2022.5 网络安全月报 丨明朝万达安元实验室出品

admin
admin
admin
988
文章
2
评论
2022年6月2日15:29:56 评论

2022.5 网络安全月报 丨明朝万达安元实验室出品

1 ·.    开源“包分析”工具发现恶意 npm、PyPI 包

开源安全基金会 (OpenSSF) 是一个由 Linux 基金会支持的计划,它发布了“包分析”工具的第一个原型版本,旨在捕捉和对抗对开源注册表的恶意攻击。

在持续不到一个月的试运行中,在 GitHub 上发布的开源项目能够识别 200 多个恶意 npm 和 PyPI 包。

 

2 ·.    Microsoft Defender for Business 独立版现已全面上市

微软表示,其面向中小型企业的企业级端点安全现在通常可作为独立解决方案使用。

该产品被称为 Microsoft Defender for Business,专为拥有多达 300 名员工的中小型企业设计,这些企业需要针对 Windows、macOS、iOS 和 Android 设备上的恶意软件、网络钓鱼和勒索软件攻击提供保护。

 

3 ·.    未修补的 DNS 漏洞影响数百万路由器和物联网设备

广泛存在于各种物联网产品中的流行 C 标准库域名系统 (DNS) 组件中的漏洞可能会使数百万台设备面临 DNS 中毒攻击风险。

攻击者可以使用 DNS 中毒或 DNS 欺骗将受害者重定向到托管在攻击者控制的服务器上的 IP 地址而不是合法位置的恶意网站。

库 uClibc 及其来自 OpenWRT团队的分支 uClibc-ng。这两种变体都被 Netgear、Axis 和 Linksys 等主要供应商以及适用于嵌入式应用程序的 Linux 发行版广泛使用。

 

4 ·.    攻击者劫持英国 NHS 电子邮件帐户以窃取 Microsoft 登录信息

在大约半年的时间里,英国国家卫生系统 (NHS) 的 100 多名员工的工作电子邮件帐户被用于多次网络钓鱼活动,其中一些活动旨在窃取 Microsoft 登录信息。

攻击者在劫持合法的 NHS 电子邮件帐户后于去年 10 月开始使用它们用于网络钓鱼活动。

 

5 ·.    Heroku 承认客户凭证在网络攻击中被盗

Heroku 透露,上个月被盗的 GitHub 集成 OAuth 令牌进一步导致了内部客户数据库的入侵。

Salesforce 拥有的云平台承认,攻击者使用相同的受损令牌从“数据库”中窃取客户的散列和加盐密码。

 

6 ·.    美国农业机械制造商 AGCO 遭受勒索软件攻击

总部位于美国的领先农业机械生产商 AGCO 宣布受到勒索软件攻击,影响其部分生产设施。

AGCO宣布,他们遭受了勒索软件攻击,影响了公司的一些生产设施。

虽然 AGCO 没有提供任何导致中断的详细信息,但该公司可能会关闭其部分 IT 系统以防止攻击蔓延。

 

7 ·.    美国以 1500 万美元悬赏 Conti 勒索软件团伙的信息

美国国务院提供高达 1500 万美元,以帮助识别和定位臭名昭著的 Conti 勒索软件团伙的领导层和同谋。

高达 1000 万美元的奖励用于提供有关 Conti 领导人身份和位置的信息,另外 500 万美元用于逮捕和/或定罪共谋或试图参与 Conti 勒索软件攻击的个人。

根据国务院发言人内德·普莱斯(Ned Price)发表的一份声明,截至 2022 年 1 月,Conti已经袭击了 1000 多名受害者,他们支付了超过 1.5 亿美元的赎金。

 

8 ·.    美国指控黑客入侵经纪账户、证券欺诈

美国司法部 (DoJ) 已就 2011 年至 2018 年期间发生的一系列网络犯罪活动向 Idris Dayo Mustapha 提出指控,导致经济损失估计超过 5,000,000 美元。

许多受害实体是美国的金融机构和经纪公司,他们直接受到 Mustapha 及其同谋的系统入侵,他们使用他人的经纪账户进行未经授权的交易。

 

