大事记-20200821

  • A+
所属分类:安全文章

前言

今天呢,我要说些事情,但别问我,问也不晓得,你也知道我的身份,这件事情的重要性,你问我,我也只能说这么多,有些事情懂得都懂,我说多了,也没得必要。大家看看听听乐呵乐呵就完事了。有些事情只能说这么多,其实这些事情大家也都知道,我也不必重复,那既然大家都晓得,那我也就不用说了。大事记-20200821大事记-20200821

大事记-20200821

单口相声先来一段。正文呢,原定的大事记,目前只有这些了。时间按照我收到的第一时间计算,信息来源仅供参考。如有侵权及时联系,立刻删除...

如后续有进展,大家愿意一起维护一些消息来源渠道,可以私聊我。

申明:本文内容除部分为圈内消息,无须证明来源的,其他均为互联网公开消息。本人免责!如有侵权及时联系,立刻删除!!!


813

Struts远程代码执行漏洞(CVE-2019-0230)

详情:

Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230)。在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。腾讯安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本,避免遭遇黑客攻击。

【影响版本】 Apache Struts 2.0.0 - 2.5.20

【安全版本】 Apache Struts >= 2.5.22

信息来源:

https://s.tencent.com/research/bsafe/1088.html


814

CVE-2020-13699 TeamViewer入侵漏洞 

详情:

TeamViewer是德国TeamViewer公司的一套用于远程控制、桌面共享和文件传输的软件。

基于Windows平台的TeamViewer 15.8.3之前版本中存在安全漏洞,该漏洞源于程序无法正确引用其自定义URI处理程序。攻击者可借助特制参数利用该漏洞启动TeamViewer

经技术确认,该漏洞较难利用,难以造成严重危害。启动会有提示。

信息来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701

https://jeffs.sh/CVEs/CVE-2020-13699.txt


815

天擎与深信服产品疑似存在漏洞

详情:

天擎EDR模块疑似存在RCE漏洞、深信服SSL VPN疑似存在访问控制缺失(添加账号?)漏洞

大事记-20200821

信息来源:圈内


NEO战队公众号发布蓝队反制总结

大事记-20200821

链接参考:

https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ

 

816

疑似天擎EDR与深信服SSL VPN问题整改PDF存在后门

详情:

各家单位发出钓鱼提醒,因未找到相关疑似存在问题的PDF文件,故此处只引用其他来源消息。

【钓鱼提醒】今天监测到有热门小道消息,如果各位收到《关于 EDR VPN 相关整改建议》.pdf ,可能存在钓鱼的可能性,请大家慎重打开

大事记-20200821

疑似天擎EDR与深信服SSL VPN问题整改PDF存在后门,有相关技术文章实锤不存在


信息来源:

https://mp.weixin.qq.com/s/VdHaTHVuECXP5fKTpwUiJA


PHPCMS V9 存在RCE 漏洞

详情:

互联网发现。本漏洞需要先通过遍历暴破获取auth_key。利用过程中会产生较大流量。

大事记-20200821

信息来源:

https://mp.weixin.qq.com/s/zLXJtekT9O3OuzwBLigMsA


817

冰蝎发布3.0版本

详情:“冰蝎”动态二进制加密网站管理客户端。

817日凌晨0点到4点并于4点更新至beta 2版本。

hw前发布的冰蝎增加了很多功能,但也有很多功能并不完善,也存在些BUG,可能是赶工的问题。

大事记-20200821

 

信息来源:

https://github.com/rebeyond/Behinder/releases

 

某信服EDR RCE及多处漏洞与源码泄露

详情:

EDR服务端 

/tool/log/c.php?strip_slashes=system&host=id

 

大事记-20200821

大事记-20200821

源码问题:目前已经下架,有相关单位已经报送CNVD

EDR3.2.21版本于202073日正式发布,该版本主要新增和优化如下功能。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/all/undefined

 

另据传,今年5月已经爆出RCE,VT也发现一些疑似源码的文件。

 

大事记-20200821

估计EDR代码要重构了。

 

