信息安全周报-2021年第32周

发布时间 2021-08-09

> 本周安全态势综述


2021年08月02日至08月08日共收录安全漏洞63个,值得关注的是谷歌 Android高通组件CVE-2021-1972代码实行漏洞;Cisco Connected Mobile Experiences更改密码验证绕过漏洞;Claroty Secure Remote Access SQL注入漏洞;Advantech WebAccess/SCADA CVE-2021-32943栈溢出漏洞;Pulse Connect Secure CVE-2021-22933路径遍历漏洞。


本周值得关注的网络安全事件是黑客公开电子艺界EA的数据,包括FIFA 21游戏源码;研究团队称DarkSide或以BlackMatter之名重新回归;Python发布安全更新,修复PyPI存储库中多个漏洞;Kaspersky披露新的GhostEmperor团伙针对东南亚;研究人员披露TCP/IP中统称为INFRA:HALT的14个漏洞。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.谷歌 Android高通组件CVE-2021-1972代码实行漏洞


谷歌 Android高通组件存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使系统崩溃或以应用程序上下文实行任意代码。

https://source.android.com/security/bulletin/2021-08-01


2.Cisco Connected Mobile Experiences更改密码验证绕过漏洞


Cisco Connected Mobile Experiences更改密码实现存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可绕过验证未授权访问。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmx-GkCvfd4


3.Claroty Secure Remote Access SQL注入漏洞


Claroty Secure Remote Access存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或实行任意代码。

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0017


4.Advantech WebAccess/SCADA CVE-2021-32943栈溢出漏洞


Advantech WebAccess/SCADA存在栈溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://us-cert.cisa.gov/ics/advisories/icsa-21-217-04


5.Pulse Connect Secure CVE-2021-22933路径遍历漏洞


Pulse Connect Secure存在目录遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文删除系统任意文件。

https://www.pulsesecure.net/products/remote-access-overview/


 > 重要安全事件综述


1、黑客公开电子艺界EA的数据,包括FIFA 21游戏源码


1


7月26日星期一,黑客在暗网公开电子艺界EA的数据,包括FIFA 21游戏源码、FrostBite游戏引擎和调试工具源代码等信息。该事件最初于6月10日披露,当时黑客声称窃取了该企业780GB的数据,并愿意以2800万美金的价格出售。但因为被盗数据大多是源代码对网络犯罪团伙来说没有任何价值,因此并未找到买家。之后黑客试图勒索EA,在7月14日发布了1.3GB的FIFA源代码作为样本,并在2周后公开了全部数据。


原文链接:

https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt/


2、研究团队称DarkSide或以BlackMatter之名重新回归


2.jpg


研究团队称勒索团伙DarkSide可能已重新命名为新的BlackMatter重新回归。DarkSide在攻击美国最大的燃料管道Colonial Pipeline后,于今年5月突然关闭。上周,研究人员发现新的勒索AppBlackMatter。分析发现,二者使用的加密程序几乎相同,包括DarkSide所特有的自定义Salsa20矩阵。此外,二者都使用了DarkSide独有的RSA-1024实现、采用了相同的加密算法并且数据泄露网站都使用了类似的语言。


原文链接:

https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/


3、Python发布安全更新,修复PyPI存储库中多个漏洞


3.jpg


Python团队发布安全更新,修复了Python Package Index (PyPI)存储库中的3个漏洞。此次修复的漏洞中,最严重的一个允许攻击者在PyPI的基础设施上运行命令,来窃取代码库中的令牌或其它密码,并且这些令牌或密码还可被用来访问和篡改PyPI代码。另外两个漏洞中,一个允许攻击者删除不在其控制下的项目的文档,而另一个允许攻击者删除不在其控制下的项目中的角色。


原文链接:

https://therecord.media/python-team-fixes-bug-that-allowed-takeover-of-pypi-repository/


4、Kaspersky披露新的GhostEmperor团伙针对东南亚


4.jpg


Kaspersky披露了一个新的黑客团伙GhostEmperor,主要针对东南亚地区的目标,包括政府机构和几家电信企业。该团伙的入侵活动依赖于Cheat Engine开源项目的一个组件,它能够绕过Windows驱动程序强制签名机制。该团伙之所以与众不同,是因为它使用了一个以前不为人知的Windows内核模式的rootkit,并且采用了复杂的多阶段恶意App框架,旨在对目标服务器进行远程控制。


原文链接:

https://securityaffairs.co/wordpress/120721/apt/ghostemperor-chinese-speaking-threat-actor.html


5、研究人员披露TCP/IP中统称为INFRA:HALT的14个漏洞


5.jpg


研究人员披露了在NicheStack TCP/IP堆栈中发现的统称为INFRA:HALT的14个安全漏洞,影响了超过200家供应商制造的OT设备。这些漏洞可以导致远程代码实行、拒绝服务 (DoS)和信息泄露、TCP欺骗和DNS缓存中毒。其中最严重的漏洞为CVE-2020-25928和CVE-2020-31226,评分分别为9.8和9.1,影响了堆栈的DNS客户端和HTTP服务器组件,可用来在目标设备上实行代码并完全控制它。


原文链接:

https://thehackernews.com/2021/08/critical-flaws-affect-embedded-tcpip.html