9 ·.    愤怒的 IT 管理员擦除雇主的数据库,被判 7 年监禁

中国房地产经纪巨头链家的前数据库管理员韩冰因登录公司系统并删除公司数据被判处 7 年有期徒刑。

据称,韩冰在 2018 年 6 月实施了该行为,当时他使用他的管理权限和“root”帐户访问公司的财务系统,并从两台数据库服务器和两台应用程序服务器中删除所有存储的数据。

这导致链家大部分业务立即瘫痪,数万名员工长期没有工资,并迫使数据恢复工作耗资约 30,000 美元。

 

10 ·.    苹果紧急更新修复了用于破解 Mac、手表的 0day 漏洞

Apple 已发布安全更新,以解决攻击者可以在针对 Mac 和 Apple Watch 设备的攻击中利用的0day漏洞。

0day漏洞是软件供应商不知道且尚未修补的安全漏洞。在某些情况下,这种类型的漏洞也可能在补丁到来之前具有公开可用的概念验证漏洞,或者可能在野外被积极利用。

 

11 ·.    VMware 修补了多个产品中的关键身份验证绕过漏洞

VMware 修补了多个产品中的关键身份验证绕过漏洞

VMware警告客户立即修补多个产品中的一个“影响本地域用户”的关键身份验证绕过漏洞,该漏洞可被利用以获得管理员权限。

Innotec Security 的 Bruno López 报告了该漏洞(跟踪为 CVE-2022-22972),他发现它会影响 Workspace ONE Access、VMware Identity Manager (vIDM) 和 vRealize Automation。

 

12 ·.    微软检测到 Linux XorDDoS 恶意软件活动激增

正如微软透露的那样,在过去六个月中,一种用于入侵 Linux 设备并构建 DDoS 僵尸网络的隐秘模块化恶意软件的活动量大幅增加了 254%。

该恶意软件(至少从 2014 年开始活跃)被称为 XorDDoS(或 XOR DDoS),因为它在与命令和控制 (C2) 服务器通信并用于启动分布式拒绝服务时使用基于 XOR 的加密(DDoS) 攻击。

 

13 ·.    加拿大出于安全考虑禁止华为和中兴通讯使用 5G 网络

加拿大政府宣布打算禁止在该国的 5G 和 4G 网络中使用华为和中兴通讯设备和服务。

声明解释说,经过加拿大独立安全机构的彻底审查,这两家中国科技公司被认为存在太大的安全风险,不允许进入该国的电信网络。

 

14 ·.    俄罗斯联邦储蓄银行表示正面临大量 DDoS 攻击

俄罗斯银行和金融服务公司 Sberbank 成为前所未有的黑客攻击浪潮的目标。本月早些时候,该银行击退了其历史上最大的分布式拒绝服务 (DDoS) 攻击。

Sberbank 副总裁兼网络安全总监 Sergei Lebed 告诉参加 Positive Hack Days 会议的观众,在过去的几个月里,成千上万的互联网用户一直在攻击该组织。

 

15 ·.    在 Pwn2Own 比赛的最后一天,Windows 11 又被黑了 3 次

在 2022 年 Pwn2Own 温哥华黑客大赛的第三天也是最后一天,安全研究人员使用0day漏洞再次成功入侵了微软的 Windows 11 操作系统三次。

由于 DoubleDragon 团队无法在规定的时间内演示他们的漏洞利用,当天针对 Microsoft Teams 的第一次尝试失败了。

所有其他参赛者都攻击了他们的目标,在 3 次攻击 Windows 11 和 1 次 Ubuntu Desktop 后获得了 160,000 美元的收入。

 

16 ·.    勒索软件攻击暴露了 500,000 名芝加哥学生的数据

芝加哥公立学校的供应商 Battelle for Kids 在 12 月遭受勒索软件攻击后,芝加哥公立学校遭受了大规模的数据泄露,导致近 500,000 名学生和 60,000 名员工的数据泄露。

 

17 ·.    GitHub:攻击者窃取了 10 万个 npm 用户帐户的登录详细信息

GitHub 透露,在 4 月中旬的一次安全漏洞中,一名攻击者借助发给 Heroku 和 Travis-CI 的被盗 OAuth 应用程序令牌窃取了大约 100,000 个 npm 帐户的登录详细信息。