信息来源:

https://mp.weixin.qq.com/s/gsLP7AQuGx0N2jNu0XTN7w

https://mp.weixin.qq.com/s/t7LMom9-C15ZLMAfDZtIfg

https://mochazz.github.io/2020/05/25/%E6%B7%B1%E4%BF%A1%E6%9C%8DEDR%E5%85%A8%E7%89%88%E6%9C%AC%E6%9C%AA%E6%8E%88%E6%9D%83RCE/

 

天融信数据防泄漏系统0day

详情:晚间收到天融信产品问题

 

大事记-20200821

信息来源:圈内

 

哥斯拉Godzilla shell管理工具

详情:

各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”。

https://github.com/BeichenDream/Godzilla/releases/tag/v1.00-godzilla

信息来源:

https://mp.weixin.qq.com/s/_4ACLzaImDMQbZWfhSHnwg

 

冰蝎3.0流量层分析

详情:

NEO战队,详细的从全流量角度分析了冰蝎3.0。

 

大事记-20200821

信息来源:

https://mp.weixin.qq.com/s/5P_peVdX9tfjNqXrIRAj8w

 

 

QEMU-KVM越界读写漏洞

详情:

QEMU是一款开源的虚拟化软件,用代码模拟了许多常用的硬件设备,如网卡、显卡、声卡等。该漏洞2019天府杯中。漏洞一旦被成功利用,可以实现越界读、越界写、相对偏移越界写等操作,最终在宿主机中执行任意代码,造成较为严重的信息泄露。

20199月,国家信息安全漏洞共享平台(CNVD)收录了由腾讯安全平台部Tencent Blade Team发现并报告的QEMU-KVM虚拟机内核逃逸漏洞。由于VHOST/VHOST_NET缺少对内核缓冲区的严格访问边界校验,攻击者可通过在虚拟机中更改VIRTIO network前端驱动,在该虚拟机被热迁移时,触发内核缓冲区溢出实现虚拟机逃逸,获得在宿主机内核中任意执行代码的权限,攻击者也可触发宿主机内核崩溃实现拒绝服务攻击。

此漏洞证实在某家公有云平台已经复现成功。

与此漏洞相关其他漏洞,可以群内获取最新消息。

已经证实,大厂中的几家确实早已都有EXP

修复建议:

1、正式解决方案:

Linux内核主线已于915日发布补丁,用户可参照补丁代码进行修复:

https://github.com/torvalds/linux/commit/060423bfdee3f8bc6e2c1bac97de24d5415e2bc4

https://git.kernel.org/pub/scm/linux/kernel/git/mst/vhost.git/commit/?h=for_linus&id=060423bfdee3f8bc6e2c1bac97de24d5415e2bc4

使用Linux发行版本的用户可按照发行版厂商公告来修复该漏洞:

RedHat: https://access.redhat.com/errata/RHSA-2019:2827

https://access.redhat.com/security/vulnerabilities/kernel-vhost

Ubuntu: https://usn.ubuntu.com/4135-2/

Debian: https://www.debian.org/security/2019/dsa-4531

SUSE:https://www.suse.com/security/cve/CVE-2019-14835

2、临时解决方案:

1)禁用热迁移功能

由于此漏洞只有在虚拟机热迁移过程中才会被触发,可以通过禁用虚拟机热迁移来规避漏洞利用。

验证方法:无法对虚拟机使用热迁移。

2)禁用内核vhost-net模块

验证方法:modprobe验证virtio_net模块未加载。

3RedHat版本缓解措施

https://access.redhat.com/security/cve/cve-2019-14835

 

