2022.1 网络安全月报丨明朝万达安元实验室出品

admin

1044
文章

2
评论

2022年2月2日15:51:54 评论

2022.1 网络安全月报丨明朝万达安元实验室出品

网络安全前沿新闻

01、布劳沃德健康披露影响130万人的数据泄露

布劳沃德健康公共卫生系统披露了一起影响1，357，879人的大规模数据泄露事件。BrowardHealth是一家位于佛罗里达州的医疗保健系统，拥有三十多个地点，提供广泛的医疗服务，每年接受超过60，000次入院治疗。医疗保健系统于2021年10月15日披露了一起网络攻击，当时入侵者未经授权访问了医院的网络和患者数据。该组织在四天后，即10月19日发现了入侵事件，并立即通知了联邦调查局和美国司法部。

02、UScellular在计费系统黑客攻击后披露数据泄露

自称是美国第四大无线运营商的USCELLULAR在2021年12月该公司的计费系统遭到黑客攻击后披露了一次数据泄露事件。
该移动运营商在发送给405名受影响个人的数据泄露通知信中表示，攻击者还使用事件中被盗的个人信息移植了一些受影响客户的号码。"2021年12月13日，UScellular检测到一个数据安全事件，其中未经授权的个人非法访问我们的计费系统，并获得了包含个人信息的无线客户帐户的访问权限，"运营商解释说。

03、FinalSite勒索软件攻击关闭了数千个学校网站

FinalSite是一家领先的学校网站服务提供商，遭受了勒索软件攻击，破坏了全球数千所学校对网站的访问。
FinalSite是一家软件即服务（SaaS）提供商，为K-12学区和大学提供网站设计，托管和内容管理解决方案。FinalSite声称为115个不同国家的8，000多所学校和大学提供解决方案。

04、OceanLotus黑客转向Web存档文件来部署后门

OceanLotus国家赞助的黑客小组现在正在使用Web存档文件格式（.MHT 和.MHTML）将后门部署到受感染的系统。目标是逃避防病毒解决方案工具的检测，这些工具更有可能捕获通常滥用的文档格式并阻止受害者在MicrosoftOffice上打开它们。黑客也被称为APT32和SeaLotus，过去曾表现出尝试不太常见的恶意软件部署方法的倾向。

05、商誉披露其ShopGoodwill平台上的数据泄露事件

美国非营利组织Goodwill披露了一起数据泄露事件，该数据泄露事件影响了使用其ShopGoodwill.com电子商务拍卖平台的客户账户。ShopGoodwill副总裁RyanSmith在发送给受影响个人的数据泄露通知信中表示，由于网站漏洞，他们的一些个人联系信息被暴露。

06、时尚巨头Moncler在勒索软件攻击后证实数据泄露

意大利奢侈时尚巨头Moncler证实，在12月文件被AlphV/BlackCat勒索软件操作窃取并在暗网上发布后，他们遭受了数据泄露。攻击发生在2021年的最后一周，当时该奢侈时尚品牌宣布其IT服务中断，但保证攻击只会导致暂时中断。十天后，该公司发布了有关情况的最新信息，重新启动了其物流系统，并优先考虑了在运输中延迟的电子商务运输。

网络安全最新漏洞追踪

01、H2数据库控制台远程代码执行漏洞（CVE-2021-42392）

漏洞概述
2022年1月6日，研究人员公开披露了在H2数据库控制台中发现的类似Log4Shell的关键RCE漏洞，该漏洞追踪为CVE-2021-42392。

漏洞详情

H2是一个流行的开源JavaSQL数据库，它提供了一个轻量级的内存解决方案，不需要将数据存储在磁盘上，这使得它成为各种项目的流行数据存储解决方案。近日，JFrog安全研究团队披露了H2数据库控制台中的远程代码执行漏洞CVE-2021-42392，该漏洞与ApacheLog4jRCE漏洞CVE-2021-44228漏洞的根本原因相同，即JNDI远程类加载。JNDI是JavaNamingandDirectoryInterface的缩写，是指为Java应用程序提供命名和目录功能的API，它可以结合LDAP使用API来定位可能需要的特定资源。由于H2数据库框架中的几个代码路径将未经过滤的攻击者控制的URL传递给javax.naming.Context.lookup函数，导致远程代码库加载（也称Java代码注入），最终造成未经身份验证的远程代码执行。该漏洞影响H2数据库版本1.1.100（2008-10-14）到2.0.204（2021-12-21），并已在2022年1月5日发布的版本2.0.206中修复。H2数据库被许多第三方框架使用，如SpringBoot、PlayFramework和JHipster等。虽然CVE-2021-42392不像CVE-2021-44228那样普遍，但如果不及时修复，它仍然会对开发人员和生产系统产生巨大影响。

