【02.10】安全帮®每日资讯：Apache Ambari公布任意文件下载漏洞；条形码扫描应用在更新之后变成恶意程序

近日，微软的安全团队称，该公司的Office 365产品套件并非充当发起SolarWinds供应链攻击的黑客的最初切入点。SolarWinds的首席执行官表示，该公司“尚未在Office 365中识别出可能允许威胁参与者进入我们环境的特定漏洞。”微软还指出托管在微软服务中的数据（包括电子邮件）有时是与SolarWinds有关攻击事件的目标，但攻击者以其他方式获得了特权凭据。

参考来源：

https://mp.weixin.qq.com/s/Lmgsjb9rnvwtfUyQeyf9tw

2月8日，思科企业级安全管理应用(CSM)发现执行任意命令漏洞（CVE-2020-27131，CVSS评分：8.1， 严重程度：高），影响Cisco Security Manager 4.22和更早版本。攻击者可以通过将恶意的序列化Java对象发送给受影响的系统上的特定侦听器来利用这些漏洞，成功利用此漏洞可能使攻击者在Windows目标主机上使用NT AUTHORITY SYSTEM特权在设备上执行任意命令，建议尽快升级。

参考来源：

http://www.techweb.com.cn/cloud/2021-02-09/2825572.shtml

近日，Apache官方公告了一个 Apache Ambari 的任意文件下载漏洞。Ambari 的鉴权模块存在设计缺陷，恶意用户可以绕过身份验证，通过构造文件名以进行目录遍历和下载文件。此漏洞主要是由于在鉴权过滤器 org.apache.ambari.server.security.authorization.AmbariAuthorizationFilter 中使用了 “String requestURI = httpRequest.getRequestURI();“ 引起。

参考来源：

https://www.oschina.net/news/129720/ambrai-any-file-download

安全公司Malwarebytes报告，Google Play官方应用商店一个下载量超过千万的条形码扫描应用 Barcode Scanner 在2020年 12 月的一次更新之后变成恶意程序。更新后的Barcode Scanner 添加了以前版本的应用程序中没有的恶意代码，该恶意代码还利用模糊处理以避免检测，Google 已经将该应用从商店下架。

参考来源：

https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/