今日威胁情报2021/3/10-11(第357期)

  • A+
所属分类:安全新闻

今日威胁情报2021/3/10-11(第357期)


高级威胁分析
今日威胁情报2021/3/10-11(第357期)


1、ESET Research发现至少10个APT组织利用Exchange服务器进行定向攻击,涉及LuckyMouse,Tick,WinntiGroup和Calypso等可能正在利用最近的Microsoft Exchange漏洞来危害全世界的电子邮件服务器

今日威胁情报2021/3/10-11(第357期)

https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/


2、New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor。几乎每天都有兔子的事件帖子……。

https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/


3、怎样防御针对Microsoft Exchange Server攻击

今日威胁情报2021/3/10-11(第357期)
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/microsoft-exchange-server-protection

这个是平底锅的分析报告

今日威胁情报2021/3/10-11(第357期)

https://unit42.paloaltonetworks.com/microsoft-exchange-server-vulnerabilities/

再补一个技术分析

https://www.praetorian.com/blog/reproducing-proxylogon-exploit/


4、DomianTools从情报侧给出的分析报告,攻击exchange服务器的相关报告,这个报告最大的价值是关联事件和展现DomainTools不为人知的数据实力。

https://www.domaintools.com/resources/blog/examining-exchange-exploitation-and-its-lessons-for-defenders


5、bitdefender发布的fin8 组织技战术……我已经不记得这个组织了……

https://labs.bitdefender.com/2021/03/fin8-group-is-back-in-business-with-improved-badhatch-kit/


6、针对日本的高阶水坑攻击用法分析报告

https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit


技术分享
今日威胁情报2021/3/10-11(第357期)


1、360netlab发布威胁快讯:z0Miner正在利用ElasticSearch和Jenkins突破大肆传播

https://blog.netlab.360.com/fast-analyze-z0miner/


2、沙箱技术,触及到盲区了

今日威胁情报2021/3/10-11(第357期)

https://research.checkpoint.com/2021/playing-in-the-windows-sandbox/


3、【OSINT技术工具】NASA实时卫星,实时看卫星啦

今日威胁情报2021/3/10-11(第357期)

https://worldview.earthdata.nasa.gov/


4、写论文专利技术+1,归因攻击组织框架,保不齐过几天又被抄袭了……

今日威胁情报2021/3/10-11(第357期)