附参考链接:

https://blade.tencent.com/achievements/v-ghost/

https://github.com/torvalds/linux/commit/060423bfdee3f8bc6e2c1bac97de24d5415e2bc4

https://git.kernel.org/pub/scm/linux/kernel/git/mst/vhost.git/commit/?h=for_linus&id=060423bfdee3f8bc6e2c1bac97de24d5415e2bc4

https://access.redhat.com/errata/RHSA-2019:2827

https://access.redhat.com/security/vulnerabilities/kernel-vhost

https://access.redhat.com/security/cve/cve-2019-14835

https://usn.ubuntu.com/4135-2/

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14835.html

https://www.debian.org/security/2019/dsa-4531

https://security-tracker.debian.org/tracker/CVE-2019-14835

https://www.suse.com/security/cve/CVE-2019-14835

信息来源:圈内

https://www.cnvd.org.cn/webinfo/show/5233


Cochip无线路由器绕过认证泄露账号密码漏洞

详情:

Coship Wireless Router是中国同洲(Coship)电子公司的一款无线路由器。Coship无线路由器中存在安全漏洞:攻击者可以通过远程发送特定数据包绕过认证,直接获取到管理员的账号密码,从而控制路由器;该漏洞目前尚可通杀Coship无线路由器的所有版本。

 

大事记-20200821

消息来源:

https://mp.weixin.qq.com/s/LjdrhO0Tp9_X91VMXNtIGQ

 

WebSphere 远程代码执行漏洞CVE-2020-4450

详情:

2020615日,IBM官方发布了针对CVE-2020-4450漏洞的防御补丁。漏洞产生的原因是IBM WebSphere Application Server可以允许远程攻击者通过iiop协议传输精心构造的序列化数据,在系统上执行任意代码。

影响版本

WebSphere Application Server: 9.0.0.0 to 9.0.5.4

WebSphere Application Server: 8.5.0.0 to 8.5.5.17

WebSphere Application Server: 8.0.0.0 to 8.0.0.15

WebSphere Application Server: 7.0.0.0 to 7.0.0.45

信息来源:

https://www.zerodayinitiative.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphere

https://mp.weixin.qq.com/s/cG8onNoNsYWGZNQdp1XI3Q

 

Apache Dubbo远程代码执行CVE-2020-11995

详情:

Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。

影响版本:

Dubbo 2.7.0 ~ 2.7.7

Dubbo 2.6.0 ~ 2.6.8

Dubbo 所有 2.5.x 版本 (官方已不再提供支持)

信息来源:

https://s.tencent.com/research/bsafe/1090.html

https://mp.weixin.qq.com/s/g3xzAyJXsgfw8LnBBuRP5A


Apache Shiro 权限绕过漏洞CVE-2020-13933

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。

Apahce Shiro存在权限绕过漏洞,CVE-2020-11989修补补丁依旧存在缺陷该漏洞是由于Apahce Shiro处理身份验证请求时出错,攻击者可以通过发送特制的HTTP请求来利用该漏洞,从而绕过身份验证。该漏洞在1.5.3版本中被修复,但由于Apahce Shiro在处理url时与Spring仍然存在差异,导致该修复并不完全,Shiro最新版本仍然存在身份验证绕过漏洞。2020817日,Apache Shiro官方发布1.6.0版本修复该漏洞

影响版本:

Apache Shiro < 1.6.0

信息来源:

https://lists.apache.org/thread.html/[email protected]<dev.shiro.apache.org>

 

818

通达OA RCE

详情:

复现版本 V11.6 2017版、2020版。

通达 OA V11.5 V11.7 版本未造成影响。该漏洞利用非无损!谨慎使用。如果单纯做漏洞测试,切记备份。以下仅保留核心文字,无关已删除。

/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php

/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./


信息来源:

https://blog.csdn.net/God_XiangYu/article/details/108091470

https://mp.weixin.qq.com/s/26axx2nWqcJBvJNqsyurZQ

https://mp.weixin.qq.com/s/cr4Iqq3RfxnOzTqZWzGSAQ

 

用友NC疑似存在问题

详情:

未有详情。疑似与权限控制和SQL注入相关。

信息来源:圈内。

 

819

补充17日某博客漏洞信息

详情:

现已删除,时间点为20201月至今

仿金蝶V8进销存系统漏洞挖掘

一体化移动应用支撑平台系统后台getshell

phpweb前台getshell

maccmsV8前台RCE(preg_match绕过)

