前言
今天呢,我要说些事情,但别问我,问也不晓得,你也知道我的身份,这件事情的重要性,你问我,我也只能说这么多,有些事情懂得都懂,我说多了,也没得必要。大家看看听听乐呵乐呵就完事了。有些事情只能说这么多,其实这些事情大家也都知道,我也不必重复,那既然大家都晓得,那我也就不用说了。
单口相声先来一段。正文呢,原定的大事记,目前只有这些了。时间按照我收到的第一时间计算,信息来源仅供参考。如有侵权及时联系,立刻删除...
如后续有进展,大家愿意一起维护一些消息来源渠道,可以私聊我。
申明:本文内容除部分为圈内消息,无须证明来源的,其他均为互联网公开消息。本人免责!如有侵权及时联系,立刻删除!!!
8月13日
Struts远程代码执行漏洞(CVE-2019-0230)
详情:
Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230)。在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。腾讯安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本,避免遭遇黑客攻击。
【影响版本】 Apache Struts 2.0.0 - 2.5.20
【安全版本】 Apache Struts >= 2.5.22
信息来源:
https://s.tencent.com/research/bsafe/1088.html
8月14日
CVE-2020-13699 TeamViewer入侵漏洞
详情:
TeamViewer是德国TeamViewer公司的一套用于远程控制、桌面共享和文件传输的软件。
基于Windows平台的TeamViewer 15.8.3之前版本中存在安全漏洞,该漏洞源于程序无法正确引用其自定义URI处理程序。攻击者可借助特制参数利用该漏洞启动TeamViewer。
经技术确认,该漏洞较难利用,难以造成严重危害。启动会有提示。
信息来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701
https://jeffs.sh/CVEs/CVE-2020-13699.txt
8月15日
天擎与深信服产品疑似存在漏洞
详情:
天擎EDR模块疑似存在RCE漏洞、深信服SSL VPN疑似存在访问控制缺失(添加账号?)漏洞
信息来源:圈内
NEO战队公众号发布蓝队反制总结
链接参考:
https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
8月16日
疑似天擎EDR与深信服SSL VPN问题整改PDF存在后门
详情:
各家单位发出钓鱼提醒,因未找到相关疑似存在问题的PDF文件,故此处只引用其他来源消息。
【钓鱼提醒】今天监测到有热门小道消息,如果各位收到《关于 EDR 与 VPN 相关整改建议》.pdf ,可能存在钓鱼的可能性,请大家慎重打开。
疑似天擎EDR与深信服SSL VPN问题整改PDF存在后门,有相关技术文章实锤不存在
信息来源:
https://mp.weixin.qq.com/s/VdHaTHVuECXP5fKTpwUiJA
PHPCMS V9 存在RCE 漏洞
详情:
互联网发现。本漏洞需要先通过遍历暴破获取auth_key。利用过程中会产生较大流量。
信息来源:
https://mp.weixin.qq.com/s/zLXJtekT9O3OuzwBLigMsA
8月17日
冰蝎发布3.0版本
详情:“冰蝎”动态二进制加密网站管理客户端。
8月17日凌晨0点到4点并于4点更新至beta 2版本。
hw前发布的冰蝎增加了很多功能,但也有很多功能并不完善,也存在些BUG,可能是赶工的问题。
信息来源:
https://github.com/rebeyond/Behinder/releases
某信服EDR RCE及多处漏洞与源码泄露
详情:
EDR服务端
/tool/log/c.php?strip_slashes=system&host=id
源码问题:目前已经下架,有相关单位已经报送CNVD。
EDR3.2.21版本于2020年7月3日正式发布,该版本主要新增和优化如下功能。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/all/undefined
另据传,今年5月已经爆出RCE,VT也发现一些疑似源码的文件。
估计EDR代码要重构了。
信息来源:
https://mp.weixin.qq.com/s/gsLP7AQuGx0N2jNu0XTN7w
https://mp.weixin.qq.com/s/t7LMom9-C15ZLMAfDZtIfg
https://mochazz.github.io/2020/05/25/%E6%B7%B1%E4%BF%A1%E6%9C%8DEDR%E5%85%A8%E7%89%88%E6%9C%AC%E6%9C%AA%E6%8E%88%E6%9D%83RCE/
天融信数据防泄漏系统0day
详情:晚间收到天融信产品问题
信息来源:圈内
哥斯拉Godzilla shell管理工具
详情:
各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”。
https://github.com/BeichenDream/Godzilla/releases/tag/v1.00-godzilla
信息来源:
https://mp.weixin.qq.com/s/_4ACLzaImDMQbZWfhSHnwg
冰蝎3.0流量层分析
详情:
NEO战队,详细的从全流量角度分析了冰蝎3.0。
信息来源:
https://mp.weixin.qq.com/s/5P_peVdX9tfjNqXrIRAj8w
QEMU-KVM越界读写漏洞
详情:
QEMU是一款开源的虚拟化软件,用代码模拟了许多常用的硬件设备,如网卡、显卡、声卡等。该漏洞于2019天府杯中。漏洞一旦被成功利用,可以实现越界读、越界写、相对偏移越界写等操作,最终在宿主机中执行任意代码,造成较为严重的信息泄露。
此漏洞证实在某家公有云平台已经复现成功。
与此漏洞相关其他漏洞,可以群内获取最新消息。
已经证实,大厂中的几家确实早已都有EXP。
修复建议:
1、正式解决方案:
Linux内核主线已于9月15日发布补丁,用户可参照补丁代码进行修复:
https://github.com/torvalds/linux/commit/060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
https://git.kernel.org/pub/scm/linux/kernel/git/mst/vhost.git/commit/?h=for_linus&id=060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
使用Linux发行版本的用户可按照发行版厂商公告来修复该漏洞:
RedHat: https://access.redhat.com/errata/RHSA-2019:2827
https://access.redhat.com/security/vulnerabilities/kernel-vhost
Ubuntu: https://usn.ubuntu.com/4135-2/
Debian: https://www.debian.org/security/2019/dsa-4531
SUSE:https://www.suse.com/security/cve/CVE-2019-14835
2、临时解决方案:
(1)禁用热迁移功能
由于此漏洞只有在虚拟机热迁移过程中才会被触发,可以通过禁用虚拟机热迁移来规避漏洞利用。
验证方法:无法对虚拟机使用热迁移。
(2)禁用内核vhost-net模块
验证方法:modprobe验证virtio_net模块未加载。
(3)RedHat版本缓解措施
https://access.redhat.com/security/cve/cve-2019-14835
附参考链接:
https://blade.tencent.com/achievements/v-ghost/
https://github.com/torvalds/linux/commit/060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
https://git.kernel.org/pub/scm/linux/kernel/git/mst/vhost.git/commit/?h=for_linus&id=060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
https://access.redhat.com/errata/RHSA-2019:2827
https://access.redhat.com/security/vulnerabilities/kernel-vhost
https://access.redhat.com/security/cve/cve-2019-14835
https://usn.ubuntu.com/4135-2/
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14835.html
https://www.debian.org/security/2019/dsa-4531
https://security-tracker.debian.org/tracker/CVE-2019-14835
https://www.suse.com/security/cve/CVE-2019-14835
信息来源:圈内
https://www.cnvd.org.cn/webinfo/show/5233
Cochip无线路由器绕过认证泄露账号密码漏洞
详情:
Coship Wireless Router是中国同洲(Coship)电子公司的一款无线路由器。Coship无线路由器中存在安全漏洞:攻击者可以通过远程发送特定数据包绕过认证,直接获取到管理员的账号密码,从而控制路由器;该漏洞目前尚可通杀Coship无线路由器的所有版本。
消息来源:
https://mp.weixin.qq.com/s/LjdrhO0Tp9_X91VMXNtIGQ
WebSphere 远程代码执行漏洞CVE-2020-4450
详情:
2020年6月15日,IBM官方发布了针对CVE-2020-4450漏洞的防御补丁。漏洞产生的原因是IBM WebSphere Application Server可以允许远程攻击者通过iiop协议传输精心构造的序列化数据,在系统上执行任意代码。
影响版本:
WebSphere Application Server: 9.0.0.0 to 9.0.5.4
WebSphere Application Server: 8.5.0.0 to 8.5.5.17
WebSphere Application Server: 8.0.0.0 to 8.0.0.15
WebSphere Application Server: 7.0.0.0 to 7.0.0.45
信息来源:
https://www.zerodayinitiative.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphere
https://mp.weixin.qq.com/s/cG8onNoNsYWGZNQdp1XI3Q
Apache Dubbo远程代码执行(CVE-2020-11995)
详情:
Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。
影响版本:
Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
信息来源:
https://s.tencent.com/research/bsafe/1090.html
https://mp.weixin.qq.com/s/g3xzAyJXsgfw8LnBBuRP5A
Apache Shiro 权限绕过漏洞CVE-2020-13933
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。
