复macOS中被Shlayer利用的0day


4.jpg


Apple发布安全更新,修复macOS Big Sur 11.3中已被利用的0day。安全团队Jamf发现,从2021年1月开始恶意AppShlayer利用了一个0day(CVE-2021-30657),来绕过Apple的文件隔离、Gatekeeper和公证安全检查,并下载第二阶段所使用的payload。此外,此次更新还修复了iOS、iPadOS和watchOS中的多个0day,包括WebKit Storage的内存损坏漏洞(CVE-2021-30661)、远程代码实行漏洞(CVE-2020-27930)、内核内存泄露漏洞(CVE-2020-27950)和内核特权提升漏洞(CVE-2020-27932)。


原文链接:

https://www.bleepingcomputer.com/news/security/apple-fixes-macos-zero-day-bug-exploited-by-shlayer-malware/


5、Azure云帐户因配置错误泄露MicroSoft多款产品的源代码


5.jpg


vpnMentor研究团队发现一个配置错误的微软 Azure Blob云帐户泄露了MicroSoft多款产品的源代码。泄露数据的总大小为63GB,包含超过3800个文件,涉及上百家企业的融资演讲稿和10-15种产品的源代码,于2021年1月7日被发现并已在2021年2月23日得到保护。这些文件为众多企业向微软 Dynamics做出的一系列商业宣传和产品说明,可能来自MicroSoft企业。


原文链接:

https://www.vpnmentor.com/blog/report-microsoft-dynamics-leak/