近日,明朝万达安元实验室发布了2021年第一期《安全通告》,该份报告收录了今年1月最新的网络安全前沿新闻和漏洞追踪信息,重点有以下内容:
T-Mobile 证实黑客非法访问了用户数据
近日,美国第三大手机运营商T-Mobile在其网站上发布了一份通知。它称,最近发现一些客户的账号信息遭到了未经授权的访问,其中包括T-Mobile为提供手机服务而收集的客户数据。
这些数据被称为客户专有网络信息(CPNI),包括通话记录,如通话时长、何时通话、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。
不过该公司表示,黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码。目前,T-Mobile正在通知受影响的用户。
近日,一种新发现的基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上大规模地运行XMRig挖矿机。安全研究人员透露,这个恶意软件还具有蠕虫功能,可以通过用弱密码强行传播到其他系统。
自发现该蠕虫以来,攻击者持续更新C2服务器上的蠕虫,表明恶意软件开发者非常活跃,而且在未来的更新中可能会攻击其他弱配置的服务。
要防御这种新型蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有互联网服务上使用难以猜测的密码,并且尽可能使用双因素认证。
据外媒报道,在对 SolarWinds 事件的深入调查中,微软发现部分内部账号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定其真实性。
一位安全研究人员报道了这一消息,他称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们有可能是为了混淆视听,并非真正拥有这些源代码访问权限。
微软证实,黑客只能够查看,但不能改变产品的源代码,目前没有证据表明这一事件将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。
日本游戏开发商Capcom针对其数据泄露事件更新了调查结果,并指出,目前有390,000人可能会受到11月勒索病毒攻击事件的影响。
11月2日,Capcom遭到Ragnar Locker勒索软件团伙的网络攻击,后者表示从Capcom窃取了1TB数据, 并索要价值1100万美元的比特币作为赎金。在勒索软件团伙泄露了部分失窃数据后不久, Capcom公开披露其遭受了数据泄露,其中泄露了9种类型的个人信息。
根据最新调查结果,Capcom已经确认有16,415人的信息被泄露,受影响的客户及合作伙伴总人数可能达到390,000。对于用户更安全的做法是,无论是否有迹象表明密码泄露,都应更改Capcom密码。若在其他网站使用过相同账户和密码,也需更改密码。
网络安全最新漏洞追踪
· 漏洞描述
Dnsmasq提供DNS缓存和DHCP服务功能。作为域名解析服务器(DNS)。Dnsmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度。国外研究团队JSOF发布了DNSpooq风险通告,披露了存在于dnsmasq软件中的多个漏洞,其中包括CVE-2020-25681远程代码执行漏洞和CVE-2020-25682远程代码执行漏洞。攻击者利用该批漏洞,可造成域名劫持、流量劫持、拒绝服务等,在启用DNSSEC的情况下甚至导致远程代码执行。阿里云应急响应中心提醒 Dnsmasq用户尽快采取安全措施阻止漏洞攻击。
· 漏洞评级CVE-2020-25682 远程代码执行 高危
CVE-2020-25681 远程代码执行 高危
CVE-2020-25683 拒绝服务 中危
CVE-2020-25687 拒绝服务 中危
CVE-2020-25684 拒绝服务 中危
CVE-2020-25685 DNS投毒 低危
CVE-2020-25686 DNS投毒 低危
· 影响版本dnsmsaq < 2.83
· 安全版本
dnsmsaq >= 2.83
· 安全建议1.根据发行版包管理器及时安装升级并重启dnsmasq。
2.禁止从外部网络访问dsnmasq
3.设置--dns-forward-max=参数为小于 150 的值
4.在无需DNSSEC功能的情况下可临时禁用 DNSSEC 功能。
5. 可以通过启用一些DNS安全传输的策略(DNS Over TLS, DoH, DoT)
Oracle 1月关键补丁严重漏洞
CVE-2021-2109 Weblogic Server远程代码执行漏洞,等级:高危
以及蚂蚁安全非攻实验室发现的两个严重漏洞:
CVE-2020-14756 jep290绕过导致远程代码执行漏洞,等级:严重
CVE-2021-2075 Derby privileges权限代码执行漏洞,等级:严重
· 漏洞描述2021年1月20日,Oracle官方发布了漏洞补丁,修了包括CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。阿里云应急响应中心提醒 Weblogic用户尽快采取安全措施阻止漏洞攻击。
· 漏洞评级CVE-2020-14756:严重
CVE-2021-2075:严重
CVE-2021-1994:严重
CVE-2021-2047:严重
CVE-2021-2064:严重
CVE-2021-2108:严重
CVE-2021-2109:高危
CVE-2021-1995:高危
CVE-2021-2109:高危
· 漏洞证明
CVE-2021-2109
· 影响版本
WebLogic 10.3.6.0.0WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
· 安全建议一、禁用T3协议如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响
1.进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。
二、禁止启用IIOP
登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效
三、临时关闭后台/console/console.portal对外访问
四、升级官方安全补丁
Microsoft Defender远程代码执行漏洞(CVE-2021-1647)
· 漏洞描述
微软官方于2021年1月13日发布安全更新,其中修复了一个Microsoft Defender远程代码执行漏洞(CVE-2021-1647),攻击者需要通过构造恶意的PE文件,通过钓鱼邮件链接等方式使受害者获取到该恶意文件,从而触发Microsoft Defender自动对该文件进行解析,最终造成远程代码执行。阿里云应急响应中心提醒 Windows用户尽快安装补丁阻止漏洞攻击。
· 漏洞评级CVE-2021-1647 高危
· 影响版本
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
· 安全建议
前往微软官方下载相应补丁进行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647
致远OA ajaxAction 文件上传漏洞
· 漏洞描述
致远OA是一套办公协同软件。近日,阿里云应急响应中心监控到致远OA ajaxAction 文件上传漏洞利用代码披露。由于致远OA旧版本某些ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。致远OA官方已针对该漏洞提供补丁,该漏洞利用代码已在互联网上公开流传。阿里云应急响应中心提醒致远OA用户尽快采取安全措施阻止漏洞攻击。
· 漏洞证明
利用致远OA ajaxAction 文件上传漏洞:
访问上传的恶意脚本:
致远OA V8.0、V8.0SP1
致远OA V7.1、V7.1SP1
· 安全版本
致远OA 各系列最新版本
· 安全建议
致远OA为商业软件,建议联系官方以获取最新相关补丁,以及升级至最新版本。
