信息安全周报-2021年第40周

发布时间 2021-10-08

>本周安全态势综述


2021年09月27日至10月03日共收录安全漏洞59个,值得关注的是Micro Focus ArcSight Enterprise Security Manager远程代码实行漏洞;Nagios XI repairmysql.sh不正确权限指派代码实行漏洞;ECOA BAS controller敏感信息泄露漏洞;Tenda AC9 httpd缓冲区溢出漏洞;Siemens Solid Edge OBJ文件CVE-2021-41535内存错误引用代码实行漏洞。


本周值得关注的网络安全事件是Windows WPBT中的新漏洞影响Win8及之后所有系统;欧洲呼叫中心供应商GSS遭到Conti团伙的勒索攻击;美国VoIP提供商Bandwidth.com遭到DDoS攻击;MicroSoft发现旨在窃取AD FS管理员凭据的后门FoggyWeb;CISA和NSA联合发布有关选择和加固VPN的安全指南。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1.Micro Focus ArcSight Enterprise Security Manager远程代码实行漏洞


Micro Focus ArcSight Enterprise Security Manager存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。


https://portal.microfocus.com/s/article/KM000001960?language=en_US


2.Nagios XI repairmysql.sh不正确权限指派代码实行漏洞


Nagios XI repairmysql.sh存在不正确权限指派漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。


https://www.nagios.com/downloads/nagios-xi/change-log/



3.ECOA BAS controller敏感信息泄露漏洞


ECOA BAS controller处理HTTP GET请求存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可获取敏感信息。


https://www.twcert.org.tw/tw/cp-132-5137-730a6-1.html



4.Tenda AC9 httpd缓冲区溢出漏洞


Tenda AC9 httpd /goform/SetStaticRouteCfg存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。


https://github.com/grapefruitvul/vulinfo/blob/master/tenda/vul1.md



5.Siemens Solid Edge OBJ文件CVE-2021-41535内存错误引用代码实行漏洞


Siemens Solid Edge SE2021 OBJ文件存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或者以应用程序上下文实行任意代码。


https://cert-portal.siemens.com/productcert/pdf/ssa-728618.pdf



 >重要安全事件综述


1、Windows WPBT中的新漏洞影响Win8及之后所有系统


Windows WPBT中的新漏洞影响Win8及之后所有系统.jpg


Eclypsium研究团队发现微软 Windows平台二进制表(WPBT)中存在一个漏洞,可用来在系统上安装Rootkit。该漏洞影响了2012年之后发行的Windows 8及更高版本的所有系统,攻击者可利用该漏洞在系统启动时以内核权限运行恶意代码。MicroSoft提出的缓解措施包括使用Windows Defender应用程序控制(WDAC)策略来控制在系统中运行的二进制文件,或使用AppLocker策略来控制允许运行的应用。


原文链接:


https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/



2、欧洲呼叫中心供应商GSS遭到Conti团伙的勒索攻击


欧洲呼叫中心供应商GSS遭到Conti团伙的勒索攻击.jpg


Covisian发言人称,其西班牙和拉丁美洲分部GSS于9月18日遭到了Conti团伙的勒索攻击。Covisian是欧洲最大的客户服务和呼叫中心供应商之一,此次攻击导致其大部分系统中断,影响了Vodafone Spain、MasMovil ISP、马德里的供水企业和电视台等企业和组织。不久前,美国的呼叫中心和客户支撑服务供应商TTEC也遭到了勒索攻击。


原文链接:

https://securityaffairs.co/wordpress/122570/cyber-crime/gss-ransomware-attack.html



3、美国VoIP提供商Bandwidth.com遭到DDoS攻击


美国VoIP提供商Bandwidth.com遭到DDoS攻击.jpg


美国VoIP提供商Bandwidth.com在近期遭到了DDoS攻击,导致过去几天内其在全美的语音服务中断。Bandwidth从美国东部时间9月25日下午3:31开始报告其系统出现故障,影响了语音、增强型911(E911)服务、消息发送和官网访问。Bandwidth未公开服务中断的原因,但其员工称是DDoS攻击导致的。本月VoIP.ms曾遭到为期一周的DDoS攻击并被勒索450万美金,尚不清楚Bandwidth是否也遭到了类似的勒索攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/bandwidthcom-is-latest-victim-of-ddos-attacks-against-voip-providers/


4、MicroSoft发现旨在窃取AD FS管理员凭据的后门FoggyWeb


MicroSoft发现旨在窃取AD FS管理员凭据的后门FoggyWeb.jpg


MicroSoft威胁情报中心(MSTIC)于9月27日披露了旨在窃取Active Directory联合身份验证服务(AD FS)管理员凭据的后门FoggyWeb。该恶意App与俄罗斯外国情报局(SVR)的黑客团伙Nobelium有关,滥用了SAML令牌。它可以为攻击者定义的URI配置HTTP监听器(这些URI模仿了目标AD FS使用的合法URI的结构),来监听发送到AD FS的HTTP GET和POST请求,并拦截与自定义URI模式匹配的HTTP请求。


原文链接:

https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/



5、CISA和NSA联合发布有关选择和加固VPN的安全指南


CISA和NSA联合发布有关选择和加固VPN的安全指南.jpg


美国CISA和NSA在9月28日联合发布了有关选择和加固VPN的安全指南。指南指出,组织应该从信誉良好的供应商那里选择产品,因为他们会以最快的速度修复已知漏洞。安全机构称,VPN设备可以收集凭证、用来远程实行代码、削弱加密流量会话的加密、劫持会话以及读取敏感信息,建议组织配置强加密和身份验证、仅运行必要的功能以及保护和监控对VPN的访问。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/cisa-and-nsa-release-guidance-selecting-and-hardening-vpns