影响范围1.1.100<=H2Console<=2.0.204

处置建议目前此漏洞已经修复，建议所有H2数据库用户升级到版本2.0.206，即使不直接使用H2控制台。下载链接：https://github.com/h2database/h2database/releases/tag/version-2.0.206

02、微软1月多个安全漏洞

漏洞概述
2022年1月11日，微软发布了1月份的安全更新，本次发布的安全更新修复了包括6个0day漏洞在内的97个安全漏洞（包括MicrosoftEdge为126个漏洞），其中有9个漏洞评级为严重，88个漏洞评级为高危。

漏洞详情

本次发布的安全更新涉及MicrosoftExchangeServer、MicrosoftOffice、Microsoft WindowsCodecsLibrary、OpenSourceSoftware、WindowsActiveDirectory、WindowsDefender、WindowsWin32K、WindowsRemoteDesktop、WindowsHTTP ProtocolStack和WindowsKernel等多个产品和组件。在97个漏洞（不包括MicrosoftEdge）中，41个为权限提升漏洞，29个为远程代码执行漏洞，6个为信息泄露漏洞，9个为拒绝服务漏洞，9个为安全功能绕过漏洞，以及3个欺骗漏洞。微软本次修复了6个0day漏洞，目前这些漏洞都没有被积极利用。

其中，CVE-2022-21919和CVE-2022-21836已有公开可用的漏洞利用代码，Curl和Libarchive漏洞则在之前就被其维护者修复：lCVE-2021-22947：开源Curl远程代码执行漏洞（CVSS评分5.9）lCVE-2021-36976：Libarchive远程代码执行漏洞（CVSS评分6.5）lCVE-2022-21919：Windows用户配置文件服务权限提升漏洞（CVSS评分7.0）lCVE-2022-21836：Windows证书欺骗漏洞（CVSS评分7.8）lCVE-2022-21839：Windows事件跟踪自由访问控制列表拒绝服务漏洞（CVSS 评分6.1）lCVE-2022-21874：Windows安全中心API远程代码执行漏洞（CVSS评分7.8）9个评级为严重的漏洞包括：lCVE-2022-21846：MicrosoftExchangeServer远程代码执行漏洞该漏洞被微软评估为"有可能被利用"，其CVSS评分9.0，这是本月修复的3个ExchangeRCE之一，其它2个为CVE-2022-21969和CVE-2022-21855。lCVE-2022-21840：MicrosoftOffice远程代码执行漏洞该漏洞的CVSS评分为8.8。微软目前暂未发布MicrosoftOffice2019forMac和MicrosoftOfficeLTSCforMac2021的安全更新。lCVE-2022-21917：HEVCVideoExtensions远程代码执行漏洞该漏洞的CVSS评分为7.8，攻击复杂度低，无需特殊权限即可被本地利用，但利用此漏洞需与用户交互。微软的可利用性评估将其评为"利用可能性较小"。lCVE-2021-22947：OpenSourceCurl远程代码执行漏洞该漏洞是在开源的cURL库中发现的，该库被Windows用来使用各种网络协议传输数据。据研究人员表示，攻击者可以通过利用cURL如何处理来自IMAP、POP3、SMTP 或FTP服务器的缓存或管道响应来进行中间人攻击。lCVE-2022-21857：ActiveDirectoryDomainService权限提升漏洞该漏洞允许攻击者在某些条件下跨ActiveDirectory信任边界提升权限，其CVSS评分为8.8。lCVE-2022-21898、CVE-2022-21912：DirectXGraphicsKernel远程代码执行漏洞这2个漏洞的CVSS评分均为7.8。DirectX图形内核是一个子系统，它支持图形卡和驱动器等内部组件或打印机和输入设备等外部设备，攻击者可以利用RCE漏洞在目标系统上部署和执行代码，并完全控制系统。lCVE-2022-21907：HTTPProtocolStack远程代码执行漏洞该漏洞是严重且可蠕虫的，可以通过网络自我传播而无需用户交互，其CVSS评分为9.8，应优先修复。该漏洞影响配置为Web服务器的Windows服务器，未经认证的攻击者可以通过向使用HTTP协议栈处理数据包的易受攻击的服务器发送恶意制作的数据包来利用此漏洞。lCVE-2022-21833：VirtualMachineIDEDrive权限提升漏洞该漏洞的CVSS评分为7.8，所需权限低，无需用户交互即可被本地利用，但攻击复杂度高，微软的可利用性评估将其评为"利用可能性较小"。