Apahce Shiro存在权限绕过漏洞,CVE-2020-11989修补补丁依旧存在缺陷,该漏洞是由于Apahce Shiro处理身份验证请求时出错,攻击者可以通过发送特制的HTTP请求来利用该漏洞,从而绕过身份验证。该漏洞在1.5.3版本中被修复,但由于Apahce Shiro在处理url时与Spring仍然存在差异,导致该修复并不完全,Shiro最新版本仍然存在身份验证绕过漏洞。2020年8月17日,Apache Shiro官方发布1.6.0版本修复该漏洞
影响版本:
Apache Shiro < 1.6.0
信息来源:
https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f@<dev.shiro.apache.org>
8月18日
通达OA RCE
详情:
复现版本 V11.6 2017版、2020版。
通达 OA V11.5 和 V11.7 版本未造成影响。该漏洞利用非无损!!!谨慎使用。如果单纯做漏洞测试,切记备份。以下仅保留核心文字,无关已删除。
/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php
/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./
信息来源:
https://blog.csdn.net/God_XiangYu/article/details/108091470
https://mp.weixin.qq.com/s/26axx2nWqcJBvJNqsyurZQ
https://mp.weixin.qq.com/s/cr4Iqq3RfxnOzTqZWzGSAQ
用友NC疑似存在问题
详情:
未有详情。疑似与权限控制和SQL注入相关。
信息来源:圈内。
8月19日
补充17日某博客漏洞信息
详情:
现已删除,时间点为2020年1月至今
仿金蝶V8进销存系统漏洞挖掘
一体化移动应用支撑平台系统后台getshell
phpweb前台getshell
maccmsV8前台RCE(preg_match绕过)
Fastadmin后台getshell
WeCenter3.3.4SQL注入到RCE
ThinkPHP6.0任意文件写
浪潮ClusterEngine4.0集群管理系统前台RCE
微擎2.0.9前台SSRF
PHPYun4.6.4Beta漏洞
DokuWiki2017-02-19eGetshell
通达OA2017前台10多处SQL注入
禅道最新版漏洞挖掘之前台漏洞
Winmail漏洞整理&最新版漏洞挖掘
e-office泛微协同办公标准版9.5 20200402未授权RCE
通达OA未授权任意用户登录
金山V8终端安全系统漏洞
信呼OA最新版2.1.0SQL注入
然之协同管理系统4.6.1前台SQL注入到getshell
创旗IDCISP地址信息备案管理系统v3.1任意文件上传
深信服EDR全版本未授权RCE
绿盟安全审计系统堡垒机(SAS-H)未授权RCE
Winmail6.5未授权任意文件删除
F5-BIG-IP未授权RCE(CVE-2020-5902)
江南科友HAC运维安全审计系统最新版未授权RCE
睿致协作综合管理系统
ezoffice11.x未授权SQL注入到任意文件上传
启明星辰EDR未授权RCE
Finereport8.0最新版未授权getshell
致远OA-A8-V5最新版未授权getshell--0807
信息来源:
https://github.com
8月20日
某终端检测响应平台代码审计挖掘(权限绕过)
详情:
继17日源码泄露之后,圈内各位师傅继续进行了代码审计,随后NEO战队发布了新的漏洞。
信息来源:NEO战队公众号
https://mp.weixin.qq.com/s/4Z4QF-Wdq2PhqCkGKB8Q6Q
Cisco 7947G权限提升漏洞-CVE-2020-16137
详情:
Cisco 7947G是美国思科(Cisco)公司的一款在线会议终端设备。Cisco 7947G产品存在安全漏洞。攻击者可利用该漏洞提升权限。
影响产品:
Cisco Cisco 7937G SIP-1-4-4-0
Cisco Cisco 7937G 1-4-5-7
目前厂商未提供修复方案,请关注厂商主页:https://www.cisco.com
信息来源:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-46238
齐治运维堡垒机服务端存在命令执行漏洞
详情:
浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司。齐治运维堡垒机服务端存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
厂商已提供修复方案,请关注厂商主页更新:https://www.shterm.com
信息来源:
https://www.cnvd.org.cn/flaw/show/1632201
Windows NetLogon特权提升漏洞
详情:
该漏洞编号为 CVE-2020-1472,攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。
影响版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
信息来源:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
Citrix Endpoint Management 多个高危漏洞
详情:
Citrix Endpoint Management 存在任意文件读取漏洞,远程未授权攻击者通过发送特制HTTP请求,可以造成读取受影响设备上任意文件的影响。
CVE-2020-8208;CVE-2020-8209;CVE-2020-8210;CVE-2020-8211;CVE-2020-8212
CVE-2020-8209: Citrix Endpoint Management 任意文件读取漏洞
Citrix Endpoint Management 中存在一处输入验证不足而造成的目录遍历漏洞。
远程未授权攻击者通过发送特制HTTP请求,可以读取受影响服务器上的任意文件。(例如:数据库配置文件,LDAP的账户凭据,邮件数据等)
影响版本:
以下版本受到严重影响
XenMobile Server < 10.12 RP2
XenMobile Server < 10.11 RP4
