绿盟科技威胁周报(2023.07.10-2023.07.16)

一、威胁通告

1.FortiOS和FortiProxy堆栈溢出漏洞(CVE-2023-33308)

【标签】Fortinet、FortiOS、FortiProxy、CVE-2023-33308

【发布时间】2023-07-14 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Fortinet官方发布安全通告,修复了FortiOS和FortiProxy 堆栈溢出漏洞。未经身份验证的远程攻击者可通过特殊构造的数据包实现代码执行或者命令执行,CVSS评分为9.8。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.Windows错误报告服务权限提升漏洞(CVE-2023-36874)

【标签】Windows Error Reporting Service、CVE-2023-36874、权限提升

【发布时间】2023-07-14 15:00:00 GMT

【概述】

7月12日,绿盟科技安全团队监测到微软发布安全补丁,修复了Windows错误报告服务权限提升漏洞(CVE-2023-36874),成功利用此漏洞的攻击者可以获得管理员权限。微软官方在7月安全更新公告中说明“攻击者必须具有对目标计算机的本地访问权限,并且用户必须能够在计算机上创建文件夹和性能跟踪,并具有普通用户默认拥有的受限权限”,并将该漏洞标记为“已检测利用”。由于该漏洞已存在在野利用,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

3.Adobe ColdFusion多个安全漏洞通告(CVE-2023-29298、CVE-2023-29300)

【标签】Adobe ColdFusion、CVE-2023-29298、CVE-2023-29300

【发布时间】2023-07-14 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Adobe官方发布安全通告,修复了多个Adobe ColdFusion漏洞,请受影响的用户尽快采取措施进行防护。重点漏洞如下:Adobe ColdFusion访问控制绕过漏洞(CVE-2023-29298):Adobe ColdFusion存在访问控制绕过漏洞,该漏洞允许攻击者通过在请求的URL中插入意外的额外正斜杠字符来访问管理端点。未经身份验证的远程攻击者利用该漏洞可实现在目标系统上执行任意代码。目前该漏洞细节已在互联网上披露,CVSS评分7.5。Adobe ColdFusion反序列化漏洞(CVE-2023-29300):由于Adobe ColdFusion对反序列化安全检查存在缺陷,未经身份验证的远程攻击者通过构造恶意数据包进行反序列化攻击,最终可实现在目标系统上执行任意代码,CVSS评分为9.8。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

4.Smartbi修改密码漏洞通告

【标签】Smartbi、修改密码漏洞

【发布时间】2023-07-14 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Smartbi官方发布安全通告,修复了思迈特软件中某种特定情况存在的修改密码漏洞,攻击者成功利用该漏洞后可获取账户访问权限,进一步入侵获得系统权限,进而对目标系统造成破坏或篡改窃取敏感信息。请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

5.微软7月安全更新多个产品高危漏洞通告

【标签】微软

【发布时间】2023-07-13 09:00:00 GMT

【概述】

7月12日,绿盟科技CERT监测到微软发布7月安全更新补丁,修复了132个安全问题,涉及Microsoft SharePoint Server、Windows Pragmatic General Multicast (PGM)、Windows MSHTML、Microsoft Outlook、Windows SmartScreen等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。同时需要关注的是已有恶意行为者使用Microsoft签名驱动程序进行恶意活动的在野利用事件,编号为ADV230001。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.匿名的苏丹发起了为期24小时的DDoS攻击,针对某个同人小说网站

【标签】DDoS

【概述】

自称支持俄罗斯的黑客组织“匿名的苏丹”声称,其黑客团队从周一早上开始对Archive of our Own(AO3)网站发起了分布式拒绝服务(DDoS)攻击,将在接下来的24小时以及偶尔的情况下,继续针对该网站进行攻击,持续3个月。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvL

 

2.谷歌发布针对3个主动利用漏洞的Android补丁更新

【标签】谷歌

【概述】

谷歌发布了针对 Android 操作系统的每月安全更新,修复了 46 个新的软件漏洞。其中,有三个漏洞被确认正在有针对性的攻击中被利用。其中一个被跟踪为 CVE-2023-26083 的漏洞是一种内存泄漏漏洞,影响到 Bifrost、Avalon 和 Valhall 芯片的 Arm Mali GPU 驱动程序。这个特定的漏洞曾被用于攻击三星设备,导致了在 2022 年 12 月时间间谍软件的渗透。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRuT

 

