绿盟威胁情报周报(20200413~20200419)

一、威胁通告

  1. WebSphere Application Server权限提升漏洞

【发布时间】2020-04-14 18:00:00 GMT

【概述】4月9日,IBM 官方更新安全公告,修复了WebSphere Application Server 中的权限提升漏洞(CVE-2020-4362)。当WebSphere在管理请求中通过SOAP connector使用基于令牌的身份验证时,攻击者通过向WebSphere SOAP Connector发送恶意构造的请求,可能在受影响服务器上进行权限提升。

【链接】http://blog.nsfocus.net/cve-2020-4362/

  1. WebLogic多个远程代码执行漏洞

【发布时间】2020-04-16 09:00:00 GMT

【概述】北京时间4月15日,Oracle官方发布了2020年4月关键补丁更新公告CPU(Critical Pat ch Update),修复了397个不同程度的漏洞。其中包括三个针对Weblogic的严重漏洞(CVE-2020-2801、CVE-2020-2883、CVE-2020-2884)和一个Oracle Coherence远程代码执行漏洞(CVE-2020-2915),使用了Oracle Coherence库的产品受此漏洞影响。本次四个漏洞均为T3协议存在缺陷、未经身份验证的攻击者可通过此类漏洞实现远程代码执行,CVSS 评分均为 9.8,利用复杂度低。

【链接】http://blog.nsfocus.net/weblogic-0415-2/

  1. 微软安全更新多个产品高危漏洞

【发布时间】2020-04-16 09:00:00 GMT

【概述】4月15日,微软发布4月安全补丁更新,修复了113个从简单的欺骗攻击到远程执行代码的安全问题,涉及Windows、Office、Internet Explorer、Edge、Windows Defender、Visual Studio等多个产品,其中包括3个已被在野利用的0-day漏洞。这三个漏洞分布在Windows Adobe Type Manager Library和Windows内核中。

【链接】http://blog.nsfocus.net/msrc-security-updates-0415/

Git凭证泄露漏洞【发布时间】2020-04-16 20:00:00 GMT【概述】4月15日,Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞(CVE-2020-5260)。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符(%0a)时,可能将非预期的值注入到credential helper的协议流中。受影响版本Git对恶意URL执行git clone命令时会触发此漏洞,攻击者可利用恶意URL欺骗Git客户端发送主机凭据。【链接】http://blog.nsfocus.net/git-0416/

二、热点资讯

  1. Oracle全系产品2020年4月关键补丁更新

【概述】当地时间2020年4月14日,Oracle官方发布了2020年4月关键补丁更新公告CPU(Critical Patch Update),安全通告以及第三方安全公告等公告内容,修复了397个不同程度的漏洞。

【参考链接】http://blog.nsfocus.net/oracle-0415/

  1. 微软月度更新修复多个在野利用0-day漏洞

【概述】当地时间4月14日,微软最新的月度补丁更新中修复了113个安全问题,其中包括3个已被在野利用的0-day漏洞。这三个漏洞分布在Windows Adobe Type Manager Library和Windows内核中。

【参考链接】http://blog.nsfocus.net/msrc-security-updates-0415/

  1. Adobe4月安全更新

【概述】当地时间4月14日,Adobe官方发布了4月安全更新,修复了Adobe多款产品的多个漏洞,包括Adobe ColdFusion、Adobe After Effects和Adobe Digital Editions。

【参考链接】http://blog.nsfocus.net/adobe-0415/

  1. Oracle Coherence远程代码执行漏洞

【概述】当地时间4月14日,Oracle发布2020年4月关键补丁更新,其中包括一个针对Oracle Coherence ,评分为9.8的严重漏洞(CVE-2020-2915)。漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的Oracle Coherence,成功的漏洞利用可导致Oracle Coherence被攻击者接管,从而造成远程代码执行。使用了Oracle Coherence库的产品受此漏洞影响,在WebLogic Server 11g Release(10.3.4)及以上版本的安装包中默认集成了Oracle Coherence库。

【参考链接】http://blog.nsfocus.net/oracle-coherence-cve-2020-2915/

  1. 恶意木马家族Mozart利用DNS协议穿透防御网络

【概述】2020年2月初,绿盟科技伏影实验室威胁追踪系统监测到一个使用DNS协议进行命令控制的恶意软件家族Mozart。近期发现Mozart恶意软件通过携带钓鱼文档的垃圾邮件传播,通过搜集被攻击目标的计算机基础信息,如:GUID、计算机用户名称、SID等通过DNS请求发送给C&C主控,查询TXT记录。这种利用DNS协议建立C&C控制信道的方法便于传输信息,同时具有较高的隐蔽性。

【参考链接】http://blog.nsfocus.net/mozart-0415/?from=timeline&isappinstalled=0

  1. 利用LNK快捷方式伪装nCov-19疫情的恶意攻击

【概述】近期绿盟科技伏影实验室发现攻击组织利用疫情相关报告作为诱饵,使用快捷方式加白名单文件的手段来投放恶意软件。快捷方式的名称为20200308-sitrep-48-covid-19.pdf.lnk,点击后会打开一个PDF报告,其中的命令会提取快捷方式中暗藏的恶意组件并执行。此次攻击中使用了多个白名单文件,使得恶意行为更加难以检测。

【参考链接】https://mp.weixin.qq.com/s/P_fStk7QS0wLXdagSKGgow

  1. SideWinder组织利用新冠疫情为诱饵的攻击活动

【概述】SideWinder是一个主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动的攻击组织,近期该组织以新冠疫情为主题针对巴基斯坦军方进行攻击,此次攻击以一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式作为诱饵,执行此快捷方式后安装木马,窃取并收集用户的数据信息。

【参考链接】https://s.tencent.com/research/report/958.html

  1. APT41组织利用Speculoos新后门攻击全球多个组织

【概述】APT41组织利用最近披露的漏洞特地设计了功能齐全的后门Speculoos,并发起一场全球攻击行动,该行动针对Citrix、思科和Zoho网络设备,受害者来自多个行业,如医疗保健、高等教育、制造业、政府和技术服务等,遍布全球多个地区,如北美、南美和欧洲。APT41是一个与中国有关的威胁组织,至少从2012年活跃至今。

【参考链接】https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/

  1. TA505组织使用SDBbot木马感染网络

【概述】TA505是一个以财务为动机的网络犯罪组织,目标包括金融、零售和餐馆在内的多个行业。最近TA505组织主要通过恶意垃圾邮件传播各种自定义和开源恶意软件,如SDBbot木马,其具有远程访问功能,并且能够窃取用户数据。

【参考链接】https://securityintelligence.com/posts/ta505-continues-to-infect-networks-with-sdbbot-rat/

Meet The Author

Leave Comment