https://www.tandfonline.com/doi/full/10.1080/01402390.2021.1895117


5、日本分析师大会全部议题。研究高级威胁的,老牛逼了

https://blogs.jpcert.or.jp/en/2021/03/jsac2021report3.html


6、国内老哥整理的,红队中易被攻击的一些重点系统漏洞整理,希望大家护网用得上……

以下时间为更新时间,不代表漏洞发现时间.带 ⚒️图标的为工具URL.
配合EHole(棱洞)-红队重点攻击系统指纹探测工具使用效果更佳:https://github.com/EdgeSecurityTeam/EHole
此项目同步至:https://forum.ywhack.com/bountytips.php?Vulnerability
一、OA系统泛微(Weaver-Ecology-OA)
[2021.01.07] - 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0[2021.01.07] - 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库)[2021.01.07] - 泛微ecology OA数据库配置信息泄露[2021.01.07] - 泛微OA云桥任意文件读取 - 影响2018-2019 多个版本[2021.01.07] - 泛微 e-cology OA 前台SQL注入漏洞[2021.01.07] - 泛微OA系统 com.eweaver.base.security.servlet.LoginAction 参数keywordid SQL注入漏洞[2021.01.07] - 泛微 OA sysinterface/codeEdit.jsp 页面任意文件上传[2021.01.07] - 泛微ecology OA数据库配置信息泄露致远(Seeyon)
[2021.01.07] - 致远 OA A8 htmlofficeservlet getshell 漏洞[2021.01.07] - 致远OA Session泄漏漏洞[2021.01.07] - 致远OA A6 search_result.jsp sql注入漏洞[2021.01.07] - 致远OA A6 setextno.jsp sql注入漏洞[2021.01.07] - 致远OA A6 重置数据库账号密码漏洞[2021.01.07] - 致远OA A8 未授权访问[2021.01.07] - 致远OA A8-v5 任意用户密码修改[2021.01.07] - 致远OA A8-m 后台万能密码[2021.01.07] - 致远OA 帆软报表组件 前台XXE漏洞[2021.01.07] - 致远OA帆软报表组件反射型XSS&SSRF漏洞 - Thinks:@LandGrey蓝凌OA
[2021.01.07] - 暂无(希望大佬能提供)通达OA(TongDa OA)
[2021.01.07] - 通达OA任意文件删除&文件上传RCE分析(2020年hw 8月0day)[2021.01.07] - 通达OA任意文件上传/文件包含GetShell[2021.01.07] - 通达OA <11.5版本 任意用户登录[2021.01.07] - 通达OA 11.2后台getshell[2021.01.07] - 通达OA 11.7 后台sql注入getshell漏洞[2021.03.06] - 通达OA 11.7 未授权RCE[2021.03.09] - 通达OA 11.8 后台低权限Getshell[2021.03.07] - ⚒️TDOA_RCE 通达OA综合利用工具金蝶OA(Kingdee OA)
[2021.01.07] - 金蝶协同办公系统 GETSHELL漏洞二、E-mailExchange
[2021.01.07] - CVE-2020-17083 Microsoft Exchange Server 远程执行代码漏洞[2021.01.07] - Microsoft Exchange远程代码执行漏洞(CVE-2020-16875)[2021.01.07] - CVE-2020-0688_微软EXCHANGE服务的远程代码执行漏洞[2021.01.07] - Microsoft Exchange任意用户伪造漏洞[2021.03.08] - ⚒️Microsoft Exchange SSRF(CVE-2021-26855)[2021.01.07] - Exchange 历史漏洞合集[2021.03.10] - Microsoft Exchange Proxylogon漏洞利用链Coremail
[2021.01.07] - Coremail 配置信息泄露及接口未授权漏洞[2021.01.07] - Coremail 存储型XSS漏洞[2021.01.07] - Coremail 历史漏洞合集三、Web中间件Apache
[2021.01.07] - Apache Solr RCE—【CVE-2019-0192】[2021.01.07] - CVE-2018-1335:Apache Tika 命令注入[2021.01.07] - Apache Axis1(<=1.4版本) RCE[2021.01.07] - Tomcat信息泄漏和远程代码执行漏洞【CVE-2017-12615/CVE-2017-12616】[2021.01.07] - Tomcat Ghostcat - AJP协议文件读取/文件包含漏洞[2021.01.07] - Tomcat全版本命令执行漏洞 CVE-2019-0232[2021.01.07] - Tomcat后台部署war木马getshell[2021.01.07] - CVE-2016-1240 Tomcat本地提权漏洞[2021.01.07] - Tomcat历史漏洞合集Weblogic