XenMobile Server < 10.10 RP6
XenMobile Server < 10.9 RP5
以下版本受到中等影响
XenMobile Server < 10.12 RP3
XenMobile Server < 10.11 RP6
XenMobile Server < 10.10 RP6
XenMobile Server < 10.9 RP5
信息来源:
https://www.anquanke.com/post/id/214023
Microsoft Windows Graphics Components远程代码执行漏洞(CNVD-2020-46637)
详情:
Microsoft Windows Graphics Components中存在远程代码执行漏洞该漏洞,该漏洞源于Microsoft图形组件处理内存中对象的方式存在问题,攻击者可利用该漏洞在目标系统上执行任意代码。
影响版本:
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 SP2
Microsoft Windows 7 SP1
Microsoft Windows Windows Server 2012
Microsoft Windows 8.1
Microsoft Windows RT 8.1 SP0
Microsoft Windows Server 2012 R2
Microsoft Windows 10
Microsoft Windows 10 1607
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Microsoft Windows Server 1803
Microsoft Microsoft Windows Server 1903
Microsoft Windows 10 1709
Microsoft Windows 10 1803
Microsoft Windows 10 1809
Microsoft Windows 10 1903
Microsoft Microsoft Windows Server 1909
Microsoft Windows 10 1909
厂商已发布了漏洞修复程序,请及时关注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1153
信息来源:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-46637
Microsoft Windows和Windows Server权限提升漏洞(CNVD-2020-46639)
详情:
CVE-2020-1110,Microsoft Windows和Windows Server存在权限提升漏洞,该漏洞源于Windows Update Stack未能正确处理内存中的对象,攻击者可利用该漏洞在内核模式下运行任意代码,从而可安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。
影响版本:
Microsoft Windows Server 2019
Microsoft Microsoft Windows Server 1803
Microsoft Microsoft Windows Server 1903
Microsoft Windows 10 1709
Microsoft Windows 10 1803
Microsoft Windows 10 1809
Microsoft Windows 10 1903
Microsoft Microsoft Windows Server 1909
Microsoft Windows 10 1909
厂商已发布了漏洞修复程序,请及时关注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1110
信息来源:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-46639
Tenda AC系列路由器远程命令执行0day漏洞:CVE-2020-10987 & CVE-2020-15916
详情:
腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。
腾达(Tenda) AC提供Web服务组件中的goform插件存在一个设计缺陷,权限验证不严格,可在未登陆验证的情况下发送特定的数据包成功利用此问题,触发任意命令执行,进而控制路由器设备,Web服务为root权限启动,获取到腾达路由器的最高权限。
影响固件版本:
AC 6、AC 7、AC 8、AC 9、AC 11、AC 15
信息来源:极光无限
https://www.anquanke.com/post/id/213586
Schneider Electric APC Easy UPS On-Line FileUploadServlet路径遍历漏洞
详情:
Schneider Electric APC Easy UPS On-Line是一款UPS解决方案。Schneider Electric APC Easy UPS On-Line FileUploadServlet存在路径遍历漏洞,远程攻击者可利用漏洞该提交特殊的请求,上传任意文件到任意目录。
修复建议:https://www.se.com/ww/en/download/document/SEVD-2020-224-04/
信息来源:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-46797
Parallels Desktop越界读取权限提升漏洞
详情:
Parallels Desktop 是 MacOS 平台下最流行的虚拟机软件,旨在提供高性能的虚拟机服务。Parallels Desktop在虚拟化 VGA设备实现时存在 内存越界漏洞(Out-Of-Bounds(OOB)),攻击者 通过在虚拟机内部运行特制程序(需取得虚拟机权限),可以造成 虚拟机逃逸(在真实物理主机上执行任意代码,并获得物理主机控制权限)。
影响版本:Parallels Desktop :<= 15.1.2
信息来源:
https://mp.weixin.qq.com/s/tGBvOxoxIErh3k5oetEz_A
https://www.thezdi.com/blog/2020/5/20/cve-2020-8871-privilege-escalation-in-parallels-desktop-via-vga-device
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8871
TP-LINK认证绕过漏洞
详情:
CVE-2018-11714:该漏洞是由于/cgi/文件夹或/cgi文件上的会话处理不当引起的。如果攻击者发送特定的头文件后,那么对于任何操作都不需要身份验证。
CVE-2020-15055:TP-Link USB Network Server TL-PS310U 2.079.000.t0210之前版本中存在授权问题漏洞。攻击者可借助Web管理请求利用该漏洞绕过身份验证。
信息来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11714
https://www.exploit-db.com/exploits/44781/
http://blog.securelayer7.net/time-to-disable-tp-link-home-wifi-router/
https://research.hisolutions.com/2020/05/critical-vulnerabilites-in-multiple-usb-network-servers/
https://nvd.nist.gov/vuln/detail/CVE-2020-15055
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-292
Firejail操作系统命令注入漏洞
详情:
Firejail是一款使用C语言编写的SUID沙箱程序。
CVE-2020-17367:据报道,firejail不遵守选项结尾分隔符(“-”),从而使攻击者可以控制沙盒应用程序的命令行选项,将数据写入指定的文件。
CVE-2020-17368:据报道,当通过--output或--output-stderr重定向输出时,firejail将所有命令行参数连接到一个字符串中,该字符串传递给shell。可以控制沙盒应用程序的命令行参数的攻击者可以利用此漏洞运行任意命令。
影响版本:<=0.9.62
信息来源:
https://www.debian.org/security/2020/dsa-4742
Claws Mail安全漏洞
详情:
该漏洞影响范围较广,暂无详情。没有补丁!
Claws Mail是一款基于GTK+语言编写的开源电子邮件客户端和新闻聚合器。Claws Mail 3.17.6之前版本中的common/session.c文件存在安全漏洞,该漏洞源于程序未正确处理STARTTLS之后的后缀数据。
影响范围:Claws Mail Claws Mail <3.17.6。
信息来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1413
https://git.claws-mail.org/?p=claws.git;a=commit;h=fcc25329049b6f9bd8d890f1197ed61eb12e14d5
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00090.html
https://security.gentoo.org/glsa/202007-56
奇安信发布《2020上半年网络安全应急响应分析报告》
详情:
近日,近日,奇安信安服团队正式对外发布了《2020上半年网络安全应急响应分析报告》。报告显示,政府部门、医疗卫生和事业单位三大行业的办公终端和业务服务器是上半年攻击者的主要目标,攻击手段多以窃取重要数据、扰乱业务正常运营为主。上半年,出于各种意图的网络安全攻击从未停止,攻击对象也更具针对性。
并总结了上半年的八大应急案例:
某客运公司员工敏感数据泄露致内网20多台机器受感染事件
某大型企业挖矿木马事件处置
某政府单位服务器因SQL注入漏洞被攻陷事件
某国有企业勒索病毒Hermes837事件处置
某科技公司海莲花APT事件处置
某市医药公司OA系统失陷,造成数据泄露
某省三甲医院感染Crysis勒索病毒事件
某市华侨医院网站存在任意文件上传漏洞,导致多台主机沦陷
信息来源:
https://mp.weixin.qq.com/s/rnVwRGe6hbrta0hvBrq_Ow
https://mp.weixin.qq.com/s/DiNZh68QjQdBaU9Xg-a3Ow
杂项记:
新型Nginx后门
详情:
2020年7月16日捕获一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。安恒威胁情报中心的研究员分析,发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter,黑客针对cookies字段进行了特殊处理,判断请求中是否包含“lkfakjf”,如果包含,则会主动回连黑客给定的服务器地址。
消息来源:安恒威胁情报中心。
https://ti.dbappsecurity.com.cn/informationDetail?id=947
连按 5 次 Shift 重改 CMD 和密码并重启电脑
详情:
5次击触SHIFT键,运行C:windowssystem32sethc.exe。
断电或不正常重启,使计算机进入“WIndows错误恢复界面”,选择“启动启动修复(推荐)”。
会弹出启动修复对话框,保持尝试修复状态。当无法完成自动修复时,弹出是否发送详细信息给Microsoft,点击问题详细信息,联机阅读本地的隐私声明唤出记事本。通过记事本唤出文件管理器。将cmd.exe更名替换为sethc.exe。此时重启,击触Shift5次后将会运行cmd.exe。
影响Win7至Win10部分版本等,未测试完全。
信息来源:
https://mp.weixin.qq.com/s/xgZmnNU4VAj74KXdNYYFxg
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论