2022年7月网络安全月报丨明朝万达安元实验室出品

admin

988
文章

2
评论

2022年8月8日16:11:45 评论

2022年7月网络安全月报丨明朝万达安元实验室出品

近日，明朝万达安元实验室发布了2022年第七期《安全通告》。该份报告收录了2022 年7月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

NEWS

网络安全前沿新闻

01、Microsoft 更新 Azure AD 以支持临时密码

Azure Active Directory (Azure AD) 现在允许管理员发布限时密码，这些密码可用于在 Windows 入职期间注册新的无密码身份验证方法，或者在丢失凭据或 FIDO2 密钥时更轻松地恢复帐户。Microsoft 将其描述为临时访问通行证 (TAP)，通过 Azure 门户在 Azure AD 身份验证方法策略中启用 TAP 后，它们可用于注册身份验证详细信息（在首次签名或设置设备时）。

02、HackerOne 员工窃取报告出售

一名 HackerOne 员工窃取了通过漏洞赏金平台提交的漏洞报告，并将其披露给受影响的客户以索取经济奖励。该公司表示，这名员工已经联系了大约六名 HackerOne 客户，并“在少数披露中”收取了赏金。

03、NPM 供应链攻击影响数百个网站和应用程序

可追溯到 2021 年 12 月的 NPM 供应链攻击使用了数十个包含混淆 Javascript 代码的恶意 NPM 模块来破坏数百个下游桌面应用程序和网站。正如供应链安全公司 ReversingLabs 的研究人员所发现的那样，该活动背后的威胁行为者（称为 IconBurst）使用仿冒域名来感染正在寻找非常流行的软件包的开发人员，例如 ionic.io NPM 模块。

04、万豪酒店被黑客入侵后再次确认数据泄露

酒店巨头万豪国际集团证实，在一名未知的威胁行为者破坏了其一处财产并窃取了 20GB 文件后，它又遭到了另一次数据泄露的打击。攻击者只能破坏该连锁店的一处物业 BWI 机场万豪酒店，并且只能在有限的时间内访问其网络。

05、勒索软件、黑客组织从 Cobalt Strike 转移到 Brute Ratel

黑客组织和勒索软件正在从 Cobalt Strike 转移到新的 Brute Ratel 利用工具包，以逃避 EDR 和防病毒解决方案的检测。多年来，红队活动中最受欢迎的工具之一是 Cobalt Strike，这是一个允许攻击者在受感染设备上部署“信标”以执行远程网络监视或执行命令的工具包。

06、Apple 的新锁定模式可防御间谍软件

Apple 宣布将在 iOS 16、iPadOS 16 和 macOS Ventura 中推出一项称为锁定模式的新安全功能，以保护人权捍卫者、记者和持不同政见者等高风险个人免受有针对性的间谍软件攻击。
一旦启用，锁定模式将为 Apple 客户提供消息传递、网页浏览和连接保护，旨在阻止政府支持的黑客使用雇佣间谍软件（如 NSO 集团的 Pegasus）在感染恶意软件后监控他们的 Apple 设备。

07、新的隐形 OrBit 恶意软件从 Linux 设备中窃取数据

一种新发现的 Linux 恶意软件正被用于从系统中偷偷窃取信息，并感染机器上所有正在运行的进程。
该恶意软件被首次发现它的 Intezer Labs 安全研究人员称为 OrBit，它通过修改受感染设备上的 LD_PRELOAD 环境变量劫持共享库以拦截函数调用。

08、量子勒索软件攻击影响 657 个医疗保健组织

提供全方位服务的应收账款管理公司 Professional Finance Company Inc. (PFC) 表示，2 月下旬遭到勒索软件攻击导致数据泄露，影响了 600 多家医疗机构。
PFC 成立于 1904 年，帮助美国数千家医疗保健、政府和公用事业组织确保客户按时支付发票。

09、黑客可以在 Rolling-PWN 攻击中远程解锁本田汽车

一组安全研究人员发现，一些现代本田汽车模型具有易受攻击的滚动代码机制，允许解锁汽车甚至远程启动引擎。
该弱点称为 Rolling-PWN，可实现重放攻击，其中威胁行为者拦截从钥匙扣到汽车的代码，并使用它们来解锁或启动车辆。

10、黑客通过虚假面试从 Axie Infinity 窃取了 6.2 亿美元

导致 Axie Infinity 损失 6.2 亿美元加密货币的黑客攻击始于朝鲜，黑客向游戏开发商的员工提供虚假工作机会，以达到攻击的目的。
这次袭击发生在 2022 年 3 月。

11、微软 2022 年 7 月修复了 84 个漏洞

微软 2022 年 7 月修复了一个被积极利用的0day漏洞及其他总共 84 个漏洞。
在更新中修复的 84 个漏洞中有 4 个被归类为“严重”，因为它们允许远程代码执行。

