维他命安全周报2021年第28周

  • A+
所属分类:安全博客


 本周安全态势综述

2021年07月05日至07月11日共收录安全漏洞61个,值得关注的是Advantech WebAccess Node BwFreRPT栈溢出代码执行漏洞;Microsoft Teams ElectronJS帧重定向代码执行漏洞;NPort IA5000A-I/O Series CVE-2021-32968拒绝服务漏洞;Phoenix Contact Automationworx BCP文件内存错误引用代码执行漏洞;Siemens Simcenter Femap FEMAP越界写代码执行漏洞。

本周值得关注的网络安全事件是瑞典连锁超市Coop因Kaseya供应链攻击关闭数百家门店;美国保险公司AJG称其遭到勒索软件攻击,客户信息泄露;CISA和FBI发布针对Kaseya供应链攻击受害者的指南;微软发布的PrintNightmare的紧急更新可被绕过;Kaspersky发现WildPressure针对macOS的攻击活动。

根据以上综述,本周安全威胁为中。




重要安全漏洞列表

1.Advantech WebAccess Node BwFreRPT栈溢出代码执行漏洞

Advantech WebAccess Node BwFreRPT存在栈溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的0x2711 IOCTL请求,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-21-779/


2.Microsoft Teams ElectronJS帧重定向代码执行漏洞

Microsoft Teams ElectronJS帧保护存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊请求,可重定向恶意页面,访问内部应用对象,提升权限。

https://www.zerodayinitiative.com/advisories/ZDI-21-772/


3.NPort IA5000A-I/O Series CVE-2021-32968拒绝服务漏洞

NPort IA5000A-I/O Series内部WEB服务存在缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊请求,可使应用程序崩溃。

https://us-cert.cisa.gov/ics/advisories/icsa-21-187-01


4.Phoenix Contact Automationworx BCP文件内存错误引用代码执行漏洞

Phoenix Contact Automationworx BCP文件处理存在内存破坏漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-21-782/


5.Siemens Simcenter Femap FEMAP越界写代码执行漏洞

Siemens Simcenter Femap FEMAP文件处理存在越界写漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://www.zerodayinitiative.com/advisories/ZDI-21-781/



 重要安全事件综述

1、瑞典连锁超市Coop因Kaseya供应链攻击关闭数百家门店

维他命安全周报2021年第28周

瑞典连锁超市Coop称其遭到了Kaseya供应链攻击,数百家门店关闭。Coop的发言人表示其于上周五晚上6点30分左右发现有少数门店出现问题,但一夜之后其大部分门店都被迫关闭,包括收银台和自助结账在内的整个支付系统都中断了。此外,Coop没有使用Kesaya软件,因为他们的一个软件提供商使用了该软件而受到影响。安全公司HuntressLabs称,此次攻击活动的调查仍在进行中,至少有200家组织受到影响。


原文链接:

https://securityaffairs.co/wordpress/119663/cyber-crime/coop-supermarket-kaseya-ransomware-attack.html


2、美国保险公司AJG称其遭到勒索软件攻击,客户信息泄露

维他命安全周报2021年第28周

美国Arthur J. Gallagher (AJG) 称其遭到勒索软件攻击,客户信息泄露。AJG是美国的全球保险经纪和风险管理公司,作为全球最大的保险经纪商之一,业务遍及49个国家/地区。攻击发生在2020年6月3日至2020年9月26日期间,其在2020年9月28日披露该事件并称没有数据泄露。但在随后的调查发现,7376人的敏感信息泄露,包括社会安全号码或税号、驾照、护照、出生日期、用户名和密码、员工识别号、财务账户或信用卡信息、电子签名、医疗信息、保险信息以及生物识别信息等。


原文链接:

https://www.bleepingcomputer.com/news/security/us-insurance-giant-ajg-reports-data-breach-after-ransomware-attack/


3、CISA和FBI发布针对Kaseya供应链攻击受害者的指南

维他命安全周报2021年第28周

CISA和FBI联合发布了针对受到Kaseya供应链攻击影响的受害者的指南。这两个机构建议组织使用Kaseya提供的检测工具来检查他们的系统是否存在入侵迹象,并启用多因素身份验证(MFA)。此外,组织还应使用白名单来外部限制对其内部资产的访问,并使用防火墙或VPN保护其远程监控工具的管理界面。而受影响的MSP客户需要确保备份是最新的,并且立即安装供应商提供的最新的补丁。


原文链接:

https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html


4、微软发布的PrintNightmare的紧急更新可被绕过

维他命安全周报2021年第28周

Microsoft发布KB5004945紧急安全更新,修复影响所有Windows Print Spooler服务中被积极利用的PrintNightmare 0day。该远程代码执行漏洞(CVE-2021-34527)允许攻击者使用SYSTEM权限的远程执行代码并完全接管目标服务器。在更新发布后,研究人员发现该补丁仅修复了涉及远程代码执行的组件,因此研究人员开始修改漏洞利用程序并测试补丁,确定可以完全绕过整个补丁来实现本地提权和远程代码执行。


原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-pushes-emergency-update-for-windows-printnightmare-zero-day/


5、Kaspersky发现WildPressure针对macOS的攻击活动

维他命安全周报2021年第28周

Kaspersky的研究人员发现WildPressure在最近的攻击活动中增加了针对macOS的恶意软件变体。研究人员于2020年3月首次发现该团伙,当时WildPressure使用了C++版本的Milum木马攻击中东的组织。在近期针对能源行业的攻击中,Milum已经通过PyInstaller包进行了重组,其中包含了与Windows和macOS系统兼容的木马程序,被黑的网站可被APT组织用来下载和上传文件并执行命令。


原文链接:

https://threatpost.com/macos-wildpressure-apt/167606/




维他命安全周报2021年第28周

欢迎关注微信公共号:

维他命安全


维他命安全周报2021年第28周

信息安全那些事儿~

长按二维码关注


本文始发于微信公众号(维他命安全):维他命安全周报2021年第28周

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: