六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第175期

2021年11月22日 09:58

一、业界动态

工信部发布《“十四五”信息通信行业发展规划》

工业和信息化部发布《“十四五”信息通信行业发展规划》。《规划》包括4大部分、26条发展重点、近3万字,描绘了信息通信行业的发展蓝图,是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。

https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/202111/8091d85ce29a49c683ee187b1976d6e1.pdf

网信办发布《网络数据安全管理条例(征求意见稿)》

国家网信办于11月14日发布了《网络数据安全管理条例(征求意见稿)》的公开征求意见通知。截至今年6月,我国网民规模达10.11亿,由此产生的网络数据量更是天文数字。该条例规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。中国互联网协会法工委副秘书长胡钢指出,这是新时代规范互联网平台企业,强化反垄断和资本无序扩张的应有之义,也是维护国家安全、保护社会公共利益的需要。

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

研究人员展示针对Tor加密流量的新型指纹攻击

技术人员在近期发布了一项研究,展示了新型指纹攻击。Tor可以为用户提供不可链接的通信,并在每个中继进行一次加密,以阻碍流量分析避免信息泄漏。而针对Tor网站的指纹攻击旨在打破这种匿名保护,使攻击者能观察目标在Tor网络之间的加密流量,从而预测其访问的网站。研究人员表示,在监控5个网站时,攻击的精准度可以超过95%,而针对25个和100个网站的非针对性攻击的精准度分别为80%和60%左右。

https://thehackernews.com/2021/11/researchers-demonstrate-new.html

Unit42发布关于攻击者常用的顶级域名的分析报告

11月11日,Unit42发布了关于攻击者常用的顶级域名的分析报告。报告指出,攻击者最常用的25个TLD占所有恶意域名的90%以上。其中最受欢迎的是.com;.ga、.xyz、.cf、.tk、.org和.ml主要被用来传播恶意软件;钓鱼攻击者更喜欢使用.net域,包括.pw、.top、.ga和.icu;Grayware通过.org、.info、.co、.ru、.work、.net和.club分发;C2基础设施通常依赖于.top、.gq、.ga、.ml、.cf、.info、.cn和.tk。

https://unit42.paloaltonetworks.com/top-level-domains-cybercrime/

 

二、关键基础设施

CISA披露多个DDS供应商的设备中13个漏洞的细节

CISA在11月11日发布了一条ICS咨询,披露了6个多数据分发服务(DDS)供应商的设备中存在的13个漏洞的细节。这些漏洞涉及Eclipse、eProsima和GurumNetworks等公司,涉及到的设备包括CycloneDDS、FastDDS、GurumDDS和OpenDDS等。其中较为严重的漏洞为GurumDDS中基于堆的缓冲区溢出漏洞(CVE-2021-38439),OCI OpenDDS中的DoS漏洞(CVE-2021-38447)和可能导致拒绝服务条件和信息泄露的漏洞(CVE-2021-38429)等。

https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

伊朗马汉航空遭网络攻击,损害程度及幕后真相仍不明

据路透社(Reuters)报道,伊朗官方媒体11月21日报道,针对伊朗私营航空公司马汉航空(Mahan Air)的网络攻击被挫败。马汉航空因支持伊朗伊斯兰革命卫队(Islamic Revolutionary Guard Corps)而被美国列入黑名单,该航空公司声称受到了来自宿敌美国和以色列的网络攻击。马哈尔航空公司在一份声明中称,由于其在该国航空业的重要地位,它已经在多个场合成为目标。该航空公司表示,所有航班都在按时运行,但如果未来有任何变化,将向乘客更新。但截止发稿,马汉航空公司网站显示维护中。

https://www.israelnationalnews.com/News/News.aspx/317295

 

三、安全事件

新勒索运营团伙Memento利用vCenter中的RCE漏洞

Sophos于11月18日披露了勒索运营团伙Memento的新活动。攻击者利用了VMware vCenter Server Web中的远程代码执行漏洞(CVE-2021-21971),CVSS评分为9.8。攻击者可利用该漏洞访问TCP/IP端口443,并以管理员权限执行命令,其补丁已于2月份发布。此次活动开始于上个月,攻击者首先利用vCenter中的漏洞从目标服务器窃取管理凭据,然后使用RDP over SSH横向移动,并首次在攻击中使用了WinRAR来压缩文件并对其进行加密。

https://www.bleepingcomputer.com/news/security/new-memento-ransomware-switches-to-winrar-after-failing-at-encryption/

Emotet卷土重来,通过TrickBot重建其僵尸网络

11月15日,多个研究团队发现了Emotet的新活动。今年年初,由欧洲执法部门组织协调的一项国际执法行动Operation Ladybird控制了Emotet的基础设施并逮捕了两个嫌疑人。而GData称在11月14日晚上9:26左右,发现了用恶意软件Trickbot分发Emotet DLL的活动,该活动旨在利用TrickBot的基础设施重建Emotet僵尸网络。研究人员预测,Emotet的重建可能会导致勒索软件感染活动激增。

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/

俄亥俄州的医院SOMC遭到攻击导致运营暂时中断

美国俄亥俄州南部医疗中心(SOMC)的系统遭到了网络攻击。最开始,该医院的患者称他们被告知其门诊预约因紧急情况而被取消,医院的网站和电话的服务中断。之后,SOMC称其遭到了针对性的攻击导致系统宕机,目前正在与执法部门和安全公司合作,对此事展开调查。此外,该医院的救护车也被转移,但住院治疗未受到影响。

https://www.portsmouth-dailytimes.com/news/69128/somc-suffers-from-cyber-attack

FBI邮件系统遭到入侵发送数十万条虚假的攻击警报

FBI邮件系统在11月13日遭到入侵,被用来发送数十万条虚假的攻击警报。这些邮件冒充国土安全部 (DHS),声称收件人遭到了来自Vinny Troia的链式攻击。但此人是安全公司NightLion和Shadowbyte的负责人,研究人员推断此次活动旨在诋毁安全人员Troia。Spamhaus公司表示,这些邮件都来自FBI执法企业门户(LEEP)的合法地址eims@ic.fbi.gov,IP地址为153.31.119.142(mx-east-ic.fbi.gov)。FBI称由于软件配置错误,使得攻击者可以利用LEEP发送伪造的邮件。

https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html

 

四、漏洞事件

Netgear修复影响多款SOHO设备的CVE-2021-34991

Netgear在近期发布安全补丁,修复影响路由器、调制解调器和WiFi扩展器等多款SOHO设备的缓冲区溢出漏洞。该漏洞追踪为CVE-2021-34991,CVSS评分8.8,存在于设备的通用即插即用(UPnP)守护程序中,局域网(LAN)中的攻击者可以利用该漏洞以root权限远程执行任意代码。该漏洞由GRIMM研究人员发现,他们同时还开发了漏洞的PoC。

https://securityaffairs.co/wordpress/124716/security/netgear-cve-2021-34991-soho-devices.html

Apache ShenYu身份验证绕过漏洞 (CVE-2021-37580) 通告

2021年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞(CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。

https://nvd.nist.gov/vuln/detail/CVE-2021-37580

 


more

手机扫码打开