信息安全周报-2021年第23周

发布时间 2021-06-07

> 本周安全态势综述


2021年05月31日至06月06日共收录安全漏洞59个,值得关注的是Mozilla Firefox CVE-2021-29966缓冲区溢出漏洞;Cisco Common Services Platform Collector OS命令实行漏洞;Synology Photo Station SQL注入漏洞;F5 BIG-IQ Centralized Management命令注入漏洞;OpenText Brava Desktop PDF内存错误引用代码实行漏洞。


本周值得关注的网络安全事件是Sophos发现针对Exchange的新勒索AppEpsilon Red;全球最大肉类生产商JBS遭到攻击,多个分企业停产;研究团队发现新后门Facefish,可窃取Linux系统信息;美国已查封NOBELIUM在针对USAID的攻击中使用的域名;Check Point发布2021年亚太地区网络攻击分析报告。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.Mozilla Firefox CVE-2021-29966缓冲区溢出漏洞


Mozilla Firefox存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可应用程序上下文实行任意代码。

https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/


2.Cisco Common Services Platform Collector OS命令实行漏洞


Cisco Common Services Platform Collector CSPC配置存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意OS命令。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-CSPC-CIV-kDuBfNfu


3.Synology Photo Station SQL注入漏洞


Snology Photo Station存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。

https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_20


4.F5 BIG-IQ Centralized Management命令注入漏洞


F5 BIG-IQ Centralized Management某个页面存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意OS命令。

https://support.f5.com/csp/article/K06024431


5.OpenText Brava Desktop PDF内存错误引用代码实行漏洞


OpenText Brava Desktop PDF处理存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-21-642/


> 重要安全事件综述


1、Sophos发现针对Exchange的新勒索AppEpsilon Red


1.jpg


安全企业Sophos发现新勒索AppEpsilon Red,主要针对微软 Exchange服务器。研究人员在调查针对美国某酒店的攻击活动时发现的该恶意App。Epsilon Red用Golang(Go)编写,有一组独特的PowerShell脚本,其中每个脚本都有特定作用,如终止安全工具、删除副本、窃取安全帐户管理器(SAM)文件等。研究人员表示,该团伙使用了REvil赎金记录的模板(改正了其中的语法和拼写错误),并且Epsilon Red是漫威中俄罗斯超级士兵的角色名,因此推断该团伙与俄罗斯有关。


原文链接:

https://www.bleepingcomputer.com/news/security/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers/


2、全球最大肉类生产商JBS遭到攻击,多个分企业停产


2.jpg


JBS食品企业于上周末遭到攻击,影响美国、澳大利亚和加拿大等地的分企业。JBS是全球最大的牛肉和家禽生产商,也是全球第二大猪肉生产商,在六大洲的190个国家/地区都有业务。目前,澳大利亚当局已获悉这一事件,并正在与JBS合作试图恢复境内的生产活动。现在尚不清楚此次攻击的性质等具体信息,由于攻击发生于周末,因此研究人员推断极有可能与勒索App有关。


原文链接:

https://www.bleepingcomputer.com/news/security/food-giant-jbs-foods-shuts-down-production-after-cyberattack/


3、研究团队发现新后门Facefish,可窃取Linux系统信息


3.jpg


研究团队发现了一个新的后门Facefish,可控制Linux系统并窃取敏感数据。Facefish由Dropper和Rootkit两部分组成,其主要功能由Rootkit模块确定,该模块在Ring3层工作,并使用LD_PRELOAD功能进行加载。该恶意App支撑多种功能,包括:上传设备信息、窃取用户凭证、弹回shell和实行任意命令。此外,研究人员表示Facefish采用了复杂的通信协议和加密算法,它使用以0x2XX开头的指令来交换公钥,并使用BlowFish与C2服务器加密通信数据。


原文链接:

https://securityaffairs.co/wordpress/118388/malware/facefish-backdoor.html


4、美国已查封NOBELIUM在针对USAID的攻击中使用的域名


4.jpg


美国司法部已查封NOBELIUM在针对美国国际开发署 (USAID) 的攻击中使用的域名。MicroSoft于上周四首次披露了此次钓鱼攻击,隶属于俄罗斯情报机构SVR的NOBELIUM(又名APT29)冒充USAID, 向150 多个组织发送了3000多封钓鱼邮件。此次查封的两个域名分别为theyardservice[.]com和worldhomeoutlet[.]com,主要用于接收从受害者那里泄露的数据,并发送命令。


原文链接:

https://www.bleepingcomputer.com/news/security/us-seizes-domains-used-by-apt29-in-recent-usaid-phishing-attacks/


5、Check Point发布2021年亚太地区网络攻击分析报告


5.jpg


Check Point发布了2021年亚太地区网络攻击的分析报告。报告指出,与2020年5月相比,亚太地区 (APAC) 的网络攻击数量同比增长了168%,而在2021年4月至5月期间就增加了53%。增幅最大的恶意App类型是勒索App和远程访问木马 (RAT),与今年年初相比,都增加了26%,而银行木马和信息窃取工具也增加了10%。网络攻击次数增幅最大的前5个国家/地区是日本(40%)、新加坡(30%)、印度尼西亚(25%)、马来西亚(22%)和中国台湾(17%)。


原文链接:

https://blog.checkpoint.com/2021/05/27/check-point-research-asia-pacific-experiencing-a-168-year-on-year-increase-in-cyberattacks-in-may-2021/