绿盟科技威胁周报(2023.10.16-2023.10.22)

一、威胁通告

1.Oracle全系产品2023年10月关键补丁更新通告

【发布时间】2023-10-18 17:00:00 GMT

【概述】

2023年10月18日,绿盟科技CERT监测发现Oracle官方发布了10月重要补丁更新公告CPU(Critical Patch Update),此次共修复了387个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.Cisco IOS XE Web UI权限提升漏洞通告(CVE-2023-20198)

【发布时间】2023-10-18 09:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Cisco官网发布了Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)。当Web UI暴露在互联网或不受信任的网络时,未经身份验证的远程攻击者可利用次漏洞在受影响的目标系统上创建具有级别15权限的账户,进而使用该账号来控制目标系统。CVSS评分10.0,该漏洞存在在野利用。请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

3.用友NC File Parser Servlet远程代码执行漏洞通告

【发布时间】2023-10-18 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测到用友NC File Parser Servlet远程代码执行漏洞,由于系统未将用户传入的序列化数据进行过滤就直接执行了反序列化操作,结合系统本身存在的反序列化利用链,攻击者利用该漏洞最终可实现命令执行。请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

4.Atlassian Confluence Server and Data Center权限提升漏洞通告(CVE-2023-22515)

【发布时间】2023-10-16 09:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上公开披露的Atlassian Confluence Server和Data Center权限提升漏洞的PoC。远程攻击者在未经身份验证的情况下,通过利用该漏洞可创建未授权的Confluence管理员账户并访问Confluence实例。目前该漏洞PoC已公开,且存在在野利用。请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.威胁行为者利用币安智能链合约传播恶意代码

【标签】EtherHiding

【概述】

近日,研究人员发现一些恶意行为者利用币安智能链(BSC)合约来托管和传播恶意代码。研究人员将其活动代号为EtherHiding,它利用被感染的WordPress网站来诱骗访问者更新他们的浏览器,然后下载信息窃取型恶意软件,如Amadey、Lumma或RedLine。攻击者在被感染的网站上注入了一个混淆的Javascript,用来通过创建一个智能合约来查询BNB智能链,合约中包含了攻击者控制的区块链地址。这样做的目的是从区块链上获取一个第二阶段的脚本,该脚本会从一个命令和控制(C2)服务器上获取一个第三阶段的有效载荷,用来显示虚假的浏览器更新通知。如果受害者点击了更新按钮,他们就会被重定向到从Dropbox或其他合法的文件托管服务下载一个恶意可执行文件。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNsU

 

2.阿里云、华为、金山办公等发起,人工智能安全治理专业委员会成立

【标签】

【概述】

“中国网络空间安全协会”官方公众号10月14日下午宣布,10 月 12 日上午,中国网络空间安全协会人工智能安全治理专业委员会正式成立。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNsO

 

3.亲俄黑客利用WinRAR漏洞进行新攻击

【标签】WinRAR

【概述】

亲俄黑客组织利用了WinRAR存档工具最近披露的一个安全漏洞,作为网络钓鱼活动的一部分,旨在从受损系统中获取凭证。Cluster25在上周发布的一份报告中表示:“攻击涉及使用恶意存档文件,利用最近发现的影响WinRAR压缩软件6.23之前版本的漏洞,并追踪为CVE-2023-38831。”

【参考链接】

    https://ti.nsfocus.com/security-news/IlNtk

 

4.攻击者利用新的思科Web UI漏洞

【标签】思科Web UI

【概述】

思科警告客户,思科IOS XE软件的web UI功能中存在一个此前未知的漏洞,该漏洞正被攻击者积极利用。该漏洞允许远程、未经身份验证的攻击者在受影响的系统上创建一个具有15级访问权限的帐户,这可能进一步允许他们获得对设备的完全控制。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNta

 

5.针对亚太地区政府的持续间谍活动分析

【标签】俄罗斯方块幻影

【概述】

卡巴斯基的网络安全专家公布了一项代号为“俄罗斯方块幻影”的秘密且高度先进的间谍活动。这次持续行动特别针对亚太地区(APAC)的政府机构,利用一种涉及安全USB驱动器的独特方法进行数据渗透。卡巴斯基的研究结果是其最新季度APT威胁形势报告的一部分。这场秘密行动于2023年初首次曝光,由一位难以捉摸、身份不明的威胁行动者精心策划。它的战略重点是利用安全的USB驱动器使这次行动与众不同。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNtJ

 

6.使用enum4linux扫描SMB漏洞

【标签】SMB

【概述】

在道德黑客和渗透测试领域,了解SMB(服务器消息块)服务的漏洞至关重要。SMB是一种允许系统之间(主要是在Windows网络上)共享文件和打印的协议。在本实验中,我们将使用enum4linux工具(一个功能强大的SMB枚举工具)来发现目标系统上SMB服务的信息。这些信息对于识别潜在漏洞和加强网络安全至关重要。让我们一步一步地完成这些目标。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNt0

 

7.从游戏云主机Shadow窃取的客户数据

【标签】Shadow

【概述】

云基础设施提供商Shadow警告称,超过50万客户的数据被盗。客户是通过网上发布的违规通知得知的。云在游戏界很有名,它允许玩家在低端设备上玩资源密集型游戏,被盗数据包括完整的客户姓名、电子邮件地址、出生日期、账单地址和信用卡到期日期。据Shadow称,没有密码或敏感的银行数据被泄露。Shadow表示,这起事件发生在9月底,是针对Shadow员工的社交工程攻击的结果。这名员工下载了他认为是Steam平台上的一款游戏的恶意软件后,攻击开始于Discord平台。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNtZ

 

8.MOVEit漏洞:CL0P勒索软件的主动攻击

【标签】CL0P

【概述】

最近几个月,网络安全领域出现了针对性攻击和利用各种软件应用程序漏洞的激增。其中一个令人担忧的案例涉及MOVEit管理文件传输(MFT)软件,该软件已成为CL0P勒索软件积极利用的受害者。这一漏洞的影响已经影响了全球众多组织,凸显了对强大的网络安全措施的迫切需求。此外,在这些充满挑战的时代,CYPFER,一家领先的网络安全公司,已经成为一个值得信赖的合作伙伴,保护企业免受此类网络威胁。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNud

 

9.Confucius近期针对巴基斯坦电信、能源、军事、政府和宗教等行业的攻击活动分析

【标签】Confucius

【概述】

Confucius是Palo Alto Networks于2016年披露的APT组织,该组织自2013年开始活跃,主要针对南亚及东亚地区政府、军事等进行攻击。此外,该组织还针对Android平台进行攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNte

 

10.“快速重置”DDoS攻击利用HTTP/2漏洞

【标签】CVE-2023-44487

【概述】

这次攻击是由一个新的DDoS漏洞(编号为CVE-2023-44487)引起的,涉及HTTP/2协议,用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所(NIST)官网上的漏洞页面介绍说到:“HTTP/2协议之所以允许拒绝服务(服务器资源消耗),是由于请求取消可以快速重置许多请求流。”

【参考链接】

    https://ti.nsfocus.com/security-news/IlNsw

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author