[2021.01.07] - CVE-2020-14882 Weblogic 未授权绕过RCE[2021.01.07] - Weblogic 远程命令执行漏洞分析(CVE-2019-2725)[2021.01.07] - CVE-2019-2618任意文件上传漏洞[2021.01.07] - WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)[2021.01.07] - Weblogic任意文件读取漏洞(CVE-2019-2615)与文件上传漏洞(CVE-2019-2618)[2021.01.07] - Weblogic coherence组件iiop反序列化漏洞 (CVE-2020-14644)[2021.03.07] - WebLogic CVE-2020-14756 T3/IIOP 反序列化RCE[2021.03.07] - Weblogic Server远程代码执行漏洞(CVE-2021-2109)[2021.01.07] - Weblogic历史漏洞合集[2021.03.09] - ⚒️WeblogicScan Weblogic一键漏洞检测工具JBoss
[2021.01.07] - CVE-2017-7504-JBoss JMXInvokerServlet 反序列化[2021.01.07] - JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)[2021.01.07] - JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)[2021.01.07] - JBOSS远程代码执行漏洞[2021.01.07] - JBoss JMX Console未授权访问Getshell[2021.01.07] - JBoss历史漏洞合集[2021.03.10] - ⚒️JbossScan 一个简单探测jboss漏洞的工具四、源代码管理GitLab
[2021.01.07] - GitLab任意文件读取漏洞 CVE-2020-10977[2021.01.07] - GitLab 远程代码执行漏洞 -【CVE-2018-14364】[2021.01.07] - GitLab 任意文件读取 (CVE-2016-9086) 和任意用户token泄露漏洞[2021.01.07] - GitLab历史漏洞合集SVN
[2021.01.07] - SVN源码泄露漏洞[2021.03.09] - ⚒️svnExploit 支持SVN源代码泄露全版本Dump源码五、项目管理系统禅道
[2021.01.07] - 【组件攻击链】禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用[2021.01.07] - CNVD-C-2020-121325 禅道开源版文件上传漏洞[2021.01.07] - 禅道9.1.2 免登陆SQL注入漏洞[2021.01.07] - 禅道 ≤ 12.4.2 后台管理员权限Getshell[2021.01.07] - 禅道9.1.2 权限控制逻辑漏洞[2021.01.07] - 禅道826版本一定条件getshell[2021.01.07] - 禅道远程代码执行漏洞[2021.01.07] - 禅道11.6任意文件读取Jira
[2021.01.07] - Atlassian Jira漏洞大杂烩[2021.01.07] - Jira服务工作台路径遍历导致的敏感信息泄露漏洞(CVE-2019-14994)[2021.01.07] - Jira未授权SSRF漏洞(CVE-2019-8451)[2021.01.07] - Atlassian JIRA服务器模板注入漏洞(CVE-2019-11581)[2021.01.07] - CVE-2019-8449 JIRA 信息泄漏漏洞[2021.01.07] - ⚒️遇到Jira时可以尝试的一些CVE[2021.01.07] - Jira历史漏洞合集六、数据库[2021.03.09] - ⚒️MDAT 多种主流的数据库攻击利用工具Redis
[2021.01.07] - Redis未授权访问漏洞利用总结[2021.01.07] - Redis 4.x RCE[2021.01.07] - redis利用姿势收集[2021.01.07] - Redis历史漏洞合集[2021.03.08] - ⚒️通过 Redis 主从写出无损文件Mysql
[2021.01.07] - Mysql提权(CVE-2016-6663、CVE-2016-6664组合实践)[2021.01.07] - Mysql数据库渗透及漏洞利用总结[2021.01.07] - Mysql 注入专辑[2021.01.07] - 高版本MySQL之UDF提权[2021.03.08] - Mysql历史漏洞合集Mssql
[2021.01.07] - Mssql利用姿势整理(整理的比较全)[2021.01.07] - Mssql数据库命令执行总结[2021.01.07] - 利用mssql模拟登录提权[2021.01.07] - 高级的MSSQL注入技巧[2021.03.08] - MSSQL使用CLR程序集来执行命令七、开源运维监控Jenkins
[2021.03.10] - Jenkins 路径遍历任意文件写入漏洞(CVE-2019-10352)[2021.03.10] - Jenkins Git client插件命令执行漏洞(CVE-2019-10392)[2021.03.10] - Jenkins 历史漏洞利用程序Zabbix
[2021.03.10] - CVE-2020-11800 Zabbix 远程代码执行漏洞[2021.03.10] - Zabbix 中的CSRF到RCE(CVE-2021-27927)[2021.03.10] - Zabbix 2.2 - 3.0.3 远程代码执行漏洞[2021.03.10] - Zabbix Agent 3.0.1 mysql.size shell命令注入 (CVE-2016-4338)[2021.03.10] - Zabbix 历史漏洞利用程序Nagios
[2021.03.10] - Nagios XI 5.6.9 远程代码执行漏洞(CVE-2019-20197)[2021.03.10] - nagios-xi-5.7.5 多个漏洞(CVE-2021-25296~99)[2021.03.10] - Nagios 代码注入漏洞 (CVE-2021-3273)[2021.03.10] - Nagios XI 5.5.10: XSS to RCE[2021.03.10] - Nagios 历史漏洞利用程序八、堡垒机JumpServer
[2021.03.10] - JumpServer远程执行漏洞(2021.01)齐治堡垒机
[2021.03.10] - 齐治堡垒机未授权RCE[2021.03.10] - 齐治堡垒机远程代码执行此项目不定期进行更新......

