绿盟科技威胁周报(20220328-20220403)

一、威胁通告

  • Spring框架远程代码执行漏洞(CVE-2022-22965)

【发布时间】2022-04-01 11:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Spring相关框架存在远程代码执行漏洞,未经授权的远程攻击者可构造HTTP请求在目标系统上写入恶意程序从而执行任意代码,此漏洞为Spring framework远程代码执行漏洞(CVE-2010-1622)的绕过利用,但影响范围更为广泛,官方已于3.31号下午发布了5.2.20.RELEASE与5.3.18版本修复此漏洞,目前PoC已公开,请相关用户尽快采取措施进行排查与防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Spring Cloud Function SPEL表达式注入漏洞通告(CVE-2022-22963)

【发布时间】2022-04-01 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞,由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。目前漏洞PoC已公开,请相关用户采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 黑客组织利用互联网连接对UPS设备发起网络攻击

【标签】不区分行业

【概述】

攻击者通过默认用户名和密码对互联网连接不间断电源(UPS)设备的攻击。用户可以通过从互联网上删除管理接口来减轻对其UPS设备的攻击,这些设备在正常电源丢失时为各种应用提供应急电源。UPS设备除了在关键任务环境中提供备用电源外,还配备了物联网(IoT)功能,使管理员能够进行电力监控和日常维护。但通常情况,此类功能也可能为恶意攻击打开大门。

【参考链接】https://ti.nsfocus.com/security-news/IlNov

  • Muhstik僵尸网络利用漏洞攻击Redis服务器

【标签】不区分行业

【概述】

Muhstik是一个因通过Web应用程序漏洞传播而臭名昭着的僵尸网络,已被观察到使用数据库系统中最近披露的漏洞针对Redis服务器。该漏洞与 CVE-2022-0543 有关,CVE-2022-0543 是开源、内存中键值数据存储中的一个 Lua 沙盒逃生漏洞,可能被滥用以实现底层计算机上的远程代码执行。

【参考链接】https://ti.nsfocus.com/security-news/IlNo2

  • 攻击者利用重放攻击解锁并启动汽车

【标签】企业

【概述】

攻击者远程启动引擎并使用“重放攻击”从附近解锁本田和讴歌的汽车,它涉及通过捕获从您的遥控钥匙发送到它的射频信号来控制您汽车的远程无钥匙进入系统。

【参考链接】https://ti.nsfocus.com/security-news/IlNnZ

  • 攻击者通过Ukrtelecom的IT基础设施发起网络攻击

【标签】IT

【概述】

攻击者对 Ukrtelecom 的 IT 基础设施发起了强大的网络攻击,为了保护其网络基础设施并继续为乌克兰武装部队和其他军事编队以及客户提供服务,Ukrtelecom 暂时限制了向大多数私人用户和企业客户提供服务。

【参考链接】https://ti.nsfocus.com/security-news/IlNoe

  • 黑客组织利用恶意软件攻击乌克兰国家实体

【标签】政府

【概述】

乌克兰CERT-UA发现与白俄罗斯有关的GhostWriter APT组织进行的鱼叉式网络钓鱼活动,该组织通过Cobalt Strike Beacon恶意软件来攻击乌克兰国家实体。

【参考链接】https://ti.nsfocus.com/security-news/IlNof

  • 黑客组织利用CrimsonRAT恶意软件攻击印度政府

【标签】政府

【概述】

安全研究员观察到针对印度政府和军事实体的部落活动。虽然攻击者正在用 CrimsonRAT(他们选择的知名恶意软件)感染受害者,但他们也在使用新的 stager 和植入物。该活动至少自 2021 年 6 月以来一直在进行,使用假域名模仿合法政府和相关组织来传递恶意负载,这是一种常见的攻击策略。

【参考链接】https://ti.nsfocus.com/security-news/IlNog

  • 勒索团伙攻击了软件咨询公司Globant

【标签】企业

【概述】

随着有关该团伙袭击的新信息的出现,Lapsus$ 继续给单点登录即服务机构 Okta 带来麻烦。安全研究员透露了 Lapsus$ 窃取Nvidia 数据的一些证据,他准备了事件报告,详细说明了对 Okta 聘请的外包技术支持提供商 Sitel 的攻击。

【参考链接】https://ti.nsfocus.com/security-news/IlNou

  • 攻击者利用基于Python的勒索软件进行隐藏式攻击

【标签】不区分行业

【概述】

研究人员披露了第一个基于Python的勒索软件,专门设计用于针对暴露的Jupyter笔记本,这是一个基于Web的交互式计算平台,允许通过浏览器编辑和运行程序。攻击者通过配置错误的环境获得初始访问权限,然后运行勒索软件脚本,该脚本对服务器上给定路径上的每个文件进行加密,并在执行后删除自身以隐藏攻击。

【参考链接】https://ti.nsfocus.com/security-news/IlNoM

  • 俄罗斯对美国移动用户发起网络攻击

【标签】不区分行业

【概述】

美国数以千计的移动用户从他们的电话号码中收到了垃圾短信。电信公司 Verizon Wireless 被迫发表公开声明,称一些威胁行为者可能已经控制了其服务器,向其用户发送垃圾邮件并将其转移到俄罗斯国家媒体网络 Channel One。

【参考链接】https://ti.nsfocus.com/security-news/IlNoJ

  • 黑客利用恶意脚本对乌克兰发起 DDoS 攻击

【标签】政府

【概述】

黑客入侵了一些 WordPress 网站,通过注入恶意脚本,利用网站访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击(DDoS)最初,安全研究人员在一个被入侵的 WordPress 网站上察觉到了该恶意脚本,详细分析后发现,当用户访问被入侵网站时,脚本对十个乌克兰网站发起了分布式拒绝服务攻击。被攻击的网站主要包括乌克兰政府机构、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰网站。

【参考链接】https://ti.nsfocus.com/security-news/IlNoK

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author