Fastadmin后台getshell

WeCenter3.3.4SQL注入到RCE

ThinkPHP6.0任意文件写

浪潮ClusterEngine4.0集群管理系统前台RCE

微擎2.0.9前台SSRF

PHPYun4.6.4Beta漏洞

DokuWiki2017-02-19eGetshell

通达OA2017前台10多处SQL注入

禅道最新版漏洞挖掘之前台漏洞

Winmail漏洞整理&最新版漏洞挖掘

e-office泛微协同办公标准版9.5 20200402未授权RCE

通达OA未授权任意用户登录

金山V8终端安全系统漏洞

信呼OA最新版2.1.0SQL注入

然之协同管理系统4.6.1前台SQL注入到getshell

创旗IDCISP地址信息备案管理系统v3.1任意文件上传

深信服EDR全版本未授权RCE

绿盟安全审计系统堡垒机(SAS-H)未授权RCE

Winmail6.5未授权任意文件删除

F5-BIG-IP未授权RCE(CVE-2020-5902)

江南科友HAC运维安全审计系统最新版未授权RCE

睿致协作综合管理系统

ezoffice11.x未授权SQL注入到任意文件上传

启明星辰EDR未授权RCE

Finereport8.0最新版未授权getshell

致远OA-A8-V5最新版未授权getshell--0807

 

信息来源:

https://github.com


820

某终端检测响应平台代码审计挖掘(权限绕过)

详情:

17日源码泄露之后,圈内各位师傅继续进行了代码审计,随后NEO战队发布了新的漏洞。

 

大事记-20200821

信息来源:NEO战队公众号

https://mp.weixin.qq.com/s/4Z4QF-Wdq2PhqCkGKB8Q6Q

 

Cisco 7947G权限提升漏洞-CVE-2020-16137

详情:

Cisco 7947G是美国思科(Cisco)公司的一款在线会议终端设备。Cisco 7947G产品存在安全漏洞。攻击者可利用该漏洞提升权限。

影响产品

Cisco Cisco 7937G SIP-1-4-4-0

Cisco Cisco 7937G 1-4-5-7

目前厂商未提供修复方案,请关注厂商主页:https://www.cisco.com

信息来源:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-46238

 

齐治运维堡垒机服务端存在命令执行漏洞

详情:

浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司。齐治运维堡垒机服务端存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

厂商已提供修复方案,请关注厂商主页更新:https://www.shterm.com

信息来源:

https://www.cnvd.org.cn/flaw/show/1632201

 

Windows NetLogon特权提升漏洞

详情:

该漏洞编号为 CVE-2020-1472攻击者通过NetLogonMS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。

影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

信息来源:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

 

Citrix Endpoint Management 多个高危漏洞

详情:

Citrix Endpoint Management 存在任意文件读取漏洞,远程未授权攻击者通过发送特制HTTP请求可以造成读取受影响设备上任意文件的影响。

CVE-2020-8208CVE-2020-8209CVE-2020-8210CVE-2020-8211CVE-2020-8212

CVE-2020-8209: Citrix Endpoint Management 任意文件读取漏洞

Citrix Endpoint Management 中存在一处输入验证不足而造成的目录遍历漏洞。

远程未授权攻击者通过发送特制HTTP请求,可以读取受影响服务器上的任意文件。(例如:数据库配置文件,LDAP的账户凭据,邮件数据等)

影响版本

以下版本受到严重影响

XenMobile Server < 10.12 RP2

XenMobile Server < 10.11 RP4

XenMobile Server < 10.10 RP6

XenMobile Server < 10.9 RP5

以下版本受到中等影响

XenMobile Server < 10.12 RP3

XenMobile Server < 10.11 RP6

XenMobile Server < 10.10 RP6

XenMobile Server < 10.9 RP5

信息来源:

https://www.anquanke.com/post/id/214023

 

Microsoft Windows Graphics Components远程代码执行漏洞(CNVD-2020-46637)

详情:

Microsoft Windows Graphics Components中存在远程代码执行漏洞该漏洞,该漏洞源于Microsoft图形组件处理内存中对象的方式存在问题,攻击者可利用该漏洞在目标系统上执行任意代码。