https://github.com/r0eXpeR/redteam_vul


7、供应链攻击防御技术方式之一,免费的sigstore签名服务可确认软件的来源和真实性,采用由透明日志技术支持的加密软件签名来提高软件供应链的安全性。

https://www.helpnetsecurity.com/2021/03/10/sigstore-signing-service/


8、论文:针对苹果M1 CPU 的侧通道攻击

https://arxiv.org/abs/2103.04952


漏洞相关
今日威胁情报2021/3/10-11(第357期)


1、Dell SupportAssist本地特权升级(CVE-2021-21518)

https://research.nccgroup.com/2021/03/10/technical-advisory-dell-supportassist-local-privilege-escalation-cve-202-21518/


2、F5的BIG-IP平台中的多个漏洞,从DOS 到RCE都有

https://cert.dk/da/news/2021-11-03/Saarbarheder-i-F5s-Big-IP-platform

https://support.f5.com/csp/article/K02566623


3、Linux GNU GRUB命令注入,执行任意命令

https://ssd-disclosure.com/ssd-advisory-gnu-grub-command-injection/


网络战与网络情报
今日威胁情报2021/3/10-11(第357期)


1、疑似兔子这些大学会被重点监控,重点关注!!!提醒!!!提醒!!!

过一阵子,估计那些举报CFT比赛的高校,排名靠前的同学或者战队也会被重点关注

今日威胁情报2021/3/10-11(第357期)

https://cset.georgetown.edu/research/academics-ai-and-apts/

https://cset.georgetown.edu/wp-content/uploads/CSET-Academics-AI-and-APTs.pdf


2、利用卫星观察平壤,疑似平壤又有重大活动,是不是每个国家的首都重要广场都被卫星时时盯着?

今日威胁情报2021/3/10-11(第357期)

https://www.38north.org/2021/03/pyongyang-prepares-for-another-parade/


3、英国正在秘密测试网络监听工具

https://www.wired.co.uk/article/internet-connection-records-ip-act


4、FIN7 组织成员被抓被起诉。

https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100


5、    本周,美国两党组成的众议院议员组成的立法小组提出了一项立法,该法案将允许美国人追究外国政府及其雇员在法庭上对恶意网络活动负责的责任。

    《国土和网络威胁法案》将消除给予其他国家及其雇员或代理人的豁免权,前提是他们对美国国民进行了网络攻击。这将使美国人能够就网络攻击造成的任何损害向联邦或州法院针对外国黑客提起诉讼

    换句话说,鹰酱又要对毛熊和兔子起诉了,而那些打手公司们,又要源源不断发APT报告了,安全圈又要火几年了……

https://thehill.com/policy/cybersecurity/542157-lawmakers-introduce-legislation-to-allow-americans-to-take-foreign

安全厂商动态
今日威胁情报2021/3/10-11(第357期)


1、全球前100个品牌中高达223b的数据泄露风险

https://ciso.economictimes.indiatimes.com/news/up-to-223b-of-the-worlds-top-100-brands-value-at-at-risk-from-data-breach-study/81412020


今日威胁情报2021/3/10-11(第357期)

今日威胁情报2021/3/10-11(第357期)

本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2021/3/10-11(第357期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: