绿盟威胁情报周报(20201102~20201108)

一、威胁通告

  • Weblogic 多个远程代码执行漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859……)

【发布时间】2020-11-02 20:00:00 GMT

【概述】

10 月21 日,绿盟科技监测到Oracle 官方发布2020 年10 月关键补丁更新(Critical Patch Update),修复了402 个危害程度不同的安全漏洞。其中包括5 个WebLogic 的严重漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267),未经身份验证的攻击者可通过此次的漏洞实现远程代码执行。CVSS 评分均为9.8,利用复杂度低。建议用户尽快采取措施,对上述漏洞进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

  • VMware ESXi 远程代码执行漏洞通告(CVE-2020-3992)

【发布时间】2020-11-02 20:00:00 GMT

【概述】

10 月21 日,绿盟科技监测到VMware 官方发布安全通告修复了一个VMware ESXi 远程代码执行漏洞(CVE-2020-3992)。漏洞来源于ESXi 中使用的OpenSLP 存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi 宿主机的427 端口触发OpenSLP 服务的user-after-free,从而导致远程代码执行。CVSS 评分为9.8,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

  • Windows Kernel cng.sys权限提升0-day漏洞通告(CVE-2020-17087)

【发布时间】2020-11-02 20:00:00 GMT

【概述】

近日,Google Project Zero团队发布了一篇关于Windowscng.sys提权漏洞(CVE-2020-17087)的文章。该漏洞允许攻击者在未授权的情况下,通过诱使用户运行精心制作的恶意程序,从而达到权限提升的效果。目前该漏洞已经有在野利用的行为出现,并且微软官方暂时没有发布相关补丁进行修复。建议用户保持关注,同时避免运行来历不明的程序。参考链接:https://bugs.chromium.org/p/project-zero/issues/detail?id=2104

【链接】

https://nti.nsfocus.com/threatWarning

  • SaltStack多个安全漏洞安全通告(CVE-2020-16846、CVE-2020-17490、CVE-2020-25592)

【发布时间】2020-11-04 22:00:00 GMT

【概述】

近日,SaltStack官方发布安全通告称修复了多个安全漏洞,CVE-2020-16846,CVE-2020-17490,CVE-2020-25592。这些漏洞可造成认证绕过和命令执行,SaltStack建议用户尽快升级进行防护。Salt是用Python编写的开源IT基础架构管理解决方案,已被全世界的数据中心广泛使用。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. 选举后的日子:美国警惕黑客攻击,错误信息

【概述】

在焦虑持续了数周之后,大选日在美国进行,没有公开迹象表明有人干预。但是专家说,错误的信息运动仍然可能发生,并且随着计票的进行,有大量的时间进行恶意活动。

【参考链接】

https://www.inforisktoday.com/post-election-day-us-on-guard-for-hacking-misinformation-a-15300

  1. 美国公布俄罗斯黑客用于攻击议会、大使馆的恶意软件信息

【概述】

当地时间29日,美国网络司令部分享了俄罗斯黑客组织在针对外交部,国民议会和使馆多个部门的攻击中使用的恶意软件信息。该恶意软件样本由美国网络司令部的网络国家任务部队(CNMF)以及网络安全和基础设施安全局(CISA)识别,并于昨日上传至Virus Total在线病毒扫描平台。

【参考链接】

https://www.freebuf.com/articles/253572.html

  1. 芬兰的赎金黑客正在使用心理治疗病历作为弹药

【概述】

“除非您在48小时内向我支付了500欧元的加密货币,否则您的心理治疗患者记录将被公布”。在过去两周内,只有不到1%的芬兰人口收到了这一需求。多个潜在无关的人已经进入“ Vastaamo”心理治疗中心,该中心主要在奥卢和坦佩雷治疗了约40.000名患者。黑客利用了2018年和2019年初的安全漏洞,似乎尚未向当局或公众广泛报道。

【参考链接】

https://www.forbes.com/sites/michalgromek/2020/10/31/ransom-hackers-in-finland-are-using-psychotherapy-medical-records-as-ammunition/

  1. Code42 Incydr系列:为什么大多数公司无法停止离职员工数据盗窃

【概述】

根据Code42的数据暴露报告,有63%的员工表示他们将数据从以前的雇主带到了当前的雇主。这是内部人风险的最明显的迹象:员工的辞职信。根据《信息安全杂志》(Infosecurity Magazine)的一项2019年研究发现,有72%的员工在离职时会使用公司数据。

【参考链接】

  1. 新的APT使用DLL侧载到“ KilllSomeOne”

【概述】

最近,我们观察到了几种情况,其中DLL侧加载用于执行恶意代码。旁加载是利用恶意DLL欺骗合法的DLL,依靠合法的Windows可执行文件加载和执行恶意代码。

【参考链接】

  1. 利用美国大选不确定性通过malspam活动交付的QBot特洛伊木马程序

【概述】

2020年美国大选是在全球大流行中进行的同时,受到严格审查和情感关注的主题。随着选举之夜的结束以及对结果的不确定性开始蔓延,威胁行动者也决定加入进来。那些追踪威胁态势的人都非常清楚,重大世界事件并没有被犯罪分子所忽视。在这种情况下,我们开始观察到一个新的垃圾邮件活动,该活动传递了恶意附件,这些附件利用了对选举过程的怀疑。QBot银行木马运营商使用相同的劫持电子邮件线程技术,再次引发了主题为垃圾邮件的浪潮,诱使受害者受到恶意选举干扰附件的攻击。

【参考链接】

https://blog.malwarebytes.com/cybercrime/2020/11/qbot-delivered-via-malspam-campaign-exploiting-us-election-uncertainties/

  1. 俄罗斯网络犯罪分子Aleksandr Brovko被判入狱8年

【概述】

俄罗斯网络犯罪分子亚历山大·布罗夫科(Aleksandr Brovko)因其在僵尸网络计划中的作用而被判入狱八年,该计划造成至少1亿美元的经济损失。

【参考链接】

  1. 美国大选如火如荼,网络安全战局即将重塑?

【概述】

特朗普政府的国家网络战略呼吁利用经济的力量推动整个行业的网络安全改善,并在新兴领域制定和实施标准,比如抗量子公钥密码术。拜登说,网络威胁对美国的国家安全、选举廉洁和国家民主的健康构成越来越大的挑战。与此同时,他认为政府应该向科技公司施压,改革他们在隐私、监视和仇恨言论方面的做法。

【参考链接】

https://www.freebuf.com/articles/neopoints/254098.html

Spread the word. Share this post!

Meet The Author

Leave Comment