影响版本:

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2008 SP2

Microsoft Windows 7 SP1

Microsoft Windows Windows Server 2012

Microsoft Windows 8.1

Microsoft Windows RT 8.1 SP0

Microsoft Windows Server 2012 R2

Microsoft Windows 10

Microsoft Windows 10 1607

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Microsoft Windows Server 1803

Microsoft Microsoft Windows Server 1903

Microsoft Windows 10 1709

Microsoft Windows 10 1803

Microsoft Windows 10 1809

Microsoft Windows 10 1903

Microsoft Microsoft Windows Server 1909

Microsoft Windows 10 1909

厂商已发布了漏洞修复程序,请及时关注更新:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1153

信息来源:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-46637


Microsoft Windows和Windows Server权限提升漏洞(CNVD-2020-46639)

详情:

CVE-2020-1110Microsoft WindowsWindows Server存在权限提升漏洞,该漏洞源于Windows Update Stack未能正确处理内存中的对象,攻击者可利用该漏洞在内核模式下运行任意代码,从而可安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。

影响版本:

Microsoft Windows Server 2019

Microsoft Microsoft Windows Server 1803

Microsoft Microsoft Windows Server 1903

Microsoft Windows 10 1709

Microsoft Windows 10 1803

Microsoft Windows 10 1809

Microsoft Windows 10 1903

Microsoft Microsoft Windows Server 1909

Microsoft Windows 10 1909

厂商已发布了漏洞修复程序,请及时关注更新:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1110

信息来源:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-46639


Tenda AC系列路由器远程命令执行0day漏洞:CVE-2020-10987 & CVE-2020-15916

详情:

腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。

腾达(Tenda) AC提供Web服务组件中的goform插件存在一个设计缺陷,权限验证不严格,可在未登陆验证的情况下发送特定的数据包成功利用此问题,触发任意命令执行,进而控制路由器设备,Web服务为root权限启动,获取到腾达路由器的最高权限。

影响固件版本:

AC 6AC 7AC 8AC 9AC 11AC 15

信息来源:极光无限

https://www.anquanke.com/post/id/213586


Schneider Electric APC Easy UPS On-Line FileUploadServlet路径遍历漏洞

详情:

Schneider Electric APC Easy UPS On-Line是一款UPS解决方案。Schneider Electric APC Easy UPS On-Line FileUploadServlet存在路径遍历漏洞,远程攻击者可利用漏洞该提交特殊的请求,上传任意文件到任意目录。

修复建议:https://www.se.com/ww/en/download/document/SEVD-2020-224-04/

信息来源:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-46797

Parallels Desktop越界读取权限提升漏洞

详情:

Parallels Desktop MacOS 平台下最流行的虚拟机软件,旨在提供高性能的虚拟机服务。Parallels Desktop在虚拟化 VGA设备实现时存在 内存越界漏洞(Out-Of-Bounds(OOB)),攻击者 通过在虚拟机内部运行特制程序(需取得虚拟机权限),可以造成 虚拟机逃逸(在真实物理主机上执行任意代码,并获得物理主机控制权限)

影响版本:Parallels Desktop <= 15.1.2

信息来源:

https://mp.weixin.qq.com/s/tGBvOxoxIErh3k5oetEz_A

https://www.thezdi.com/blog/2020/5/20/cve-2020-8871-privilege-escalation-in-parallels-desktop-via-vga-device

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8871

 

TP-LINK认证绕过漏洞

详情:

CVE-2018-11714:该漏洞是由于/cgi/文件夹或/cgi文件上的会话处理不当引起的。如果攻击者发送特定的头文件后,那么对于任何操作都不需要身份验证。

CVE-2020-15055TP-Link USB Network Server TL-PS310U 2.079.000.t0210之前版本中存在授权问题漏洞。攻击者可借助Web管理请求利用该漏洞绕过身份验证。