攻击者成功地从属于数十个组织的私有存储库中破坏和泄露数据。

 

网络安全最新漏洞追踪

1
TLStorm 2.0:Aruba & Avaya交换机远程代码执行漏洞

漏洞概述

2022年4月12日,微软发布了4月份的安全更新,本次发布的安全更新修复了包括2个0 day漏洞在内的119个安全漏洞(不包括 26个 Microsoft Edge 漏洞),其中有10个漏洞被评级为严重。

漏洞详情

TLStorm 2.0漏洞与TLS 库 NanoSSL有关(NanoSSL 是DigiCert 的子公司Mocana提供的综合性闭源 SSL 套件),并存在于Aruba 和 Avaya 多种交换机型号的TLS 通信实施中。

在Aruba设备上,NanoSSL被用于Radius身份验证,也被用于captive portal系统:

l  CVE-2022-23677(CVSS 评分 9.0):NanoSSL 在多个接口上的滥用 (RCE):可能导致在没有用户交互的情况下通过交换机实现远程代码执行。

l  CVE-2022-23676(CVSS 评分 9.1):RADIUS 客户端内存损坏漏洞:能够导致攻击者控制的数据的堆溢出,这可能允许恶意的RADIUS服务器,或能够访问RADIUS共享秘密的攻击者,在交换机上远程执行代码。

在Avaya设备上,该库的实现导致了3个安全漏洞,这些漏洞无需身份验证或用户交互即可利用:

l  CVE-2022-29860(CVSS 评分 9.8):TLS 重组堆溢出漏洞:在 Web 服务器上处理 POST 请求的进程未正确验证 NanoSSL 返回值,导致堆溢出,从而导致远程代码执行。

l  CVE-2022-29861(CVSS 评分 9.8):HTTP 头解析堆栈溢出漏洞:在处理多部分表单数据时,不正确的边界检查与非空终止的字符串相结合会导致攻击者控制的堆栈溢出,可能导致 RCE。

l  HTTP POST请求处理堆溢出漏洞:由于缺少 Mocana NanoSSL 库的错误检查,在处理HTTP POST请求时存在漏洞,导致攻击者控制长度的堆溢出,可能导致RCE。该漏洞暂无CVE ID。

影响范围

Avaya ERS3500

Avaya ERS3600

Avaya ERS4900

Avaya ERS5900

Aruba 5400R Series

Aruba 3810 Series

Aruba 2920 Series

Aruba 2930F Series

Aruba 2930M Series

Aruba 2530 Series

Aruba 2540 Series

处置建议

目前Aruba(HP拥有)和 Avaya(ExtremeNetworks 拥有)已经发布了大多数漏洞的补丁,建议受影响的用户尽快更新。

Aruba:

https://asp.arubanetworks.com/

Avaya:

https://extremeportal.force.com/ExtrSupportHome

 

2
微软5月多个安全漏洞

漏洞概述

2022年5月10日,微软发布了5月份的安全更新,本次发布的安全更新修复了包括3个0 day漏洞在内的75个安全漏洞,其中有8个漏洞被评级为“严重”,这些漏洞可导致远程代码执行或特权提升。

漏洞详情

本次发布的安全更新涉及.NET Framework、Microsoft Exchange Server、Azure SHIR、Microsoft Office、Remote Desktop Client、Visual Studio、Windows Active Directory、Windows Kerberos、Windows Kernel、Windows Network File System、Windows NTFS、Windows Point-to-Point Tunneling Protocol、Windows Print Spooler Components、Windows Remote Desktop和Windows Server Service等多个产品和组件。

