Armis发现APC UPS设备中统称为TLSstorm的3个漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Armis发现APC UPS设备中统称为TLSstorm的3个漏洞

宣布时间 2022-03-11

Armis发现APC UPS设备中统称为TLSstorm的3个漏洞

据媒体3月日报道，宁静公司Armis在APC的SmartConnect和Smart-UPS系列产物中发现了统称为TLSstorm的3个漏洞。其中2个漏洞涉及UPS和APC云之间的TLS握手过程，分别为TLS缓冲区溢出漏洞（CVE-2022-22805）和TLS身份验证绕过漏洞（CVE-2022-22806）；第三个漏洞（CVE-2022-0715）可被用来构建一个恶意APC固件版本并作为官方更新进行分发。研究人员体现，利用这些漏洞可对设备造成物理损害，例如远程烧毁设备和断电，建议立即安装补丁法式。

https://www.bleepingcomputer.com/news/security/apc-ups-zero-day-bugs-can-remotely-burn-out-devices-disable-power/

Google宣布3月份宁静更新，修复Android中多个漏洞

3月8日，Google宣布了2022年3月的Android 10、11和12宁静更新。此次修复的较为严重的是提权漏洞（CVE-2021-39708），位于Android系统组件中，不需要用户交互即可远程提升权限；另外2个严重漏洞是CVE-2021-1942和CVE-2021-35110，它们都市影响基于Qualcomm的闭源组件。目前，没有任何已修复漏洞的技术细节，以防还未安装最新补丁的用户遭到攻击。

https://source.android.com/security/bulletin/2022-03-01

阿根廷电商公司Mercado Libre部门源码和用户信息泄露

媒体3月8日报道，阿根廷电商公司Mercado Libre称其部门源代码遭到了未经授权的访问。该公司还体现，攻击者还访问了约莫300000个用户的数据。MercadoLibre总部位于布宜诺斯艾利斯，是拉丁美洲最大的电子商务和支付生态系统。勒索团伙Lapsus$声称已经访问了Mercado Libre和Mercado Pago的24000个源代码存储。该团伙还在3月7日提倡了一项投票，要求用户选出接下来应该泄露数据的公司。

https://www.bleepingcomputer.com/news/security/e-commerce-giant-mercado-libre-confirms-source-code-data-breach/

Akamai在野外发现多起利用Mitel设备的DDoS攻击活动

3月8日，Akamai宣布关于利用Mitel设备的DDoS攻击活动的分析陈诉。研究人员视察到利用反射和放概略领来进行长达14小时的DDoS攻击活动，放大率高达4294967296：1。陈诉指出，漏洞TP240PhoneHome(CVE-2022-26143)已被武器化，以发动针对宽带ISP、金融机构、物流公司、游戏公司等组织的DDoS攻击。约有2600个袒露的Mitel MiCollab和MiVoice Business Express协作系统，被攻击者用于提倡每秒凌驾5300万个包(PPS)的DDoS攻击。

https://www.akamai.com/blog/security/phone-home-ddos-attack-vector

Mandiant宣布关于APT41攻击美国政府机构的分析陈诉

Mandiant在3月8日宣布一份陈诉，详述了APT41针对美国政府机构攻击活动。陈诉指出，在2021年5月至2022年2月期间，APT41已攻击了至少6个美国州政府机构，利用了USAHERDS 应用法式中的0 day( CVE-2021-44207 ) 和Log4j中的0 day( CVE-2021-44228 )。此外，攻击者还使用了新的�？榛疌++后门KEYPLUG和特制的dropper DUSTPAN，并在C2通信和数据泄露方面大量使用Cloudflare服务。

https://www.mandiant.com/resources/apt41-us-state-governments

Clearview AI因收集人脸图像被GPDP�？�2000万欧元

据3月9日报道，意大利隐私担保人(GPDP)对Clearview AI处以20000000欧元的�？�，原因是该公司在未征得用户同意的情况下在意大利实施了一个生物识别监控网络。视察显示，这家美国的面部识别软件公司拥有一个包罗100亿张人脸图像的数据库，其中包罗从网站中的个人资料和在线视频中提取的意大利公民面部图像数据。该机构还称Clearview AI拥有非法获得的地理位置数据。Clearview辩护称在意大利市场的测试已于2020年3月结束，但GPDP否决了这一论点。

https://www.bleepingcomputer.com/news/legal/clearview-ai-fined-20m-for-collecting-italians-biometric-data/

宁静工具

LAZYPARIAH

易于安装的命令行工具，用纯Ruby编写，用于发生反向shell payload。

https://github.com/octetsplicer/LAZYPARIAH

lnkbomb

用于收集NTLM哈希的恶意快捷方式发生器。

https://github.com/dievus/lnkbomb

AWS_Loot

搜索一个AWS环境中寻找密钥，通过列举环境变量和源代码。

https://github.com/sebastian-mora/AWS-Loot

PwnKit-Exploit

CVE-2021-4034的看法证明 (PoC)。

https://github.com/luijait/PwnKit-Exploit

宁静分析

谷歌以 54 亿美元收购网络宁静公司 Mandiant

https://thehackernews.com/2022/03/google-buys-cybersecurity-firm-mandiant.html

Apple 宣布 iOS 15.4 RC，下周全面上线

https://news.softpedia.com/news/apple-releases-ios-15-4-rc-full-launch-next-week-535010.shtml

Windows 10 KB5011487 和 KB5011485 更新宣布

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5011487-and-kb5011485-updates-released/

如何对 Apple 设备进行网络宁静审查

https://www.hackread.com/how-to-give-apple-devices-a-cybersecurity-review/

Adobe 修补 Illustrator、After Effects 中的“严重”宁静漏洞

https://www.securityweek.com/adobe-patches-critical-security-flaws-illustrator-after-effects

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究