处置建议目前微软已发布相关安全更新，鉴于漏洞的严重性，建议受影响的用户尽快修复。（一）Windowsupdate更新自动更新：MicrosoftUpdate默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。手动更新：1、点击“开始菜单”或按Windows快捷键，点击进入“设置”2、选择“更新和安全”，进入“Windows更新”（Windows8、Windows8.1、Windows Server2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）3、选择“检查更新”，等待系统将自动检查并下载可用更新。4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。（二）手动安装更新Microsoft官方下载相应补丁进行更新。下载链接：https://msrc.microsoft.com/update-guide/vulnerability

03、ApacheDubbo远程代码执行漏洞（CVE-2021-43297）

漏洞详情
ApacheDubbo是一款高性能、轻量级的开源服务框架。2022年1月9日，ApacheDubbo发布安全公告，Dubbohessian-lite3.2.11及之前版本中存在反序列化漏洞（CVE-2021-43297），该漏洞能够导致远程执行任意代码。大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议，在Hessian捕捉到异常时，Hessian会注销用户的一些信息，这可能导致远程命令执行。影响范围ApacheDubbo2.6.x<2.6.12ApacheDubbo2.7.x<2.7.15ApacheDubbo3.0.x<3.0.5用。WebHMI文件上传漏洞（CVE-2021-43936）WebHMI版本4.1之前可以不受限制地上传恶意的文件，这些文件可以在产品环境中自动处理或导致任意代码执行。该漏洞的CVSS评分为10.0，攻击复杂度低，无需特殊权限和用户交互即可被远程利用。

处置建议目前此漏洞已经修复，建议受影响用户及时升级更新到以下版本：Dubbo2.6.x：升级到2.6.12Dubbo2.7.x：升级到2.7.15Dubbo3.0.x：升级到3.0.5下载链接：https://dubbo.apache.org/en/blog/2020/05/18/past-releases/

04 、SolarWindsServ-U输入验证漏洞(CVE-2021-35247)

漏洞详情
SolarWindsServ-U是美国SolarWinds公司的一套FTP和MFT文件传输软件。1月18日，SolarWinds发布安全公告，Serv-U中存在一个输入验证漏洞。(CVE-2021-35247)，其CVSSv3评分最高为5.3。由于Serv-U的输入验证存在安全问题，LDAP身份验证的Serv-UWeb登录未充分过滤字符。目前SolarWinds已更新输入机制。1月19日，微软在其官方博客中披露了CVE-2021-35247，并表示已观察到利用此漏洞实现与Log4j相关的攻击活动。

影响范围SolarWindsServ-U<=15.2.5

处置建议目前此漏洞已经修复，建议受影响用户及时升级更新到Serv-U15.3或更高版本。下载链接：https://www.solarwinds.com/serv-u-managed-file-transfer-server

ControlWebPanel文件包含漏洞(CVE-2021-45467)

漏洞概述
2022年1月22日，研究人员披露了ControlWebPanel中2个漏洞的详细信息，分别为：文件包含漏洞(CVE-2021-45467)和文件写入漏洞(CVE-2021-45466)。

漏洞详情ControlWebPanel（CWP，以前是CentOSWebPanel），是一个开源的Linux控制面板软件，用于部署虚拟主机环境，并被超过20万台服务器使用。研究人员本次披露的2个漏洞能够以root身份执行完整的预认证RCE，如下：ControlWebPanel文件包含漏洞(CVE-2021-45467)ControlWebPanel文件写入漏洞(CVE-2021-45466)具体来说，当应用程序中使用的两个无需身份验证即可访问的PHP页面"/user/login.php"和"/user/index.php"未能充分验证一个脚本文件的路径时，将导致文件包含漏洞，成功利用此漏洞的攻击者不但能够访问受限制的API端点，还可以与任意文件写入漏洞(CVE-2021-45466)结合使用，可在服务器上实现远程代码执行。

处置建议目前这些漏洞已经修复，建议受影响用户及时升级更新到最新版本CWP7: 0.9.8.1120。下载链接：https://control-webpanel.com/changelog