本次修复的75个漏洞中,21个为权限提升漏洞,26个为远程代码执行漏洞,17个为信息泄露漏洞,6个为拒绝服务漏洞,4个为安全功能绕过漏洞,以及1个欺骗漏洞。

微软本次共修复了3个0 day漏洞,这些漏洞均已公开披露,其中CVE-2022-26925已知被利用 。

l   CVE-2022-26925 :Windows LSA 欺骗漏洞

可利用此漏洞在未经身份验证的情况下调用 LSARPC 接口上的方法并强制域控制器使用 NTLM进行身份验证。当此漏洞与针对 Active Directory 证书服务 (AD CS) 的 NTLM 中继攻击结合使用时,该漏洞的CVSS 评分将为 9.8。目前此漏洞已公开披露,且已检测到漏洞利用。注意,此漏洞影响了所有服务器,在应用安全更新时应优先考虑域控制器。

l  CVE-2022-22713 :Windows Hyper-V 拒绝服务漏洞

此漏洞无需与用户交互即可本地利用,但攻击复杂度高,成功利用此漏洞需要赢得竞争条件。此漏洞已公开披露,目前暂未发现被利用。

l  CVE-2022-29972:(Insight Software)Magnitude Simba Amazon Redshift ODBC 驱动程序代码执行漏洞

Magnitude Simba Amazon Redshift ODBC 驱动程序1.4.11–1.4.21.1001、1.4.22–1.4.51的基于浏览器的认证组件中存在参数注入漏洞,可能允许本地用户执行任意代码。此第三方驱动程序漏洞影响了微软的Self-hosted Integration Runtime(该漏洞也影响了Azure Synapse pipelines 和Azure Data Factory)。此漏洞已公开披露,目前暂未发现被利用。

本次修复的8个严重漏洞包括:

l  Azure SHIR(公告:ADV220001)-第三方驱动程序漏洞:即将对Azure Data Factory和Azure Synapse pipelines基础结构进行改进以响应 CVE-2022-29972。

l  CVE-2022-29972:Self-hosted Integration Runtime-(Insight Software:Magnitude Simba Amazon Redshift ODBC 驱动程序代码执行漏洞)

l  CVE-2022-22017:Remote Desktop Client远程代码执行漏洞

l  CVE-2022-26923:Active Directory Domain Services特权提升漏洞

l  CVE-2022-26931:Windows Kerberos 特权提升漏洞

l  CVE-2022-26937:Windows Network File System远程代码执行漏洞

l  CVE-2022-23270:Point-to-Point Tunneling Protocol远程代码执行漏洞

l  CVE-2022-21972:Point-to-Point Tunneling Protocol远程代码执行漏洞

其它需要关注的漏洞包括但不限于:

l  CVE-2022-21978:Microsoft Exchange Server 特权提升漏洞

此漏洞的 CVSSv3评分为8.2。成功利用此漏洞需要攻击者作为高权限组的成员通过 Exchange Server 的身份验证。可利用性评估:利用的可能性较小。

l  CVE-2022-22012 、CVE-2022-29130 :Windows LDAP 远程代码执行漏洞

此漏洞的CVSSv3评分为9.8,可在未经认证的情况下向存在漏洞的服务器发送特制的请求来利用此漏洞,成功利用此漏洞可能导致在SYSTEM账户的上下文中运行代码。只有将 MaxReceiveBuffer LDAP 策略设置为高于默认值的值时,才能利用此漏洞。使用该策略默认值的系统不存在此漏洞。可利用性评估:利用的可能性较小。

l  CVE-2022-26913 :Windows 身份验证安全功能绕过漏洞

此漏洞的CVSSv3评分为7.4,成功利用此漏洞可以执行中间人 (MITM) 攻击,并可以解密、读取或修改客户端和服务器之间的 TLS 流量。可利用性评估:利用的可能性较小。

l  CVE-2022-29108 :Microsoft SharePoint Server 远程代码执行漏洞

此漏洞的CVSSv3评分为 8.8,必须经过身份验证并拥有创建页面的权限才能利用此漏洞。可利用性评估:可能被利用。

l  CVE-2022-29133 :Windows 内核特权提升漏洞

此漏洞的CVSSv3评分为 8.8,可以从低权限的AppContainer进行攻击,成功利用此漏洞可以提升权限并以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。可利用性评估:利用的可能性较小。

处置建议

目前微软已发布相关安全更新,建议受影响的用户尽快修复。

Windows update更新

自动更新:

Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。

手动更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

 

3
HP PC任意代码执行漏洞(CVE-2021-3808)

漏洞概述

CVE   ID CVE-2021-3808 发现时间 2022-05-12
类    型 代码执行 等    级 高危
远程利用 影响范围
攻击复杂度 用户交互
PoC/EXP 在野利用

