近日，明朝万达安元实验室发布了2021年第二期《安全通告》，该份报告收录了今年2月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻 

2021/02

巴西最大电力公司遭遇勒索袭击
日期: 2021年02月05日
等级: 高
行业: 电力、热力、燃气及水生产和供应业

巴西两大电力公司CentraisEletricasBrasileiras（Eletrobras）和CompanyhiaParanaensedeEnergia（Copel）遭受勒索软件攻击。勒索团队声称窃取了超过1000GB的数据，包括敏感的基础设施访问信息以及高层管理人员和客户的个人详细信息、网络地图、备份方案和时间表、Copel主站点的域区域和intranet域。他们还声称获取了存储ActiveDirectory（AD）数据的数据库-NTDS.dit文件，其中包含有关域中所有用户的用户对象、组、组成员身份和密码哈希的信息。

新的Trickbot模块使用Masscan进行本地网络侦察
日期: 2021年02月01日
等级: 高
行业: 跨行业事件

安全人员发现了一个新的Trickbot恶意软件的组件，主要功能为执行本地网络侦察。该组件名为masrv，它包含了Masscan开源实用程序的一个副本，masrv将组件放到新感染的设备上，发送一系列Masscan命令，让组件扫描本地网络，并将扫描结果上传到Trickbot命令和控制服务器。如果扫描发现内部网络中有敏感或管理端口未关闭的系统（这在大多数公司中非常常见），则Trickbot团伙可以部署专门利用这些漏洞的其他模块，并横向移动以感染新系统。

勒索软件滥用VMWare ESXi漏洞来加密虚拟硬盘
日期: 2021年02月02日
等级: 高
行业: 跨行业事件
勒索软件团伙正在滥用VMWareESXi产品中的漏洞，接管部署在企业环境中的虚拟机并加密其虚拟硬盘驱动器。攻击者使用了VMwareESXi中的两个漏洞CVE-2019-5544和CVE-2020-3992。如果公司依赖VMWareESXi来管理其虚拟机使用的存储空间，请务必安装必要的ESXi修补程序，或者禁用SLP支持以防止攻击（如果不需要该协议）。
涉及漏洞
– CVE-2019-5544

– CVE-2020-3992

超十个Chrome扩展程序劫持了数百万人的Google搜索结果
日期: 2021年02月03日
等级: 高
行业: 跨行业事件
涉及组织: google
Chrome和Edge浏览器恶意扩展劫持了搜索结果的页面，并将其用作钓鱼网站和广告。恶意扩展包括：
VideoDownloaderforFacebook,VimeoVideoDownloader,InstagramStoryDownloader,VKUnblock。

谷歌和微软已经关闭了所有后门浏览器加载项，以防止更多用户从官方商店下载这些加载项。根据该公司收集的遥测数据，感染率最高的三个国家是巴西、乌克兰和法国，其次是阿根廷、西班牙、俄罗斯和美国。

新的恶意软件劫持Kubernetes集群来挖掘Monero
日期: 2021年02月03日
等级: 高
行业: 跨行业事件
涉及组织: docker, Kubernetes
研究人员发现Hildegard的恶意软件被TeamTNT威胁组织用来攻击Kubernetes集群。攻击者首先通过对配置错误的kubelet进行远程代码执行攻击，来获得初始访问权限，之后，攻击者下载并运行一个tmate，以便建立一个反向shell。然后，攻击者使用masscanInternet端口扫描仪扫描Kubernetes的内部网络，并找到其他不安全的Kuberets，并部署一个恶意的加密挖掘脚本(xmr.sh)。
攻击方式

– Hijack Execution Flow

相关安全建议
1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本
4. 各主机安装EDR产品，及时检测威胁

5. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

安全公司Stormshield源代码被盗
日期: 2021年02月04日
等级: 高
行业: 信息传输、软件和信息技术服务业
涉及组织: Stormshield

法国网络安全公司Stormshield是法国政府安全服务和网络安全设备的主要供应商。该公司表示，一名黑客进入其一个客户支持门户网站，窃取了客户的信息。该公司还报告说，攻击者成功窃取了Stormshield网络安全（SNS）防火墙的部分源代码，该产品经认证用于法国政府网络。

恶意软件kobalos针对高性能计算（HPC）集群
日期: 2021年02月02日
等级: 高
行业: 跨行业事件
ESET研究人员分析了针对高性能计算（HPC）集群的恶意软件，该恶意软件可移植到许多操作系统（包括Linux，BSD，Solaris，甚至可能是AIX和Windows）中。该恶意程序通过使用特定TCP源端口，连接到SSH服务器，来远程确定系统是否可以攻击。因为它的代码量很小且有许多技巧，将其命名为Kobalos。
攻击方式
– Compromise Client Software Binary
– Traffic Signaling
– Indicator Removal on Host
– Encrypted Channel

– Proxy

Plex媒体服务器可被用于放大DDoS威胁
日期: 2021年02月06日
等级: 高
行业: 信息传输、软件和信息技术服务业
涉及组织: Plex
PlexMedia应用程序与Windows、Linux和macOS操作系统配合使用，通常允许用户与其他设备共享视频和其他媒体。NetScout的研究人员认为，攻击者正在滥用Plex媒体服务器应用程序的某些版本来加强和放大各种DDoS攻击，大约27000台Plex媒体服务器容易受到DDOS攻击。
相关安全建议
1. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

4. 如果允许，暂时关闭攻击影响的相关业务，积极对相关系统进行安全维护和更新，将损失降到最小

保险商实验室（UL）认证巨头遭勒索
日期: 2021年02月19日
等级: 高
行业: 科学研究和技术服务业
涉及组织: UL LLC

保险商实验室（ULLLC）遭到勒索软件攻击，黑客对其服务器进行加密，并导致服务器宕机。UL是美国最大、历史最悠久的安全认证公司，在40多个国家拥有14000名员工和办事处。UL标志遍布在各电器、笔记本电脑、电视遥控器、灯泡，甚至你的苹果USB充电器的背面。据消息人士称，UL决定不支付赎金，而是从备份中恢复系统。

安卓应用程序的安全漏洞未修补，下载量达10亿次
日期: 2021年02月16日
等级: 高
行业: 信息传输、软件和信息技术服务业
涉及组织: google

一个下载超过10亿次的Android应用程序–SHAREit，包含未修补的漏洞。SHAREit是一款允许用户与朋友或个人设备之间共享文件的移动应用程序。攻击者通过中间人网络攻击，可以向SHAREit应用程序发送恶意命令，并劫持其合法功能来运行自定义代码、覆盖应用程序的本地文件，或者在用户不知情的情况下安装第三方应用程序。

相关安全建议
在网络边界部署安全设备，如防火墙、IDS、邮件网关等
条件允许的情况下，设置主机访问白名单
及时对系统及各个服务组件进行版本升级和补丁更新
包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本
如果不慎勒索中招，务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
及时备份数据并确保数据安全

各主机安装EDR产品，及时检测威胁

新加坡电信公司遭遇信息泄露
日期: 2021年02月17日
等级: 高
行业: 信息传输、软件和信息技术服务业
涉及组织: Singtel

新加坡电信公司Singtel证实，12.9万名客户的个人数据被泄露，其中包括他们的身份证号码以及其他一些数据，包括姓名、出生日期、手机号码和实际地址。28名前Singtel员工的银行账户信息和一家使用Singtel移动电话的企业客户的45名员工的信用卡信息也被泄露。此外，包括供应商、合作伙伴和企业客户在内的23家企业的“部分信息”也遭到泄露。

错误配置的婴儿监视器泄露在线视频流
日期: 2021年02月17日
等级: 高
行业: 制造业

SafetyDetections网络安全团队调查显示，婴儿监视器存在一个漏洞，这是由于其配置错误，可能会导致攻击者未经授权访问摄像头的视频流。同时，不仅是婴儿监视器，其它使用RTSP的摄像机（如CCTV摄像机）已受此影响。这使攻击者能够接触到他们孩子、卧室的实时影像。

网络安全最新漏洞追踪

2021/02

Apache Druid 远程代码执行漏洞
漏洞描述
Apache Druid 是用Java编写的面向列的开源分布式数据存储，旨在快速获取大量事件数据，并在数据之上提供低延迟查询。近日，Apache Druid官方发布安全更新，修复了CVE-2021-25646 Apache Druid 远程代码执行漏洞。
漏洞评级
CVE-2021-25646 高危
影响版本
Apache Druid < 0.20.1
安全版本
Apache Druid 0.20.1
安全建议

升级至安全版本及其以上。

SolarWinds产品高危漏洞
漏洞描述
SolarWinds Inc. 是一家美国公司，为企业提软件以帮助管理其网络，系统和信息技术基础架构。近日，国外安全研究团队披露SolarWinds多款产品存在高危漏洞。
CVE-2021-25274 SolarWinds Orion远程代码执行漏洞中，远程攻击者可在无需认证的情况下通过TCP 1801端口将恶意请求发送进入MSMQ消息队列，触发反序列化，造成远程代码执行。
CVE-2021-25275 SolarWinds Orion敏感信息泄漏漏洞中，本地攻击者可在无需特权的情况下直接访问并控制SolarWinds Orion后端数据库SOLARWINDS_ORION，导致敏感信息泄漏等。
CVE-2021-25276 SolarWinds Serv-U FTP （Windows）权限设置不当漏洞中，任何经过FTP认证的用户将具备对C盘的完全控制权限，可以读取、替换其中的任意文件。
漏洞描述
CVE-2021-25275 高危
CVE-2021-25276 中危
CVE-2021-25276 中危
影响版本
SolarWinds Orion < 2020.2.4
SolarWinds ServU-FTP < 15.2.2 Hotfix 1
安全版本
SolarWinds Orion Platform 2020.2.4
SolarWinds ServU-FTP 15.2.2 Hotfix 1
安全建议
1. 将 SolarWinds 相关软件升级至安全版本。

2. SolarWinds 为商业软件，可联系 swisupport#solarwinds.com 以获取进一步支持

SonicWall SSL-VPN Secure Mobile Access SQL注入漏洞
漏洞描述
SonicWall SSL-VPN 是SonicWall公司旗下的VPN软件。攻击者可构造恶意请求，利用SQL注入漏洞获取当前SonicWall SSL-VPN 登录的Session，从而登录进入VPN。
漏洞评级
CVE-2021-20016 高危
影响版本
Sonic SMA < 10.2.0.5-d-29sv
安全版本
Sonic SMA 10.2.0.5-d-29sv
安全建议

升级到最新版本

微软高危漏洞
漏洞描述
微软官方于2021年2月10日发布安全更新，其中修复了多个高危严重漏洞。在CVE-2021-24074 TCP/IP远程执行代码漏洞中，攻击者通过构造并发送恶意的IPv4数据包，从而控制目标主机。在 CVE-2021-24078 Windows DNS Server远程代码执行漏洞中，攻击者通过构造并发送恶意的DNS请求，可以在开启了DNS服务的Windows Server上执行任意代码。同时微软2月补丁中还涉及其他多个高危漏洞。
漏洞评级
CVE-2021-24074 严重
CVE-2021-24078 严重
影响版本
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server, version 20H2 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
安全建议

前往微软官方下载相应补丁进行更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647

VMware vCenter Server远程代码执行
漏洞描述
VMware是一家云基础架构和移动商务解决方案厂商，提供基于VMware的虚拟化解决方案。2021年2月24日，VMware 官方发布安全公告，披露了多个高危严重漏洞：
在 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 中，攻击者可直接通过443端口构造恶意请求，执行任意代码，控制vCenter。
在 CVE-2021-21974 VMware ESXI 堆溢出漏洞 中，攻击者可通过427端口构造恶意请求，触发OpenSLP服务中的堆溢出漏洞，并可能导致远程代码执行。
在 CVE-2021-21973 VMware vCenter Server SSRF漏洞 中，攻击者可通过443端口发送恶意POST请求，发起内网扫描，造成SSRF漏洞。
漏洞评级
CVE-2021-21972 VMware vCenter Server 远程代码漏洞 严重
CVE-2021-21974 VMware ESXI 堆溢出漏洞 高危
CVE-2021-21973 VMware vCenter Server SSRF漏洞 中危
影响版本
VMware vCenter Server 7.0系列 < 7.0.U1c
VMware vCenter Server 6.7系列 < 6.7.U3l
VMware vCenter Server 6.5系列 < 6.5 U3n
VMware ESXi 7.0系列 < ESXi70U1c-17325551
VMware ESXi 6.7系列 < ESXi670-202102401-SG
VMware ESXi 6.5系列 < ESXi650-202102101-SG
安全版本
VMware vCenter Server 7.0.U1c
VMware vCenter Server 6.7.U3l
VMware vCenter Server 6.5 U3n
VMware ESXi ESXi70U1c-17325551
VMware ESXi ESXi670-202102401-SG
VMware ESXi ESXi650-202102101-SG
安全建议
1、升级VMware vCenter Server 与 VMware ESXi 至最新版本。
2、针对 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 与 CVE-2021-21973 VMware vCenter Server SSRF漏洞，可按照 https://kb.vmware.com/s/article/82374 相关措施进行缓解。

3、针对 CVE-2021-21974 VMware ESXI 堆溢出漏洞，可按照 https://kb.vmware.com/s/article/76372 相关措施进行缓解。

SaltStack多个高危漏洞
漏洞描述
SaltStack是基于Python开发的一套C/S架构配置管理工具。2021年2月26日，SaltStack官方发布安全更新，修复了多个高危漏洞，其中：
在 CVE-2021-25283 SaltAPI 模板注入漏洞中，由于 wheel.pillar_roots.write 存在目录遍历，攻击者可构造恶意请求，造成jinja模板注入，执行任意代码。
在 CVE-2021-25281 SaltAPI wheel_async未授权访问漏洞中，攻击者可构造恶意请求，通过wheel_async调用master的wheel插件。
在 CVE-2021-3197 SaltAPI SSH 命令注入中，由于Salt-API SSH 客户端过滤不严，攻击者可通过ProxyCommand等参数造成命令执行。
漏洞评级
CVE-2021-25283 高危
CVE-2021-25281 高危
CVE-2021-3197 高危
影响版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
安全版本
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
安全建议
1. 升级至安全版本及其以上，升级前建议做好快照备份措施。安全版本下载地址参考：https://repo.saltstack.com
2. 设置SaltStack为自动更新，及时获取相应补丁。