信息来源:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11714

https://www.exploit-db.com/exploits/44781/

http://blog.securelayer7.net/time-to-disable-tp-link-home-wifi-router/

https://research.hisolutions.com/2020/05/critical-vulnerabilites-in-multiple-usb-network-servers/

https://nvd.nist.gov/vuln/detail/CVE-2020-15055

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-292

 

Firejail操作系统命令注入漏洞

详情:

Firejail是一款使用C语言编写的SUID沙箱程序

CVE-2020-17367据报道,firejail不遵守选项结尾分隔符(“-”),从而使攻击者可以控制沙盒应用程序的命令行选项,将数据写入指定的文件。

CVE-2020-17368据报道,当通过--output--output-stderr重定向输出时,firejail将所有命令行参数连接到一个字符串中,该字符串传递给shell。可以控制沙盒应用程序的命令行参数的攻击者可以利用此漏洞运行任意命令。

影响版本:<=0.9.62

信息来源:

https://www.debian.org/security/2020/dsa-4742

 

Claws Mail安全漏洞

详情:

该漏洞影响范围较广,暂无详情。没有补丁!

Claws Mail是一款基于GTK+语言编写的开源电子邮件客户端和新闻聚合器。Claws Mail 3.17.6之前版本中的common/session.c文件存在安全漏洞,该漏洞源于程序未正确处理STARTTLS之后的后缀数据。

影响范围:Claws Mail Claws Mail <3.17.6

信息来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1413

https://git.claws-mail.org/?p=claws.git;a=commit;h=fcc25329049b6f9bd8d890f1197ed61eb12e14d5

http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00090.html

https://security.gentoo.org/glsa/202007-56


奇安信发布《2020上半年网络安全应急响应分析报告》

详情:

近日,近日,奇安信安服团队正式对外发布了《2020上半年网络安全应急响应分析报告》。报告显示,政府部门、医疗卫生和事业单位三大行业的办公终端和业务服务器是上半年攻击者的主要目标,攻击手段多以窃取重要数据、扰乱业务正常运营为主。上半年,出于各种意图的网络安全攻击从未停止,攻击对象也更具针对性。

并总结了上半年的八大应急案例:

某客运公司员工敏感数据泄露致内网20多台机器受感染事件

某大型企业挖矿木马事件处置

某政府单位服务器因SQL注入漏洞被攻陷事件

某国有企业勒索病毒Hermes837事件处置

某科技公司海莲花APT事件处置

某市医药公司OA系统失陷,造成数据泄露

某省三甲医院感染Crysis勒索病毒事件

某市华侨医院网站存在任意文件上传漏洞,导致多台主机沦陷

信息来源:

https://mp.weixin.qq.com/s/rnVwRGe6hbrta0hvBrq_Ow

https://mp.weixin.qq.com/s/DiNZh68QjQdBaU9Xg-a3Ow


 

杂项记:

新型Nginx后门

详情:

2020716日捕获一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。安恒威胁情报中心的研究员分析,发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter,黑客针对cookies字段进行了特殊处理,判断请求中是否包含“lkfakjf”,如果包含,则会主动回连黑客给定的服务器地址。

 

大事记-20200821

消息来源:安恒威胁情报中心。

https://ti.dbappsecurity.com.cn/informationDetail?id=947

 

连按 5 次 Shift 重改 CMD 和密码并重启电脑

详情:

5次击触SHIFT键,运行C:windowssystem32sethc.exe

 

大事记-20200821

断电或不正常重启,使计算机进入WIndows错误恢复界面”,选择“启动启动修复(推荐)”。

会弹出启动修复对话框,保持尝试修复状态。当无法完成自动修复时,弹出是否发送详细信息给Microsoft,点击问题详细信息,联机阅读本地的隐私声明唤出记事本。通过记事本唤出文件管理器。将cmd.exe更名替换为sethc.exe。此时重启,击触Shift5次后将会运行cmd.exe

影响Win7Win10部分版本等,未测试完全。

信息来源:

https://mp.weixin.qq.com/s/xgZmnNU4VAj74KXdNYYFxg

 

 


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: