AG公司科技威胁情报周报（2020.09.14-2020.09.20）

2020-09-22

一、威胁通告

l PAN-OS远程代码执行误差通告（CVE-2020-2040）

【宣布时间】2020-09-14 12:00:00 GMT

【概述】

克日，AG公司科技监测到 PaloAltoNetworks（PAN）宣布清静通告，披露了一个编号为 CVE -2020-2040的严重误差，CVSS评分为9.8。该误差是PAN-OS上的一个缓冲区溢出误差，当启用了强制门户或设置了多重身份验证（MFA）时，未经身份验证的攻击者可通过向 CaptivePor tal 或 Multi-FactorAuthentication 接口发送恶意请求举行使用，可能导致系统历程中止，并允许使用root特权在PAN-OS装备上执行恣意代码。此误差使用难度低，且无需用户交互，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

l Netlogon特权提升误差处置惩罚手册（CVE-2020-1472）

【宣布时间】2020-09-17 11:00:00 GMT

【概述】

克日，AG公司科技监测到外洋清静公司Secura果真了NetLogon特权提升误差（CVE-2020-1472）的详细信息与验证剧本，导致误差危害蓦地提升。攻击者需在与目的相同的局域网（LAN）上的盘算机举行使用，未经身份验证的攻击者通过NetLogon远程协议（MS-NRPC）建设与域控制器毗连的清静通道时，可使用此误差获取域治理员会见权限。此误差为微软在8月补丁更新时披露，CVSS 评分为10，影响普遍，现在网上已有 EXP宣布，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

l Microsoft Exchange Server远程代码执行误差通告（CVE-2020-16875）

【宣布时间】2020-09-17 11:00:00 GMT

【概述】

克日，AG公司科技监测到网上有清静职员果真了 ExchangeServer 远程代码执行误差（CVE-2020-16875）的使用程序，此误差为微软在9月的清静更新补丁中披露；Microsoft Exchange在Internet Explorer处置惩罚内存中的工具时保存该误差。使用此误差需要具有以某个 Exchange 角色举行身份验证的用户权限，攻击者可通过向受影响的Exchange服务器发送包括特殊的cmdlet参数的邮件来触发此误差，乐成使用此误差的攻击者可在受影响的系统上以system权限执行恣意代码。请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

l IBM Spectrum Protect Plus目录遍历与恣意代码执行误差通告（CVE-2020-4711、CVE-2020-4703）

【宣布时间】2020-09-17 11:00:00 GMT

【概述】

AG公司科技监测到IBM官方宣布清静通告，修复了SpectrumProtectPlus的治理控制台中保存的目录遍历误差（CVE-2020-4711）与恣意代码执行误差（CVE-2020-4703）。CVE-2020-4711是SpectrumProtectPlus的剧本/opt/ECX/tools/scripts/restore_wrapper.sh中的目录遍历误差，未经身份验证的攻击者可通过发送特制的HTTP请求审查系统上的恣意文件。CVE2020-4703允许经由身份验证的攻击者上载恣意文件，从而在易受攻击的服务器上执行恣意代码，此误差是由于6 月份披露的CVE-2020-4470修复不完整所造成的。现在PoC已果真，请相关用户接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. APT组织的下一个目的：Linux

【概述】

在已往的8年里，卡巴斯基全球研究与剖析团队视察到，越来越多的APT组织最先针对运行Linux软件的装备。APT组织之以是将目的瞄准Linux，要害因素是容器化趋势推动了Linux的普遍接纳。向虚拟化和容器化的转变使得大大都企业在某些一样平常使命中都使用Linux，而这些装备通�？梢源覫nternet会见，并且可以用作攻击者的初始入口点。别的，一些IT、电信公司和政府使用的Linux和macOS装备比Windows系统更多，这让攻击者别无选择。

【参考链接】

https://www.freebuf.com/news/249640.html

2. 结交网站用户的数据被泄露

【概述】

近期，数百名约会网站用户的小我私家详细信息在网上曝光。包括成千上万约会网站用户小我私家详细信息的Elasticsearch服务器未经身份验证就在线袒露。

【参考链接】

https://securityaffairs.co/wordpress/108239/data-breach/dating-site-data-leak.html

3. Malàsmoke盯上寓目不法网站的你

【概述】

已往的几个月，一个名为Malàsmoke的网络犯法组织，一直在攻击不法网站。该组织在成人主题网站上宣布恶意广告，以抵达重定向用户来使用工具包并分发恶意软件的目的。

【参考链接】

https://www.freebuf.com/news/249623.html

4. SunCrypt勒索软件袭击新泽西医院

【概述】

新泽西大学医院（UHNJ）显然是SunCrypt勒索软件的最新受害者。 SunCrypt的运营商声称已获得240GB的数据，其中1.79GB已上传到其Darknet走漏站点。

【参考链接】

https://www.binarydefense.com/threat_watch/suncrypt-ransomware-hits-new-jersey-hospital/

5. 威胁剖析：新泛起的URSA特洛伊木马影响许多国家使用先进的加载程序

【概述】

自2020年6月以来，新一轮的URSA木马（ESET的衍生产品，也被称为mispadu恶意软件）影响了来自多个国家的用户。该恶意软件是一种特洛伊木马恶意软件，当装置在受害者的装备上时，它会从浏览器以及盛行的软件（例如FTP和电子邮件服务）中网络密码，并执行银行浏览器笼罩，以诱使受害者在执行流程时引入银行凭证–分步举行–在犯法分子的后台。

【参考链接】

https://seguranca-informatica.pt/threat-analysis-the-emergent-ursa-trojan-impacts-many-countries-using-a-sophisticated-loader/

6. 美国对伊朗APT集团实验制裁

【概述】

周四，美国财务部外国资产控制办公室对伊朗高级一连威胁组织的恶意软件运动实验制裁，涉及到45名相关小我私家和伊朗政府用于针对伊朗持差别政见者，新闻事情者等。

【参考链接】

https://www.inforisktoday.com/us-imposes-sanctions-on-iranian-apt-group-a-15016

7. Dofloo（AESDDoS）僵尸网络正批量扫描、攻击Docker容器

【概述】

Dofloo（AESDDoS）僵尸网络正批量扫描和攻击Docker容器。部分云主机上安排的Docker容器没有针对远程会见做清静认证，保存Remote API允许未授权使用误差且袒露在公网，导致黑客通过误差入侵并植入Dofloo僵尸网络木马。

【参考链接】

https://s.tencent.com//research/report/1127.html

8. 不但是高等教育：网络犯法分子针对全球的学术和研究机构

【概述】

近几个月来，在美国，欧洲和亚洲，针对教育和研究领域的攻击数目有所增添。美国眼见了DDOS攻击的增添，而欧洲的信息泄露实验也有所增添。与此同时，亚洲面临着更多的误差使用。

【参考链接】

https://blog.checkpoint.com//blog.checkpoint.com/2020/09/15/not-for-higher-education-cybercriminals-target-academic-research-institutions-across-the-world/

<<上一篇

【清静通告】Yii2 反序列化远程下令执行误差 (CVE-2020-15148) 防护计划

>>下一篇

【清静通告】Linux内核权限提升误差（CVE-2020-14386）通告