绿盟科技威胁周报(2023.04.17-2023.04.23)

一、 威胁通告

  • Spring Boot安全绕过漏洞(CVE-2023-20873)通告(CVE-2023-20873)

【发布时间】2023-04-21 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Spring官方发布安全通告,修复了一个Spring Boot身份验证绕过漏洞(CVE-2023-20873)。当Spring Boot部署到Cloud Foundry,并存在可以处理匹配请求的代码/cloudfoundryapplication/**,且将其与/**相匹配的catch-all request mapping一起使用时,未经身份验证的远程攻击者可通过Cloud Foundry上的通配符模式匹配实现安全绕过,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Google Chrome Skia整数溢出漏洞(CVE-2023-2136)

【发布时间】2023-04-20 14:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Google官方修复了一个Chrome Skia整数溢出漏洞(CVE-2023-2136),由于Skia中存在缺陷,当算术运算导致值超过整数类型的最大限制时,会发生整数溢出。攻击者通过诱导用户打开特制的HTML页面来触发该漏洞,最终导致在目标系统上任意执行代码。目前已监测到该漏洞存在在野利用,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Apache Druid远程代码执行漏

【发布时间】2023-04-20 14:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了一个Apache Druid远程代码执行漏洞。在默认配置下,Apache Druid支持从Kafka加载数据,未经身份验证的远程攻击者可通过修改Kafka连接配置属性,从而实现JNDI注入攻击,最终导致在服务端执行任意代码,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21931)

【发布时间】2023-04-20 09:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Oracle官方发布安全通告,修复了一个Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21931)。由于WebLogic中WLNamingManager 类的getObjectInstance()方法存在缺陷,在默认配置下,未经身份验证的远程攻击者通过T3/IIOP传入特定对象,最终可实现在目标系统上执行任意代码。目前该漏洞的技术细节已被公开披露,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Oracle全系产品2023年4月关键补丁更新通)

【发布时间】2023-04-20 09:00:00 GMT

【概述】

2023年4月19日,绿盟科技CERT监测发现Oracle官方发布了4月重要补丁更新公告CPU(Critical Patch Update),此次共修复了433个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Financial Services Applications、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】

https://nti.nsfocus.com/threatNotice

二、 热点资讯

  1. 马斯克称:美国政府及情报机构可监视推特所有私聊信息

【概述】

推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。

【参考链接】

https://ti.nsfocus.com/security-news/IlOSj

 

  1. 匕首网络攻击行动袭击非洲电信服务提供商

【概述】

至少从2022年11月起,一家与中国有关的威胁行动者策划了一场新行动,非洲的电信服务提供商成为了目标。

【参考链接】

https://ti.nsfocus.com/security-news/IlOS3

 

  1. DC Health Link数据泄露归咎于人为错误

【概述】

据一位高级行政官员说,包括国会议员在内的华盛顿特区医疗保险交易所是由基本的人为错误造成的。

【参考链接】

https://ti.nsfocus.com/security-news/IlOS9

 

  1. 云中的勒索软件

【概述】

一家公司在AWS环境中遭到勒索软件攻击,在这个博客中,我们想向您展示发生了什么,以及我们是如何根据可用的日志记录拼凑出图片的。

【参考链接】

https://ti.nsfocus.com/security-news/IlORL

 

  1. Server Backup Manager漏洞调试环境搭建

【概述】

本文介绍了在搭建Server Backup Manager调试环境过程中一些问题的解决方法,分析用户数据库文件提取的方法,给出检测CVE-2022-36537的建议。

【参考链接】

https://ti.nsfocus.com/security-news/IlOS1

 

  1. Fortra揭示GoAnywhere MFT零日漏洞用于勒索软件攻击

【概述】

Cobalt Strike背后的公司Fortra披露了GoAnywhere MFT工具中的一个零日远程代码执行(RCE)漏洞,该漏洞已被勒索病毒活跃分子利用来窃取敏感数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOS7

 

  1. FIN7 和前 Conti 网络犯罪团伙联手发起Domain恶意软件攻击

【概述】

由可能与 FIN7 网络犯罪集团有关联的威胁行为者开发的一种新型恶意软件已被现已解散的 Conti 勒索软件团伙的成员使用,这表明两个机组人员之间存在合作。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQZ

 

  1. BlackBit勒索软件在韩国蔓延

【概述】

在 AhnLab 安全电子中心 (ASEC) 中,我们发现在监视期间传播了伪装成 svchost.exe 的 BlackBit 勒索软件。通过 ASEC 内部基础结构验证,BlackBit 勒索软件从去年 9 月左右开始传播,并一直传播至今。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQL

 

  1. NCR 在BlackCat勒索软件攻击后遭受 Aloha POS 中断

【概述】

NCR在受到BlackCat / ALPHV团伙声称的勒索软件攻击后,其Aloha销售点平台遭受中断。
NCR 是一家美国软件和技术咨询公司,为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQH

 

  1. 研究人员发现新型新型Android银行木马-Chameleon

【概述】

Cyble Research  Intelligence Labs(CRIL)根据恶意软件使用的命令,发现了一种新型的Android银行木马,我们称之为“变色龙”,主要是因为该恶意软件似乎是一种新的病毒,似乎与任何已知的木马家族无关。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQx

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author