绿盟科技威胁周报(2023.01.16-2023.01.22)

一、 威胁通告

  • Oracle全系产品2023年1月关键补丁更新(CVE-2023-21839、CVE-2022-42920、CVE-2022-42889)

【发布时间】2023-01-20 10:00:00 GMT

【概述】

2023年1月19日,绿盟科技CERT监测发现Oracle官方发布了1月重要补丁更新公告CPU(Critical Patch Update),此次共修复了327个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle Fusion Middleware、Oracle MySQL、Oracle Java SE、Oracle Retail Applications、Oracle Database Server等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21839)

【发布时间】2023-01-20 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现国内安全团队公开披露了Weblogic远程代码执行漏洞(CVE-2023-21839)的技术分析。由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,未经身份验证的攻击者通过IIOP/T3协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上访问敏感信息并执行任意代码,请受影响的用户尽快采取措施进行防护。

【链接】

 https://nti.nsfocus.com/threatNotice

 

  • Apache Shiro身份认证绕过漏洞(CVE-2023-22602)

【发布时间】2023-01-18 20:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Apache官方修复了一个身份认证绕过漏洞。当在2.6+版本的Spring Boot中使用Apache Shiro,且Shiro与Spring Boot使用不同的路径匹配模式时,无需身份验证的攻击者可以用此漏洞构造特制的HTTP请求绕过身份验证访问后台功能,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Harbor 未授权访问漏洞(CVE-2022-46463)

【发布时间】2023-01-16 18:00:00 GMT

【概述】

近日,绿盟科技 CERT 监测到网上公开披露了 Harbor 未授权访问漏洞(CVE-2022-46463)的技术细节,由于Harbor 中存在访问控制缺陷,无需身份验证的攻击者可通过该漏洞访问公共和私有镜像存储库的所有信息,并进行镜像拉取。目前,该漏洞技术细节与 PoC 已公开,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 黑客利用CircleCI员工的笔记本电脑破坏公司系统

【标签】互联网

【概述】

DevOps平台CircleCI发现,安装在CircleCI工程师笔记本电脑上的恶意软件被未经授权的第三方用来窃取合法的2FA支持的SSO会话。该设备遭到破坏。该公司的防病毒程序无法检测到恶意软件。安全研究员称,未经授权的第三方可以访问并能够从数据库和商店的子集中提取数据,包括客户环境变量、令牌和密钥,因为目标员工有权生成生产访问令牌,这是员工常规职责的一部分。

【参考链接】

https://ti.nsfocus.com/security-news/IlOs9

 

  1. 数字情报公司Cellebrite被窃取的1.7 TB数据在网上泄露

【标签】互联网

【概述】

从为执法提供工具的数字情报公司Cellebrite窃取的1.7 TB数据在网上泄露。以色列移动取证公司Cellebrite是世界上数字取证领域的领先公司之一,它与世界各地的执法和情报机构合作。该公司提供的最受欢迎的服务之一是UFED(通用预测提取设备),执法和情报机构使用该设备来解锁和访问移动设备上的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsf

 

  1. 超过1300个假冒AnyDesk网站推送Vidar信息窃取恶意软件

【标签】不区分行业

【概述】

一场利用1300多个域名冒充AnyDesk官方网站的大规模活动正在进行中,所有这些都重定向到最近推送Vidar信息窃取恶意软件的Dropbox文件夹。AnyDesk是一款适用于Windows、Linux和macOS的流行远程桌面应用程序,全球数百万人使用它来实现安全的远程连接或执行系统管理。由于该工具的流行,恶意软件分发活动经常滥用AnyDesk品牌。

【参考链接】

https://ti.nsfocus.com/security-news/IlOrL

 

  1. 台湾华航遭黑客攻击导致数据信息泄露

【标签】航空

【概述】

近日,在国外论坛中,黑客曝光台湾华航会员资料,黑客以挤牙膏的方式,先后于今年1月4日和1月11日陆续曝光10位和50位,总计60位包括台湾知名的政界、商界、明星和名嘴等知名人士的资料,资料除了华航的会员编号外,还有中英文姓名、出生年月日、电子邮件和手机等个人信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlOrP

 

  1. 攻击者利用CVE-2022-42475漏洞攻击政府网络

【标签】政府

【概述】

最近修补了FortinetFortioSSL-VPN零日漏洞,用于攻击政府组织和政府相关目标。研究人员报告了攻击者如何利用最近修补的FortioSSL-VPN漏洞(CVE-2022-42475)攻击政府组织和政府相关目标。根据安全研究员的说法,该漏洞早些时候由几个地下经纪人在黑暗网络中私下推销,并用于目标网络入侵。已确定主要网络活动源自亚太地区和东南亚地区。

【参考链接】

https://ti.nsfocus.com/security-news/IlOs5

 

  1. 古巴勒索软件团伙入侵Microsoft Exchange服务器

【标签】不区分行业

【概述】

古巴勒索软件团伙利用关键的服务器端请求伪造(SSRF)漏洞攻击其交换服务器。同样的漏洞也被玩勒索软件集团利用,该集团通过OWASSRF漏洞侵入Rackspace的云服务器。攻击者绕过ProxyNotShell URL重写功能后袭击了服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlOrN

 

  1. GhostSec黑客组织声称它对RTU进行了勒索软件攻击

【标签】工业

【概述】

匿名者组织旗下的GhostSec黑客组织声称它对RTU(远程终端单元)进行了有史以来第一次勒索软件攻击,RTU是一种通常部署在工业控制系统 (ICS) 环境中的小型设备。匿名者黑客组织附属机构表示,它在其最喜欢的行动“#OpRussia”中执行了GhostSec勒索软件,并解释说:只有他们才能支持#Ukraine。

【参考链接】

https://ti.nsfocus.com/security-news/IlOs3

 

  1. 受污染的VPN被用来传播EyeSpy监控软件

【标签】不区分行业

【概述】

受感染的 VPN 安装程序被用来提供一种名为EyeSpy的监控软件。它使用SecondEye 的组件——一个合法的监控应用程序——通过木马化安装程序来监视 20Speed VPN 的用户,这是一种基于伊朗的 VPN 服务。据称大部分感染起源于伊朗,在德国和美国检测到的病例较少。根据通过互联网档案馆捕获的快照,SecondEye声称是一种商业监控软件,可以用作“家长控制系统或在线看门狗”。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsb

 

  1. 黑客通过暗网购买了登录凭据劫持 NortonLifeLock 客户账户

【标签】互联网

【概述】

NortonLifeLock告诉一些客户,恶意第三方可能已经访问了他们的帐户,甚至可能访问了他们的密码库。与客户共享的数据泄露通知函已发布到佛蒙特州总检察长办公室网站。它表示,黑客可能使用用户名和密码登录组合访问了他们的 Norton 和 Norton Password Manager 帐户。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsd

 

  1. Cacti服务器因未能修补大多数关键漏洞而受到攻击

【标签】不区分行业

【概述】

大多数暴露在互联网上的 Cacti 服务器尚未针对最近修补的严重安全漏洞进行修补,该漏洞已在野外被积极利用。据悉,该结论是根据攻击面管理平台 Censys 得出,该平台发现在总共6427台服务器中只有26台运行 Cacti 的补丁版本(1.2.23和1.3.0)。该问题与CVE-2022-46169(CVSS 分数:9.8)有关,它结合了身份验证绕过和命令注入,使未经身份验证的用户能够在受影响版本的基于 Web 的开源监控解决方案上执行任意代码

【参考链接】

https://ti.nsfocus.com/security-news/IlOsx

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author