3.针对拉美企业的新TOITOIN银行特洛伊木马

【标签】TOITOIN

【概述】

自2023年5月以来,拉丁美洲地区运营的企业成为了一种名为TOITOIN的新型基于Windows的银行木马的目标。Zscaler的研究人员Niraj Shivtarkar和Preet Kamal在上周发布的一份报告中表示:“这个复杂的攻击活动采用了一种木马,遵循多级感染链,利用每个阶段中精心制作的模块。”“这些模块是定制设计的,用于执行恶意活动,例如将有害代码注入远程进程,通过COM提升器绕过用户账户控制,并通过巧妙的技术,如系统重启和父进程检查,逃避沙箱检测。”

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvb

 

4.GitHub 虚假 Linux内核漏洞PoC 让研究人员遭受恶意软件攻击

【标签】Linux内核

【概述】

GitHub 上发现了一个概念验证 (PoC),其中隐藏了一个采用“狡猾”持久性方法的后门,该存储库伪装成CVE-2023-35829的 PoC ,这是最近披露的 Linux 内核中的一个高严重性缺陷。此后它已被下架,但在此之前它被fork了 25 次。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwx

 

5.麻省理工学院研发 Metior 框架 一种对抗侧信道攻击的秘密武器

【标签】Metior

【概述】

麻省理工学院研发 Metior 框架 一种对抗侧信道攻击的秘密武器,以确定攻击者能从计算机程序中窃取多少秘密信息。精明的黑客可以通过观察计算机程序的行为(如程序访问计算机内存的时间)来获取密码等秘密信息。完全阻止这些”侧信道攻击”的安全方法在计算上非常昂贵,因此对许多现实世界的系统来说并不可行。取而代之的是,工程师们通常采用所谓的混淆方案,试图限制而非消除攻击者获取秘密信息的能力。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwp

 

6.用户的数据通过150万个安卓应用程序被窃取

【标签】Google Play

【概述】

为了帮助用户在下载应用程序之前更好地了解其所收集的数据,Google Play去年推出了带有隐私重点的“营养标签”。然而,研究人员发现了一种规避该系统并窃取用户数据的方法。这是通过插入一种避开系统的方法来实现的。移动安全公司Pradeo发布的一篇文章中,网络安全分析人员发现了Google Play上的两个应用程序。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvP

 

7.Big Head Ransomware在恶意广告和虚假的Windows更新中被发现

【标签】Big Head

【概述】

当虚假的Windows更新用户界面被启动时,受害者会认为它是一个合法的软件更新过程,其中进度增量百分比是100秒。上个月,FortiGuard Labs的研究人员发现了一种新兴的威胁,名为“Big Head勒索软件”,一旦开始运行,可能会造成重大损害。他们认为这种勒索软件仍在开发中。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwn

 

8.网络安全机构对TrueBot恶意软件攻击不断增加发出警报

【标签】TrueBot

【概述】

网络安全机构已经发出警告,称TrueBot恶意软件的新变种已经出现。这种增强的威胁现在针对美国和加拿大的公司,旨在从被渗透的系统中提取机密数据。这些复杂的攻击利用了广泛使用的Netwrix Auditor服务器及其相关代理的一个关键漏洞(CVE-2022-31199)。这个漏洞使得未经授权的攻击者可以以SYSTEM用户的特权执行恶意代码,从而授予他们对被攻击系统的无限制访问权限。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRuJ

 

9.美国称中国黑客入侵了多名政府官员的电邮账号

【标签】电邮

【概述】

美国称中国黑客入侵了多名政府官员的电邮账号,其中包括商务部长 Gina Raimondo。微软证实黑客利用了其云电邮服务的一个漏洞访问了多名政府雇员的电邮账号。微软将黑客组织称为 Storm-0558,称黑客入侵了大约 25 个电邮账号。这不是一次大规模入侵,黑客只针对性的访问每个政府组织的几个账号。攻击始于 5 月,美国政府是在 6 月中旬发现入侵并通知了微软。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwN

 

10.JumpCloud在持续的网络安全事件中重置API密钥

【标签】JumpCloud

【概述】

JumpCloud是一家提供基于云的身份和访问管理解决方案的供应商,已经迅速响应了一起影响其部分客户的网络安全事件。作为其损害控制措施的一部分,JumpCloud已经重置了所有受到此事件影响的客户的应用程序编程接口(API)密钥,旨在保护他们的重要数据。该公司已经通知了相关客户这一举措的关键性质,强调其致力于保护他们的业务和组织。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRuV

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author