信息安全周报-2021年第20周

发布时间 2021-05-17

> 本周安全态势综述


2021年05月10日至05月16日共收录安全漏洞70个,值得关注的是微软 Exchange Server CVE-2021-31198远程代码实行漏洞;SAP Business Warehouse代码注入实行漏洞;Envoyproxy授权绕过漏洞;Rockwell Automation Connected Components Workbench反序列化代码实行漏洞;Adobe After Effects CVE-2021-28571命令注入漏洞。


本周值得关注的网络安全事件是美国Colonial Pipeline感染勒索App,主要输油管停运;CISA、NCSC、FBI与NSA联合发布有关俄罗斯SVR的咨询;研究团队称1.28亿iOS用户已感染恶意AppXcodeGhost;Tor网络新增数千个恶意接口,监听加密货币相关的流量;微软发布5月补丁,修复3个0day在内的55个漏洞。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.微软 Exchange Server CVE-2021-31198远程代码实行漏洞


微软 Exchange Server存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃,造成拒绝服务攻击。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-31198


2.SAP Business Warehouse代码注入实行漏洞


SAP Business Warehouse存在输入验证安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655


3.Envoyproxy授权绕过漏洞


Envoyproxy处理URI路径上转义符(%2F, %2f, %5C, 或%5c)存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过授权,未授权访问。

https://access.redhat.com/security/cve/cve-2021-29492


4.Rockwell Automation Connected Components Workbench反序列化代码实行漏洞


Rockwell Automation Connected Components Workbench处理恶意对象存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://us-cert.cisa.gov/ics/advisories/icsa-21-133-01


5.Adobe After Effects CVE-2021-28571命令注入漏洞


Adobe After Effects存在命令注入漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意OS命令。

https://helpx.adobe.com/security/products/after_effects/apsb21-33.html


> 重要安全事件综述


1、美国Colonial Pipeline感染勒索App,主要输油管停运


1.jpg


美国最大的燃料管道企业Colonial Pipeline遭到勒索App攻击,5500英里输油管停运。Colonial Pipeline每天从德克萨斯州输送250万桶石油到东海岸和纽约,该管道覆盖了美国东海岸45%的燃料供应。该企业在上周六表示,其于5月7日遭到勒索攻击,发现攻击后主动关闭了关键的系统以避免传播,目前正与安全企业合作对该事件的性质和范围进行调查。美国的某官员称,此次勒索攻击事件与DarkSide团伙有关。


原文链接:

https://www.bleepingcomputer.com/news/security/largest-us-pipeline-shuts-down-operations-after-ransomware-attack/


2、CISA、NCSC、FBI与NSA联合发布有关俄罗斯SVR的咨询


2.jpg


CISA与英国国家网络安全中心(NCSC)、联邦调查局(FBI)和国家安全局(NSA)联合发布有关俄罗斯SVR的安全咨询。该咨询指出SVR似乎已通过更改其技术和程序(TTP),来避免组织发现其活动和采取补救措施。此外,SVR主要针对政府、智库、政策和能源相关的组织,以及有时效性的目标,例如2020年与COVID-19疫苗相关的组织。黑客主要使用了CVE-2018-13379、CVE-2019-1653和CVE-2019-2725等11个漏洞。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2021/05/07/joint-ncsc-cisa-fbi-nsa-cybersecurity-advisory-russian-svr


3、研究团队称1.28亿iOS用户已感染恶意AppXcodeGhost


3.jpg


研究团队称,在最近的恶意App攻击中,超过1.28亿iOS用户成为攻击目标。攻击者在此次活动中使用了XcodeGhost,该恶意App于2015年首次出现。Apple警告称,大约2500个应用感染了恶意Xcode代码。据报道,其中约55%的用户是中国人,而66%的下载量与中国有关。特别是,一些广受欢迎的应用也已感染了该恶意App,包括游戏“愤怒的小鸟2”。


原文链接:

https://www.ehackingnews.com/2021/05/xcodeghost-malware-infected-around-128m.html


4、Tor网络新增数千个恶意接口,监听加密货币相关的流量


4.jpg


The Record称,自2020年以来Tor网络新增数千个恶意接口,监听加密货币相关网站的流量。在针对Tor网络的攻击中,攻击者可利用其控制的钱包替换合法钱包的地址来劫持交易。此外,Nusenu发现黑客已经两次打破了其自2020年5月以来的记录(恶意接口比例为23%):2020年10月30日,黑客团伙操纵了超过26%的tor网络接口,到2021年02月02日,其已经管理了超过27%的接口。目前,恶意接口均已从Tor网络中移除。


原文链接:

https://securityaffairs.co/wordpress/117749/deep-web/tor-exit-nodes-ssl-stripping.html


5、微软发布5月补丁,修复3个0day在内的55个漏洞


5.jpg


微软发布5月份的周二补丁,修复包括3个0day在内的55个漏洞。此次修复的0 day分别是NET和Visual Studio中的提权漏洞(CVE-2021-31204)、微软 Exchange Server中的安全功能绕过漏洞(CVE-2021-31207)和通用工具中的远程实行代码漏洞(CVE-2021-31200),这些漏洞还未被在野利用。此外,还修复了HTTP.sys中的远程实行代码漏洞(CVE-2021-31166)和IE浏览器中的内存损坏漏洞(CVE-2021-26419)等漏洞。


原文链接:

https://www.securityweek.com/microsoft-patch-tuesday-55-vulnerabilities-4-critical-3-publicly-known