12、新的 UEFI 固件缺陷影响超过 70 款联想笔记本电脑型号

联想制造的几款笔记本电脑中使用的 UEFI 固件容易受到三个缓冲区溢出漏洞的影响，这些漏洞可能使攻击者能够劫持 Windows 安装的启动例程。
联想已发布安全公告，披露了三个中等严重性漏洞，分别为 CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。

13、Tor 浏览器现在自动绕过互联网审查

Tor 项目团队宣布发布 Tor 浏览器 11.5，这是一个主要版本，它带来了新的功能来帮助用户更轻松地对抗审查。
Tor 浏览器专为通过洋葱路由器 (Tor) 网络访问网站而创建，为用户在访问 Internet 上的信息时提供匿名和隐私。

14、新的 CloudMensis 恶意软件从 Mac 窃取受害者的数据

未知的威胁行为者正在使用以前未被检测到的恶意软件对 macOS 设备进行部署后门。
ESET 研究人员于 2022 年 4 月首次发现新恶意软件并将其命名为CloudMensis，因为它使用 pCloud、Yandex Disk 和 Dropbox 公共云存储服务进行命令和控制 (C2) 通信。

15、车辆 GPS 跟踪器通过 SMS 为黑客提供管理员权限

漏洞研究人员在 GPS 跟踪器中发现了安全问题，该跟踪器被宣传为存在于 169 个国家/地区的约 150 万辆汽车中。
共有六个漏洞影响 MiCODUS MV720 设备，该设备存在于多家欧洲政府、美国各州、南美军事机构和核电站运营商使用的车辆中。

16、英国热浪导致谷歌和甲骨文云服务中断

在过去的一周里，英国遭受了持续破纪录的热浪，导致整个地区的气温令人窒息，而持续的热浪造成公司数据中心的冷却系统出现故障，导致谷歌云和甲骨云中断。

17、思科修复了允许攻击者以 root 身份执行命令的漏洞

思科解决了 Cisco Nexus Dashboard 数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以 root 或管理员权限执行命令和执行操作。
第一个安全漏洞（被评为严重严重性并跟踪为 CVE-2022-20857）使未经身份验证的威胁参与者能够通过发送精心制作的 HTTP 请求来访问 API，以“在节点上的任何 pod 中”以 root 权限远程执行任意命令。

18、Windows 11 现在默认阻止 RDP 暴力攻击

最近的 Windows 11 版本默认启用帐户锁定策略，该策略将在 10 次登录尝试失败后自动锁定用户帐户（包括管理员帐户）。
帐户暴力破解过程通常需要使用自动化工具猜测密码。

19、黑客入侵乌克兰广播网络传播有关泽连斯基的假新闻

乌克兰媒体集团 TAVR Media 证实，它被黑客入侵以传播有关泽连斯基总统处于危急状态并接受重症监护的假消息。
据乌克兰国家特殊通信和信息保护局（SSCIP）称，该网络运营着九个主要的乌克兰广播电台，包括 Hit FM、Radio ROKS、KISS FM、Radio RELAX、Melody FM、Nashe Radio、Radio JAZZ、Classic Radio ，和电台 Bayraktar。

Security Hole

网络安全最新漏洞追踪

01、GitLab 远程代码执行漏洞（CVE-2022-2185）

漏洞概述

漏洞详情

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

7月1日，GitLab发布安全公告，修复了GitLab社区版（CE）和企业版（EE）中的一个远程代码执行漏洞（CVE-2022-2185），该漏洞的CVSS评分为9.9，使得授权用户可以通过导入恶意制作的项目实现远程代码执行。此外，GitLab还修复了GitLab EE中的跨站脚本漏洞（CVE-2022-2235，CVSS评分8.7）和GitLab CE/EE 项目设置页面中的存储型跨站脚本漏洞（CVE-2022-2230，CVSS评分8.1），前者可能导致在触发时执行恶意操作，后者可能导致以受害者的名义在GitLab中执行任意JavaScript代码。

影响范围

CVE-2022-2185：

GitLab CE/EE 14.0版本：< 14.10.5

GitLab CE/EE 15.0版本：< 15.0.4

GitLab CE/EE 15.1版本：< 15.1.1

CVE-2022-2235：

GitLab EE 14.5版本：< 14.10.5

GitLab EE 15.0版本：< 15.0.4

GitLab EE 15.1版本：< 15.1.1

CVE-2022-2230：

GitLab CE/EE 14.4版本：< 14.10.5

GitLab CE/EE 15.0版本：< 15.0.4

GitLab CE/EE 15.1版本：< 15.1.1

安全建议

目前上述漏洞已经修复，受影响用户可以升级到以下版本：GitLab CE/EE 14.10.5GitLab CE/EE 15.0.4GitLab CE/EE 15.1.1下载链接：https://about.gitlab.com/update/

