信息宁静周报-2021年第43周

宣布时间 2021-10-26

>本周宁静态势综述


本周共收录宁静漏洞61个,值得关注的是Linux Kernel Bluetooth CMTP�?榱酱问头湃ㄏ尢嵘┒�;Oracle MySQL Cluster Data Node缓冲区溢出代码执行漏洞;Google Chrome Skia堆溢出代码执行漏洞;Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代码执行漏洞;AUVESY Versiondog验证机制绕过漏洞。


本周值得关注的网络宁静事件是美国FinCEN宣布关于勒索攻击态势的分析陈诉;REvil称其网站已被劫持,可能会再次终止运营;Symantec发现Harvester针对南亚电信行业的攻击活动;研究人员发现广告拦截扩展AllBlock插入广告的活动;研究人员发现LightBasin团伙攻击全球的电信公司。


凭据以上综述,本周宁静威胁为中。


>重要宁静漏洞列表


1. Linux Kernel Bluetooth CMTP�?榱酱问头湃ㄏ尢嵘┒�


Linux Kernel Bluetooth CMTP�?榇嬖诹酱问头怕┒�,允许当地攻击者利用漏洞提交特殊的请求,可提升权限。


https://www.zerodayinitiative.com/advisories/ZDI-21-1223/



2. Oracle MySQL Cluster Data Node缓冲区溢出代码执行漏洞


Oracle MySQL Cluster处置Data Node作业存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用法式崩�;蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。


https://www.zerodayinitiative.com/advisories/ZDI-21-1232/



3. Google Chrome Skia堆溢出代码执行漏洞


Google Chrome Skia存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用法式崩�;蚩梢杂τ梅ㄊ缴舷挛闹葱腥我獯�。


https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_19.html



4. Oracle Fusion Middleware Oracle WebLogic Server Coherence ContainerIIOP代码执行漏洞


Oracle Fusion Middleware Oracle WebLogic Server Coherence Container组件存在宁静漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用法式上下文执行任意代码。


https://www.oracle.com/security-alerts/cpuoct2021.html



5. AUVESY Versiondog验证机制绕过漏洞


AUVESY Versiondog验证存在设计漏洞,允许远程攻击者利用漏洞提交特殊的请求,可无需提供任意形式验证与服务器初始化会话,未授权访问系统。


https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01


>重要宁静事件综述


1、美国FinCEN宣布关于勒索攻击态势的分析陈诉


美国财政部的金融犯罪执法网络 (FinCEN) 在10月15日宣布了关于勒索攻击态势的分析陈诉。FinCEN分析了2011年1月1日至2021年6月30日期间提交的2184份SAR(可疑活动陈诉),发现了约莫52亿美元的BTC交易可能与勒索攻击的相关。2021上半年与勒索攻击相关的SAR涉及5.9亿美元,已经凌驾了2020年全年的4.16亿美元。陈诉还确定了68种活跃的勒索软件变种(最常见的是REvil/Sodinokibi、Conti、DarkSide、Avaddon和Phobos)。


原文链接:

https://www.fincen.gov/sites/default/files/shared/Financial%20Trend%20Analysis_Ransomeware%20508%20FINAL.pdf



2、REvil称其网站已被劫持,可能会再次终止运营


10月17日,勒索运营团伙REvil的成员0_neday在黑客论坛XSS上称有人入侵了他们的服务器。0_neday体现,莫斯科时间12:00开始,攻击者利用其私钥调出了REvil隐藏服务,还称他们没有发现服务器遭到攻击的迹象。但17日晚上,0_neday再次发帖称他们的服务器遭到了入侵。目前尚不清楚攻击者如何获得的REvil私钥,研究人员推测这是执法部门所为。此外,此次攻击可能会导致REvil永久性的关闭。


原文链接:

https://www.bleepingcomputer.com/news/security/revil-ransomware-shuts-down-again-after-tor-sites-were-hijacked/



3、Symantec发现Harvester针对南亚电信行业的攻击活动


Symantec在10月18日披露了一个新的由国家支持的黑客团伙Harvester的攻击活动。此次攻击活动瞄准了南亚的组织,特别是阿富汗,针对电信和IT行业的公司以及官方组织,开始于2021年6月,最近一次活动发生在2021年10月。在技术方面,攻击者在目标中安装了一个名为Backdoor.Graphon的自界说后门,以及其他自界说下载器和截图工具。目前尚不清楚初始熏染媒介是什么,但研究人员在被黑设备上发现的第一个关于此次活动的证据是恶意URL。


原文链接:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/harvester-new-apt-attacks-asia



4、研究人员发现广告拦截扩展AllBlock插入广告的活动


Imperva的研究人员在8月下旬发现了一种新的广告插入活动。该活动利用了Chrome和Opera浏览器上的广告拦截扩展法式AllBlock,针对一些大型网站的用户。研究人员称,该扩展可以将合法URL重定向到由攻击者控制的隶属链接,而且开发者还使用了多种技术来绕过检测,包罗每100毫秒清除一次调试控制台。目前,该扩展已从Chrome网上应用店中删除。


原文链接:

https://securityaffairs.co/wordpress/123488/cyber-crime/ad-blocking-chrome-extension-allblock.html


5、研究人员发现LightBasin团伙攻击全球的电信公司


10月19日,CrowdStrike研究人员称LightBasin在过去五年中一直攻击全球各地的通信网络。该团伙至少从2016年就开始活跃,主要针对Linux和Solaris系统,自2019年以来已经攻击了至少13家电信公司。LightBasin的目标系统包罗外部DNS服务器(eDNS)、服务交付平台系统(SDP)和SIM/IMEI配置,这些都是通用分组无线电服务(GPRS)网络的一部门,在乐成入侵之后会安装自界说恶意软件SLAPSTICK。


原文链接:

https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/