信息安全周报-2021年第45周

发布时间 2021-11-08

>本周安全态势综述


本周共收录安全漏洞60个,值得关注的是Cisco Policy Suite静态SSH密钥漏洞;Mozilla Firefox ESR  HTTP2 session object内存错误引用代码实行漏洞;Apache Traffic Server stats-over-http插件内存覆盖漏洞;D-Link DIR-823G HNAP1命令注入漏洞;Beckhoff Automation TwinCAT OPC UA Server目录遍历漏洞。


本周值得关注的网络安全事件是部分Mac设备升级至macOS Monterey后无法正常启动;研究团队发现几乎威胁所有代码的漏洞Trojan Source;研究团队称僵尸网络Pink已感染超过160万台中国的设备;谷歌发布Android 11月更新,总计修复39个漏洞;BlackMatter团伙宣布迫于执法部门的压力将停止运营。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Cisco Policy Suite静态SSH密钥漏洞


Cisco Policy Suite存在静态SSH密钥漏洞,允许远程攻击者利用漏洞提交特殊的请求,未授权访问系统。


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cps-static-key-JmS92hNv



2. Mozilla Firefox ESR  HTTP2 session object内存错误引用代码实行漏洞


Mozilla Firefox ESR  HTTP2 session object存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。


https://www.mozilla.org/en-US/security/advisories/mfsa2021-49/



3. Apache Traffic Server stats-over-http插件内存覆盖漏洞


Apache Traffic Server stats-over-http插件存在内存覆盖漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。


https://lists.apache.org/thread/k01797hyncx53659wr3o72s5cvkc3164



4. D-Link DIR-823G HNAP1命令注入漏洞


D-Link DIR-823G HNAP1存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意SHELL命令。


https://www.dlink.com/en/security-bulletin/



5. Beckhoff Automation TwinCAT OPC UA Server目录遍历漏洞


Beckhoff Automation TwinCAT OPC UA Server存在目录遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文创建或删除系统上的任何文件。


https://download.beckhoff.com/download/document/product-security/Advisories/advisory-2021-003.pdf



>重要安全事件综述


1、部分Mac设备升级至macOS Monterey后无法正常启动


近期,越来越多的Mac和Macbook用户报告,当其更新到上周发布的最新版macOS Monterey后,设备无法正常启动。此问题似乎仅影响了2019年之前的Mac设备,不会影响使用M1芯片的新款Mac。此外,虽然部分用户称他们的系统已经变砖,但大多数用户可以通过Apple Configurator工具恢复设备。其他用户则找到了另一种方法,就是通过启动DFU来恢复设备。    


原文链接:

https://www.bleepingcomputer.com/news/apple/macos-monterey-update-causes-some-macs-to-become-unbootable/


2、研究团队发现几乎威胁所有代码的漏洞Trojan Source


剑桥大学的研究人员在11月1日公开了一个影响大多数计算机代码编译器和许多App开发环境的漏洞Trojan Source。该漏洞存在于Unicode中,有两种利用方法:其一是使用Unicode的Bidi算法(CVE-2021-42574),对字符进行视觉上的重新排序,使其呈现与编译器和说明器所不同的逻辑顺序;另一种是同形文字攻击(CVE-2021-42694),即利用在视觉上看起来相似的不同字符。该漏洞适用于C、C++、C#、JavaScript、Java等广泛使用的语言,可用于供应链攻击。


原文链接:

https://www.trojansource.codes/


3、研究团队称僵尸网络Pink已感染超过160万台中国的设备


研究团队在10月29日披露了在过去六年发现的最大僵尸网络的细节。因为其大量的函数名称以pink为首,所以取名Pinkbot。该僵尸网络已感染了超过160万台设备,其中96%位于中国。它主要针对基于MIPS的光纤路由器,利用第三方服务的组合,例如GitHub、P2P网络和C2服务器,还对部分域名的解析查询采取了DNS-Over-HTTPS的方式。研究人员称,迄今为止,PinkBot发起了近百次DDoS攻击。


原文链接:

https://thehackernews.com/2021/11/researchers-uncover-pink-botnet-malware.html


4、谷歌发布Android 11月更新,总计修复39个漏洞


谷歌在本周一发布了Android 11月份的更新,总计修复39个漏洞。此次更新修复了一个已被在野利用的0day,是由释放后使用导致的本地提权漏洞CVE-2021-1048。此外,还修复了多个严重的漏洞,包括远程代码实行漏洞CVE-2021-0918和CVE-2021-0930,影响高通组件的CVE-2021-1924和CVE-2021-1975,以及Android TV远程服务中的远程代码实行漏洞CVE-2021-0889等。


原文链接:

https://threatpost.com/android-patches-exploited-kernel-bug/175931/


5、BlackMatter团伙宣布迫于执法部门的压力将停止运营


11月1日,勒索运营团伙BlackMatter在其数据泄露网站上发布消息,称迫于执法部门的压力他们将在48小时内关闭整个基础设施。研究团队表示,这可能与最近的一次国际执法行动有关,此次行动共逮捕了12个涉及1800起勒索攻击活动的嫌疑人。然而,即使BlackMatter现在停止其运营,在未来也将会以新的名称回归,正如BlackMatter本身就是DarkSide在攻击Colonial Pipeline后迫于压力改名而来的。


原文链接:

https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html