漏洞详情

2022 年 5 月 10 日,HP发布了某些PC产品的BIOS更新,修复了BIOS(UEFI 固件)中2个任意代码执行漏洞(CVE-2021-3808和CVE-2021-3809),这些漏洞的CVSS评分均为8.8。

这些漏洞允许以内核级权限执行操作,将权限升级到系统管理模式(SMM)。在SMM模式下执行可获得对主机的全部权限,从而进一步实施攻击。

目前HP暂未发布这些漏洞的技术细节,但内核级权限是Windows中的最高权限,允许在内核级执行任何命令,包括操纵驱动程序和访问BIOS等。

这些漏洞影响了200多款HP PC和笔记本电脑型号。包括Zbook Studio、ZHAN Pro、EliteBook、ProBook和Elite Dragonfly等商务笔记本,EliteDesk和ProDesk等商务台式电脑,Engage等零售PoS电脑,Z1和Z2等工作站,以及Thin Client PC。

影响范围

多款HP商务笔记本电脑

多款HP商用台式电脑

多款HP零售点 PC

多款HP台式工作站 PC

多款HP Thin Client PC

处置建议

目前HP已经为大部分受影响产品发布了安全更新,HP PC用户可及时应用BIOS更新。

受影响的200多款产品列表及其安全更新,请参考HP官方公告:

https://support.hp.com/us-en/document/ish_6184733-6184761-16/hpsbhf03788

下载链接:

https://support.hp.com/us-en/drivers

 

4
Active Directory权限提升漏洞(CVE-2022-26923)

漏洞概述

CVE   ID CVE-2022-26923 发现时间 2022-05-11
类    型 权限提升 等    级 高危
远程利用 影响范围
攻击复杂度 用户交互
PoC/EXP 已公开 在野利用

 

漏洞详情

2022 年 5 月 10 日,微软发布了5月安全更新,修复了包括Active Directory Domain Services 权限提升漏洞(CVE-2022-26963 )在内的75个安全漏洞。

此漏洞的CVSSv3评分为8.8,经过身份验证的低权限用户可以利用此漏洞在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升为域管理员权限。但只有当 Active Directory 证书服务在域上运行时,系统才容易受到针对此漏洞的攻击。

5月11日,此漏洞的漏洞细节和POC已公开。

影响范围

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

处置建议

目前微软已经发布了此漏洞的补丁,鉴于Active Directory服务使用广泛,且漏洞影响较为严重,建议受影响用户尽快安装更新。

下载链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923

 

5
Google-OAuth-Java-Client身份验证绕过漏洞(CVE-2021-22573)

漏洞概述

CVE   ID CVE-2021-22573 发现时间 2022-05-20
类      型 身份验证绕过 等      级 高危
远程利用 影响范围
攻击复杂度 用户交互
PoC/EXP 在野利用

 

漏洞详情

Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库,用于OAuth 1.0a和OAuth 2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用,而不仅仅是Google API,它是建立在Google HTTP Client Library for Java之上的。

2022年4月13日,Google修复了Google-OAuth-Java-Client中的一个身份验证绕过漏洞(CVE-2021-22573),该漏洞的CVSSv3评分为8.7。

由于IDToken 验证程序无法验证令牌是否正确签名,Google-OAuth-Java-Client中存在身份验证绕过漏洞,可以通过提供具有自定义Payload的受损令牌通过客户端的验证。

此外,该Java 库基于Google HTTP Client Library for Java构建,可以获取对 Web 上支持 OAuth 授权标准的任何服务的访问令牌。

影响范围

Google-OAuth-Java-Client版本 < v1.33.3

处置建议

此漏洞已于2022年4月修复,受影响的用户可以升级更新到Google-OAuth-Java-Client版本v1.33.3。

下载链接:

https://github.com/googleapis/google-oauth-java-client/releases

 

weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2022年6月2日15:29:56
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
2298万网安大单中标 新闻热点

2298万网安大单中标

近日,海关总署2024年缉私局海关智慧监管平台缉私网络安全保护体系采购项目发布中标公告,该项目预算金额:25,202,100元,由杭州安恒信息技术股份有限公司中标,中标金额:22,980,000元。 ...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: