信息安全周报-2021年第19周

发布时间 2021-05-10

> 本周安全态势综述


2021年05月03日至05月09日共收录安全漏洞54个,值得关注的是Tenda AC11 /goform/setVLAN缓冲区溢出漏洞;Pulse Secure Pulse Connect Secure证书服务WEB服务内存错误应用代码实行漏洞;Linux Kernel eBPF权限提升漏洞;Trend Micro IM Security弱令牌验证绕过漏洞;Foxit Reader CVE-2021-31468内存错误引用代码实行漏洞。


本周值得关注的网络安全事件是比利时Belnet遭到DDoS攻击,多个官方网站无法访问;Qualys披露Exim中影响数百万台服务器的漏洞21Nails;FireEye发布有关UNC2529钓鱼活动的分析报告;Win10 Defender中存在bug,可在C盘创建大量文件;高通芯片存在代码实行漏洞,影响30%的Android系统。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.Tenda AC11 /goform/setVLAN缓冲区溢出漏洞


Tenda AC11 /goform/setVLAN存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://github.com/Yu3H0/IoT_CVE/tree/main/Tenda/CVE_4


2.Pulse Secure Pulse Connect Secure证书服务WEB服务内存错误应用代码实行漏洞


Pulse Secure Pulse Connect Secure证书服务WEB服务存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/p?pubstatus=o


3.Linux Kernel eBPF权限提升漏洞


Linux Kernel eBPF存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可提升权限。

https://www.zerodayinitiative.com/advisories/ZDI-21-503/


4.Trend Micro IM Security弱令牌验证绕过漏洞


Trend Micro IM Security监听16373端口的WEB控制台存在弱会话漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过安全限制,未授权访问。

https://www.zerodayinitiative.com/advisories/ZDI-21-525/


5.Foxit Reader CVE-2021-31468内存错误引用代码实行漏洞


Foxit Reader U3D越界读漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-21-557/


> 重要安全事件综述


1、比利时Belnet遭到DDoS攻击,多个官方网站无法访问


1.jpg


比利时Belnet于周二遭到大规模DDoS攻击,多个官方网站无法访问。Belnet(比利时 国家研究和教育网络)是为比利时教育机构、研究中心、科学研究所和政府服务提供服务的互联网提供商。据估计,这次攻击影响了比利时的200多个组织,包括政府、警察局和COVID-19疫苗预订等网站。目前,比利时当局正在调查此事件,尚不清楚发动此次攻击的攻击者。


原文链接:

https://news.softpedia.com/news/belgium-was-hit-by-a-massive-cyberattack-532812.shtml


2、Qualys披露Exim中影响数百万台服务器的漏洞21Nails


2.jpg


Qualys披露Exim邮件传输代理(MTA)App影响数百万台服务器的21个漏洞,统称为21Nails。这些漏洞有10个可被远程利用,另外11个为本地漏洞,未经身份验证的攻击者可组合使用这些漏洞,来远程实行代码,并在Exim Server上获得root权限。这些漏洞分别为queue_run()中的堆缓冲区溢出漏洞(CVE-2020-28011)、tls-openssl.c中的释放后使用漏洞(CVE-2020-28018)等。研究人员建议用户马上升级到最新的可用Exim版本。


原文链接:

https://www.bleepingcomputer.com/news/security/critical-21nails-exim-bugs-expose-millions-of-servers-to-attacks/


3、FireEye发布有关UNC2529钓鱼活动的分析报告


3.jpg


FireEye发布了有关UNC2529钓鱼活动的分析报告。FireEye的Mandiant团队发现2020年12月2日,和2020年12月11日至12月18日之间发生的两轮钓鱼活动,主要以美国、欧洲、中东、非洲、亚洲和澳大利亚的企业为目标。攻击者总共使用了超过50个域,利用定制的钓鱼邮件,针对包括国防、医药、运输、军事和电子等不同的行业。在一次攻击活动中,UNC2529成功入侵了美国一家供暖和制冷服务企业的域并篡改了其DNS记录。 


原文链接:

https://www.fireeye.com/blog/threat-research/2021/05/unc2529-triple-double-trifecta-phishing-campaign.html


4、Win10 Defender中存在bug,可在C盘创建大量文件


4.jpg


Windows Defender存在bug,可在C:\ProgramData\微软\Windows Defender\Scans\History\Store文件夹内创建大量MD5哈希文件。这些文件的大小为600字节到1KB,有的系统中只有大约1MB的文件,而有的用户则称其系统存在大量的文件,占用了30GB的存储空间。目前,该问题已在Windows Defender 1.1.18100.6版本中修复。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/windows-defender-bug-fills-windows-10-boot-drive-with-thousands-of-files/


5、高通芯片存在代码实行漏洞,影响30%的Android系统


5.jpg


Check Point发现高通(Qualcomm)调制解调器(MSM)接口(简称为QMI)中存在代码实行漏洞。据统计,全球约30%的手机都在使用QMI,包括谷歌 Pixels、LG、OnePlus、SAMSUNGGalaxy系列和小米手机。该漏洞追踪为CVE-2020-11292,是qmi_voicei_srvcc_call_config_req处理程序(0x64)中的堆溢出漏洞,攻击者可以利用此漏洞远程实行代码,来访问用户的通话记录和短信。


原文链接:

https://threatpost.com/qualcomm-chip-bug-android-eavesdropping/165934/