02、微软6月多个安全漏洞

漏洞概述

2022年7月12日，微软发布了7月安全更新，本次发布的安全更新修复了包括1个0 day漏洞在内的84个安全漏洞（不包括2个Microsoft Edge漏洞），其中有4个漏洞被评级为“严重”。

漏洞详情

本次发布的安全更新涉及Azure Site Recovery、Microsoft Defender for Endpoint、Microsoft Office、Windows IIS、Windows Kernel、Windows Network File System、Windows Print Spooler Components、Windows Remote Procedure Call Runtime、Windows Server Service和Windows Shell等多个产品和组件。

本次修复的84个漏洞中，52个为提取漏洞，12个为远程代码执行漏洞，11个为信息泄露漏洞，5个为拒绝服务漏洞，4个为安全功能绕过漏洞。

微软本次共修复了1个被积极利用的0 day漏洞：

CVE-2022-22047：Windows CSRSS 特权提升漏洞

Microsoft Windows 客户端服务器运行时子系统 (CSRSS)存在漏洞，可利用该漏洞将权限提升到 SYSTEM 权限。该漏洞的CVSS评分为7.8，攻击复杂度和所需权限低，无需用户交互即可被本地利用。目前此漏洞暂未公开披露，但已经检测到被利用。

本次修复的4个严重漏洞包括：

CVE-2022-30221：Windows 图形组件远程代码执行漏洞

该漏洞的CVSS评分为8.8，无需特殊权限即可远程利用，但需与用户交互，这意味着必须诱使目标用户连接到恶意 RDP 服务器，以实现在目标用户的系统上执行代码。只有安装了 RDP 8.0 或 RDP 8.1的系统容易受此漏洞影响。

CVE-2022-22029：Windows 网络文件系统远程代码执行漏洞该漏洞的CVSS评分为8.1，可以通过对网络文件系统（NFS）服务进行未经授权的特制调用来触发远程代码执行。该漏洞无需特殊权限和用户交互即可远程利用，但攻击复杂度较高。

CVE-2022-22039：Windows 网络文件系统远程代码执行漏洞该漏洞的CVSS评分为7.5，可以通过对网络文件系统（NFS）服务进行未经授权的特制调用来触发远程代码执行。该漏洞无需用户交互即可远程利用，但攻击复杂度较高，成功利用此漏洞需要赢得竞争条件。

CVE-2022-22038：Remote Procedure Call Runtime远程代码执行漏洞该漏洞无需特殊权限和用户交互即可远程利用，但攻击复杂度较高。此外，微软还修复了Azure Site Recovery (ASR) 中的多个安全漏洞，其类型包括：SQL注入、特权提升和远程代码执行，这些漏洞影响所有使用VMware/Physical to Azure方案的ASR企业内部客户，并已在ASR 9.49版本中修复。

安全建议目前微软已发布相关安全更新，建议受影响的用户尽快修复。

自动更新：Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。手动更新：1、点击“开始菜单”或按Windows快捷键，点击进入“设置”2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）3、选择“检查更新”，等待系统将自动检查并下载可用更新。4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

03、OpenSSL远程代码执行漏洞（CVE-2022-2274）

漏洞概述

漏洞详情

OpenSSL是一个强大的、商业级的、功能齐全的工具包，用于通用加密和安全通信。近日，OpenSSL被披露存在一个远程代码执行漏洞（CVE-2022-2274），该漏洞影响了OpenSSL 3.0.4 版本。OpenSSL 3.0.4 版本中，在支持 AVX512IFMA 指令的 X86_64 CPU 的 RSA 实现中存在安全问题，导致使用2048 位私钥的RSA在此类服务器上运行错误，在计算过程中会发生内存损坏，可利用此漏洞在目标系统上触发代码执行。

影响范围

OpenSSL 3.0.4版本注：在支持X86_64架构AVX512IFMA指令的服务器上运行的SSL/TLS 服务器或其它使用2048位RSA私钥的服务器容易受此漏洞影响。

安全建议

OpenSSL项目已在7月5日发布的3.0.5 版本中修复了此漏洞。此外，OpenSSL项目还修复了AES OCB加密漏洞（(CVE-2022-2097，中危)，受影响用户可以升级到以下版本：OpenSSL 3.0.0-3.0.4版本：升级到 3.0.5OpenSSL 1.1.1-1.1.1p 版本：升级到 1.1.1q下载链接：https://www.openssl.org/source/

