近日,明朝万达安元实验室发布了年第五期《安全通告》。该份报告收录了年5月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
1·.开源“包分析”工具发现恶意npm、PyPI包
开源安全基金会(OpenSSF)是一个由Linux基金会支持的计划,它发布了“包分析”工具的第一个原型版本,旨在捕捉和对抗对开源注册表的恶意攻击。
在持续不到一个月的试运行中,在GitHub上发布的开源项目能够识别多个恶意npm和PyPI包。
2·.MicrosoftDefenderforBusiness独立版现已全面上市
微软表示,其面向中小型企业的企业级端点安全现在通常可作为独立解决方案使用。
该产品被称为MicrosoftDefenderforBusiness,专为拥有多达名员工的中小型企业设计,这些企业需要针对Windows、macOS、iOS和Android设备上的恶意软件、网络钓鱼和勒索软件攻击提供保护。
3·.未修补的DNS漏洞影响数百万路由器和物联网设备
广泛存在于各种物联网产品中的流行C标准库域名系统(DNS)组件中的漏洞可能会使数百万台设备面临DNS中毒攻击风险。
攻击者可以使用DNS中毒或DNS欺骗将受害者重定向到托管在攻击者控制的服务器上的IP地址而不是合法位置的恶意网站。
库uClibc及其来自OpenWRT团队的分支uClibc-ng。这两种变体都被Netgear、Axis和Linksys等主要供应商以及适用于嵌入式应用程序的Linux发行版广泛使用。
4·.攻击者劫持英国NHS电子邮件帐户以窃取Microsoft登录信息
在大约半年的时间里,英国国家卫生系统(NHS)的多名员工的工作电子邮件帐户被用于多次网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。
攻击者在劫持合法的NHS电子邮件帐户后于去年10月开始使用它们用于网络钓鱼活动。
5·.Heroku承认客户凭证在网络攻击中被盗
Heroku透露,上个月被盗的GitHub集成OAuth令牌进一步导致了内部客户数据库的入侵。
Salesforce拥有的云平台承认,攻击者使用相同的受损令牌从“数据库”中窃取客户的散列和加盐密码。
6·.美国农业机械制造商AGCO遭受勒索软件攻击
总部位于美国的领先农业机械生产商AGCO宣布受到勒索软件攻击,影响其部分生产设施。
AGCO宣布,他们遭受了勒索软件攻击,影响了公司的一些生产设施。
虽然AGCO没有提供任何导致中断的详细信息,但该公司可能会关闭其部分IT系统以防止攻击蔓延。
7·.美国以万美元悬赏Conti勒索软件团伙的信息
美国国务院提供高达万美元,以帮助识别和定位臭名昭著的Conti勒索软件团伙的领导层和同谋。
高达0万美元的奖励用于提供有关Conti领导人身份和位置的信息,另外万美元用于逮捕和/或定罪共谋或试图参与Conti勒索软件攻击的个人。
根据国务院发言人内德·普莱斯(NedPrice)发表的一份声明,截至年1月,Conti已经袭击了0多名受害者,他们支付了超过1.5亿美元的赎金。
8·.美国指控黑客入侵经纪账户、证券欺诈
美国司法部(DoJ)已就年至年期间发生的一系列网络犯罪活动向IdrisDayoMustapha提出指控,导致经济损失估计超过5,,美元。
许多受害实体是美国的金融机构和经纪公司,他们直接受到Mustapha及其同谋的系统入侵,他们使用他人的经纪账户进行未经授权的交易。
9·.愤怒的IT管理员擦除雇主的数据库,被判7年监禁
中国房地产经纪巨头链家的前数据库管理员韩冰因登录公司系统并删除公司数据被判处7年有期徒刑。
据称,韩冰在年6月实施了该行为,当时他使用他的管理权限和“root”帐户访问公司的财务系统,并从两台数据库服务器和两台应用程序服务器中删除所有存储的数据。
这导致链家大部分业务立即瘫痪,数万名员工长期没有工资,并迫使数据恢复工作耗资约30,美元。
10·.苹果紧急更新修复了用于破解Mac、手表的0day漏洞
Apple已发布安全更新,以解决攻击者可以在针对Mac和AppleWatch设备的攻击中利用的0day漏洞。
0day漏洞是软件供应商不知道且尚未修补的安全漏洞。在某些情况下,这种类型的漏洞也可能在补丁到来之前具有公开可用的概念验证漏洞,或者可能在野外被积极利用。
11·.VMware修补了多个产品中的关键身份验证绕过漏洞
VMware修补了多个产品中的关键身份验证绕过漏洞
VMware警告客户立即修补多个产品中的一个“影响本地域用户”的关键身份验证绕过漏洞,该漏洞可被利用以获得管理员权限。
InnotecSecurity的BrunoLópez报告了该漏洞(跟踪为CVE--),他发现它会影响WorkspaceONEAccess、VMwareIdentityManager(vIDM)和vRealizeAutomation。
