近日，明朝万达安元实验室发布了2021年第七期《安全通告》。

该份报告收录了今年7月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

◆ GitGuardian发布2021年GitHub上数据泄露的分析报告

自2017年以来，GitGuardian一直在扫描在GitHub上公开提交的每一个Secret，并衡量了公共存储库中数据泄露的情况。至今有超过5000万开发人员使用GitHub，一年内有6000万个新建的存储库，提交次数超过20亿次。报告指出，公共GitHub中数据泄露的数量同比增长了20%，其中15%的泄露来自于组织的公共存储库中，而85%的泄露来自于开发人员的个人存储库中。

 

◆ 黑客在RaidForums出售7亿多条LinkedIn用户的记录

Privacy Sharks研究人员发现名为“GOD User TomLiner”的黑客正在RaidForums上出售LinkedIn用户的数据。

该广告于6月22日发布，声称包含7亿条记录，并公开了100万条样本作为证据。此次泄露的信息包括发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么，但研究人员推测此次数据泄露与4月份出售的5亿条LinkedIn记录可能是同一来源。

 

◆ 美国FINRA警告伪装成FINRA Support的钓鱼攻击活动

FINRA是政府授权的非营利组织，负责监管在美国公开活动的所有交易所市场和证券公司，每天分析数十亿个市场交易。这些邮件声称来自“FINRA SUPPORT”，地址为“support@westour.org”。该邮件要求收件人注意下面所附的报告并立即回复，还指出附件包含更新的公共政策信息，但这些电子邮件可能根本没有附件。早在今年3月和6月初，FINRA还警告了伪造成“FINRA合规审计”和以惩罚为诱饵的两次钓鱼活动。

 

◆ 微软称其遭到SolarWinds攻击背后团伙Nobelium的入侵

Nobelium是俄罗斯国家资助的黑客组织，与SolarWinds供应链攻击有关，微软表示该黑客组织一直在进行密码喷洒攻击和暴力攻击，以获取对公司网络的访问权限。通过调查，微软在其客户支持代理的计算机上检测到一个信息窃取木马，窃取了部分客户的个人信息，而Nobelium将使用这些信息对微软的客户进行有针对性的网络钓鱼攻击。

 

◆ 微软发布安全更新，修复Edge浏览器中的多个漏洞

微软发布安全更新，修复了Edge浏览器中的2个漏洞。其中较为严重的是安全绕过漏洞（CVE-2021-34506），使用Edge浏览器内置的Microsoft Translator功能自动翻译网页时触发的跨站点脚本(UXSS)漏洞导致的，可以用来在网站上远程执行任意代码。研究人员称该漏洞的复杂性很低，攻击者可以在不需要任何权限的情况下实现。此次修复的另一个漏洞为特权提升漏洞（CVE-2021-34475）。

 

◆ 美国保险公司AJG称其遭到勒索软件攻击，客户信息泄露

美国Arthur J. Gallagher (AJG) 称其遭到勒索软件攻击，客户信息泄露。

AJG是美国的全球保险经纪和风险管理公司，作为全球最大的保险经纪商之一，业务遍及49个国家/地区。攻击发生在2020年6月3日至2020年9月26日期间，其在2020年9月28日披露该事件并称没有数据泄露。但在随后的调查发现，7376人的敏感信息泄露，包括社会安全号码或税号、驾照、护照、出生日期、用户名和密码、员工识别号、财务账户或信用卡信息、电子签名、医疗信息、保险信息以及生物识别信息等。

 

◆ Mint Mobile称其发生数据泄露，且部分客户被转网

Mint Mobile称近期发生数据泄露事件，且部分客户被转到另一家运营商的网络下。攻击发生在6月8日至10日之间，有未经授权的攻击者访问了Mint Mobile用户的信息，包括通话记录、姓名、地址、账单金额、国际电话详细信息信息、电子邮件和密码等。早在1月份，USCellular也经历了一次类似的攻击，攻击者诱使运营商员工下载可以远程访问公司设备的软件，然后通过客户关系管理 (CRM) 软件访问用户的个人信息并转网。

 

◆ ZeroX团伙在暗网出售石油公司沙特阿美1TB的数据

本月，一个名为ZeroX的黑客团伙在暗网以500万美元的价格出售沙特阿美公司1TB的数据。

沙特阿拉伯石油公司简称沙特阿美（Saudi Aramco），是世界上最大的公共石油和天然气公司之一，拥有超过66000名员工，年收入近2300亿美元。ZeroX称这些数据是在2020年通过入侵沙特阿美的网络及服务器获得的，其中最早的可追溯到1993年。此次泄露的数据包括14254名员工的完整信息、各种系统的项目规范；内部分析报告、协议、信函、定价表；Scada点、Wi-Fi、IP摄像机和IoT设备的网络布局；Aramco客户名单、发票和合同等。

 

网络安全最新漏洞追踪

◆ Windows Print Spooler远程代码执行0day漏洞预警 （CVE-2021-34527）

近日，微软官方发布Windows Print Spooler远程代码执行0day漏洞（CVE-2021-34527）安全公告，代号PrintNightmare，该漏洞与6月份官方披露的Windows Print Spooler远程代码执行漏洞（CVE-2021-1675）类似但不完全相同。攻击者利用漏洞可绕过RpcAddPrinterDriverEx的安全验证，并在打印服务器中安装恶意的驱动程序，如果攻击者所控制的用户在域中，则攻击者可以连接到DC中的Spooler服务，并利用该漏洞在DC中安装恶意的驱动程序，完全的控制整个域环境。目前Exp已扩散，风险较高。

Windows Print Spooler是Windows的打印机后台处理程序，广泛运用于各种内网中。华为云提醒使用Windows Print Spooler的用户及时安排自检并做好安全加固以降低安全风险。

威胁级别：严重

（说明：威胁级别共四级：一般、重要、严重、紧急）

影响版本：

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

安全建议：

1、微软官方已发布修复补丁，受影响用户可通过官方发布的补丁进行修复，补丁下载地址：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

2、若无法及时安装补丁，可通过以下官方提供的方法进行排查和缓解：

检查Print Spooler 服务是否运行（以域管理员身份运行）

Get-Service -Name Spooler

如果Print Spooler服务正在运行或者未被禁用，可选择以下方法进行操作（二选一）：

方法1、禁用Print Spooler 服务，在powershell中运行如下命令

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

方法2、通过配置组策略禁用入站远程打印。

在组策略编辑器（gpedit.msc）中依次找到管理模板--->打印机，将“允许打印后台处理程序接受客户端连接”设置为禁用。

为确保数据安全，建议重要业务数据进行异地备份。

注：修复漏洞前请将资料备份，并进行充分测试。

 

◆ Kaseya VSA 远程代码执行漏洞预警 （CVE-2021-30116）

近日，华为云关注到Kaseya官方发布安全公告，披露Kaseya VSA 远程代码执行漏洞（CVE-2021-30116）。远程攻击者利用该漏洞可实现SQL注入、VSA身份验证绕过、恶意文件上传，最终达到无需身份验证即可控制VSA管理端。根据Kaseya官方的披露，目前已经有REvil等恶意软件正在利用VSA漏洞进行勒索攻击。

Kaseya VSA是一款企业用于集中IT管理的软件。华为云提醒使用Kaseya VSA的用户及时安排自检并做好安全加固以降低安全风险。

参考链接：

https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

威胁级别：严重

影响版本：

Kaseya VSA 全版本

安全建议

目前官方暂未发布补丁修改该漏洞，受影响的用户可参考以下步骤进行缓解：

1、断开本地VSA服务器的网络连接，并保持设备的离线。

2、使用官方提供的Kaseya VSA 检测工具，对VSA受控的下属设备进行检测，下载链接：https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

注：修复漏洞前请将资料备份，并进行充分测试。

 

◆ YAPI远程代码执行漏洞预警

近日，华为云安全运营中心监测到多起外部攻击者利用YAPI远程代码执行漏洞进行攻击入侵的事件，并且有上升趋势。漏洞由于YAPI使用的mock脚本自定义服务未对JS脚本进行过滤，导致攻击者可以在脚本中注入恶意命令，实现远程代码执行。目前业界已存在在野攻击利用，风险较高。

YAPI 是高效、易用、功能强大的api 管理平台。华为云提醒使用YAPI的用户尽快安排自检并做好安全加固以降低安全风险。

参考链接：https://github.com/YMFE/yapi/issues/2233

威胁级别：严重

影响版本：

YAPI所有版本

安全建议

目前官方暂未发布补丁修改该漏洞，受影响的用户可参考以下措施进行缓解：

1.华为云WAF可以防御该漏洞攻击。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

2.关闭 YAPI 用户注册功能，参考：如何禁止注册；

3.检查、删除已注册的恶意用户；

4.检查、删除恶意mock脚本；

5.服务器回滚快照；

6.如无必要，禁止将 YAPI服务器对外网开放访问或仅对可信IP开放。

注：修复漏洞前请将资料备份，并进行充分测试。

 

◆ 微软7月份月度安全漏洞预警

近日，微软发布2021年7月份安全补丁更新，共披露了117个安全漏洞，其中13个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Windows Server 、Defender、Exchange等组件。华为云提醒用户及时安排自检并做好安全加固以降低安全风险。

微软官方说明：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul

本月用户需关注已出现在野攻击利用的4个0day漏洞，及时升级补丁避免遭受攻击：

CVE-2021-34527 - Windows Print Spooler 远程代码执行漏洞

CVE-2021-33771- Windows 内核提权漏洞

CVE-2021-34448-脚本引擎内存损坏漏洞

CVE-2021-31979- Windows 内核提权漏洞

漏洞级别：严重

影响范围：

Microsoft Windows、Windows Server 、Defender、Exchange等产品。 

· 重要漏洞说明详情

 

安全建议

1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：

https://msrc.microsoft.com/update-guide

2、为确保数据安全，建议重要业务数据进行异地备份。

注意：修复漏洞前请将资料备份，并进行充分测试。

 

◆ Oracle WebLogic远程代码执行漏洞预警

近日，华为云关注到Oracle官方发布了2021年第三季度安全补丁更新公告，披露了多款旗下产品的安全漏洞，其中包括7个Weblogic相关漏洞（CVE-2021-2394,CVE-2021-2397,CVE-2021-2382,CVE-2021-2378,CVE-2021-2376,CVE-2015-0254,CVE-2021-2403），其中CVE-2021-2394,CVE-2021-2397,CVE-2021-2382高危漏洞和IIOP、T3协议有关，攻击者通过发送构造恶意的请求可实现远程代码执行。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接：Oracle Critical Patch Update Advisory - July 2021

本次Oracle季度安全更新共涉及342个安全漏洞，除Oracle Weblogic外，还包括Oracle WebCenter Portal、Oracle BI Publisher 、Oracle Data Integrator等产品，具体漏洞信息请参考官方链接。

漏洞级别：严重

· Weblogic漏洞说明详情

 

漏洞影响范围

Oracle Weblogic、Oracle WebCenter Portal、Oracle BI Publisher 、 Oracle Data Integrator等产品。

安全建议

官方已发布安全补丁更新，需用户持有正版软件的许可账号，登陆https://support.oracle.com后，下载最新补丁。

若无法及时更新的用户，可根据Oracle官方提供的修复建议通过取消攻击所需的网络协议或权限进行缓解。

Weblogic高危漏洞（CVE-2021-2394、CVE-2021-2397、CVE-2021-2382）可通过禁用T3、IIOP协议来对漏洞进行缓解。

注意：修复漏洞前请将资料备份，并进行充分测试。

 

◆ Jira Data Center等多个产品远程代码执行漏洞预警（CVE-2020-36239）

近日，华为云关注到Atlassian官方发布安全公告，披露旗下Jira Data Center、Jira Service Management Data Center等多个产品存在远程代码执行漏洞（CVE-2020-36239）。这些产品在40001等默认端口开放了Ehcache RMI 网络服务，由于缺少身份验证，攻击者可以通过反序列化在Jira中实现任意代码执行。

Jira是一个缺陷跟踪管理系统，为针对缺陷管理、任务追踪和项目管理的商业性应用软件。华为云提醒使用Jira的用户及时安排自检并做好安全加固。

参考链接：Jira Data Center And Jira Service Management Data Center Security Advisory 2021-07-21

威胁级别：严重

影响版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center- ranges

6.3.0 <= version < 8.5.16

8.6.0 <= version < 8.13.8

8.14.0 <= version < 8.17.0

Jira Service Management Data Center – ranges

2.0.2 <= version < 4.5.16

4.6.0 <= version < 4.13.8

4.14.0 <= version < 4.17.0

安全版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center

Version 8.5.16 for 8.5.x LTS

Version 8.13.8 for 8.13.x LTS

Version 8.17.0

Jira Service Management Data Center

Version 4.5.16 for 4.5.x LTS

Version 4.13.8 for 4.13.x LTS

Version 4.17.0

安全建议

1、目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本。

2、无法及时升级的用户可根据Atlassian官方提供的建议，通过防火墙或类似的技术限制对Ehcache RMI服务端口的访问。

注：修复漏洞前请将资料备份，并进行充分测试