04、Django SQL 注入漏洞（CVE-2022-34265）

漏洞概述

漏洞详情

Django是一个基于Python的开源Web应用框架。7月4日，Django项目发布更新公告，修复了Django中的一个SQL注入漏洞（CVE-2022-34265）。在受影响的Django版本中，可以通过传递恶意数据作为kind/lookup_name的值，如果应用程序在将这些参数传递给Trunc() 和 Extract() 数据库函数（日期函数）之前没有经过输入过滤或转义，则容易受到SQL注入攻击。将lookup_name 和kind choice限制在已知安全列表中的应用程序不受影响。

影响范围Django主分支Django 4.1（测试中）Django 4.0版本：< 4.0.6Django 3.2版本：< 3.2.14

安全建议目前此漏洞已经修复，受影响用户可以升级到以下版本：Django 4.0版本：升级到4.0.6Django 3.2版本：升级到3.2.14注：此漏洞已在Django 主分支以及4.1、4.0 和 3.2 版本分支中修复，但Django 4.1版本目前处于测试状态。下载链接：https://github.com/django/django/tags

05、Apache Spark 命令注入漏洞（CVE-2022-33891）

漏洞概述

漏洞详情

Apache Spark 是用于大规模数据处理的统一分析引擎。7月18日，Apache发布安全公告，修复了Apache Spark中的一个命令注入漏洞（CVE-2022-33891）。在Apache Spark中，可以通过Apache Spark用户界面提供的配置选项spark.acls.enable来启用ACL，可以通过认证过滤器检查用户是否有查看或修改应用程序的权限。如果ACL被启用，则可以通过提供任意用户名来模拟HttpSecurityFilter中的代码路径，并导致以Spark当前运行的用户身份执行任意shell命令。

影响范围

Apache Spark <= 3.0.33.1.1 <= Apache Spark <=3.1.23.2.0 <= Apache Spark <=3.2.1

安全建议

目前此漏洞已经修复，受影响用户可以升级到Apache Spark 3.1.3、3.2.2 、3.3.0 或更高版本。下载链接：https://spark.apache.org/downloads.html

06、Drupal 代码执行漏洞（CVE-2022-25277）

漏洞概述

漏洞详情

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。7月20日，Drupal项目发布安全公告，修复了Drupal 核心中的一个代码执行漏洞（CVE-2022-25277），该漏洞与Drupal中已修复的多个历史漏洞有关。在受影响的Drupal版本中，如果网站被配置为允许上传带有htaccess扩展名的文件，则这些文件的文件名将不会被正确清理，可以利用此漏洞绕过Drupal核心的默认.htaccess文件提供的保护，并在 Apache Web 服务器上远程执行代码。但这需要管理员显式配置文件字段以允许htaccess作为扩展名（受限权限）或允许其它不安全配置。

影响范围

Drupal 9.4版本：< 9.4.3Drupal 9.3版本：< 9.3.19

安全建议

目前此漏洞已经修复，受影响用户可以升级到Drupal 版本9.4.3和9.3.19。注：9.3.x 之前的所有 Drupal 9 版本和Drupal 8已停止维护，Drupal 7 核心不受此漏洞影响。

下载链接：https://www.drupal.org/project/drupal/releases排查：受影响用户可以通过审核文件目录的.htaccess，以确保它没有被覆盖或在子目录中被改写。如果网站服务器使用Apache httpd 和AllowOverride，则应该在文件目录和子目录内进行检查，确保不存在可疑的.htaccess文件。可以通过在公共和私人文件目录的根目录运行以下命令来搜索名为.htaccess的文件：find ./ -name ".htaccess" –print注意，Drupal在公共文件目录的根目录自动创建如下.htaccess文件，系统管理员可以参考核实给定文件目录的正确.htaccess配置。

07、Linux Netfilter缓冲区溢出漏洞（CVE-2022-34918）

漏洞概述

漏洞详情

Netfilter是Linux 2.4.x引入的一个子系统，它作为Linux底层包处理框架，提供一整套的hook函数的管理机制，可以用于对数据包进行过滤、修改、地址转换(SNAT/DNAT)等处理。近日，Linux Netfilter子系统中被披露存在一个缓冲区溢出漏洞（CVE-2022-34918），影响了Linux内核多个版本，目前该漏洞的细节及PoC已公开。nft_set_elem_init函数（/net/netfilter/nf_tables_api.c)中由于对用户输入的弱检查导致缓冲区溢出，成功利用此漏洞可实现本地权限提升（LPE）为root。但要利用此漏洞，需要获得非特权用户命名空间，以获得 CAP_NET_ADMIN 权限。

影响范围

5.8 <= Linux内核 <= 5.18.9

安全建议

目前此漏洞的补丁已经发布，受影响用户可及时修复。补丁下载链接：https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6下载链接：https://kernel.org/

数说安全

微信扫一扫

NEWS

网络安全前沿新闻

Security Hole

网络安全最新漏洞追踪

发表评论 取消回复

登录 找回密码

发表评论取消回复

登录找回密码