12·.微软检测到LinuxXorDDoS恶意软件活动激增
正如微软透露的那样,在过去六个月中,一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了%。
该恶意软件(至少从年开始活跃)被称为XorDDoS(或XORDDoS),因为它在与命令和控制(C2)服务器通信并用于启动分布式拒绝服务时使用基于XOR的加密(DDoS)攻击。
13·.加拿大出于安全考虑禁止华为和中兴通讯使用5G网络
加拿大政府宣布打算禁止在该国的5G和4G网络中使用华为和中兴通讯设备和服务。
声明解释说,经过加拿大独立安全机构的彻底审查,这两家中国科技公司被认为存在太大的安全风险,不允许进入该国的电信网络。
14·.俄罗斯联邦储蓄银行表示正面临大量DDoS攻击
俄罗斯银行和金融服务公司Sberbank成为前所未有的黑客攻击浪潮的目标。本月早些时候,该银行击退了其历史上最大的分布式拒绝服务(DDoS)攻击。
Sberbank副总裁兼网络安全总监SergeiLebed告诉参加PositiveHackDays会议的观众,在过去的几个月里,成千上万的互联网用户一直在攻击该组织。
15·.在Pwn2Own比赛的最后一天,Windows11又被黑了3次
在年Pwn2Own温哥华黑客大赛的第三天也是最后一天,安全研究人员使用0day漏洞再次成功入侵了微软的Windows11操作系统三次。
由于DoubleDragon团队无法在规定的时间内演示他们的漏洞利用,当天针对MicrosoftTeams的第一次尝试失败了。
所有其他参赛者都攻击了他们的目标,在3次攻击Windows11和1次UbuntuDesktop后获得了,美元的收入。
16·.勒索软件攻击暴露了,名芝加哥学生的数据
芝加哥公立学校的供应商BattelleforKids在12月遭受勒索软件攻击后,芝加哥公立学校遭受了大规模的数据泄露,导致近,名学生和60,名员工的数据泄露。
17·.GitHub:攻击者窃取了10万个npm用户帐户的登录详细信息
GitHub透露,在4月中旬的一次安全漏洞中,一名攻击者借助发给Heroku和Travis-CI的被盗OAuth应用程序令牌窃取了大约,个npm帐户的登录详细信息。
攻击者成功地从属于数十个组织的私有存储库中破坏和泄露数据。
网络安全最新漏洞追踪
TLStorm2.0:ArubaAvaya交换机远程代码执行漏洞
漏洞概述
年4月12日,微软发布了4月份的安全更新,本次发布的安全更新修复了包括2个0day漏洞在内的个安全漏洞(不包括26个MicrosoftEdge漏洞),其中有10个漏洞被评级为严重。
漏洞详情
TLStorm2.0漏洞与TLS库NanoSSL有关(NanoSSL是DigiCert的子公司Mocana提供的综合性闭源SSL套件),并存在于Aruba和Avaya多种交换机型号的TLS通信实施中。
在Aruba设备上,NanoSSL被用于Radius身份验证,也被用于captiveportal系统:
lCVE--(CVSS评分9.0):NanoSSL在多个接口上的滥用(RCE):可能导致在没有用户交互的情况下通过交换机实现远程代码执行。
lCVE--(CVSS评分9.1):RADIUS客户端内存损坏漏洞:能够导致攻击者控制的数据的堆溢出,这可能允许恶意的RADIUS服务器,或能够访问RADIUS共享秘密的攻击者,在交换机上远程执行代码。
在Avaya设备上,该库的实现导致了3个安全漏洞,这些漏洞无需身份验证或用户交互即可利用:
lCVE--(CVSS评分9.8):TLS重组堆溢出漏洞:在Web服务器上处理POST请求的进程未正确验证NanoSSL返回值,导致堆溢出,从而导致远程代码执行。
lCVE--(CVSS评分9.8):HTTP头解析堆栈溢出漏洞:在处理多部分表单数据时,不正确的边界检查与非空终止的字符串相结合会导致攻击者控制的堆栈溢出,可能导致RCE。
lHTTPPOST请求处理堆溢出漏洞:由于缺少MocanaNanoSSL库的错误检查,在处理HTTPPOST请求时存在漏洞,导致攻击者控制长度的堆溢出,可能导致RCE。该漏洞暂无CVEID。
影响范围
AvayaERS3
AvayaERS
AvayaERS
AvayaERS
ArubaRSeries
ArubaSeries
ArubaSeries
ArubaFSeries
ArubaMSeries
ArubaSeries
Aruba0Series
处置建议
目前Aruba(HP拥有)和Avaya(ExtremeNetworks拥有)已经发布了大多数漏洞的补丁,建议受影响的用户尽快更新。
Aruba: