【威胁通告】AG公司科技威胁情报周报（2021.3.15-3.21）

2021-03-22

一、威胁通告

Apache Solr恣意文件读取与SSRF误差

【宣布时间】2021-03-18 16:00:00 GMT

【概述】

克日，AG公司科技监测到网上披露了 ApacheSolr 的文件读取与 SSRF 误差，由于 Apache Solr 默认装置时未开启身份验证，导致未经身份验证的攻击者可使用 Config API 翻开 requestDispatcher.requestParsers.enableRemoteStreaming 开关，从而使用误差举行文件读取。

【链接】

https://nti.nsfocus.com/threatWarning

GitLab远程代码执行误差

【宣布时间】2021-03-18 16:00:00 GMT

【概述】

2021年 3 月 18 日，AG公司科技监测到 GitLab 官方宣布清静通告，修复了保存于社区版(CE)和企业版(EE)中的代码执行误差，CVSS 评分为 9.9。未授权但经由身份验证的攻击者通过使用可控的 markdown 渲染选项，结构恶意请求从而在服务器上执行恣意代码。 GitLab 是一个用于客栈治理系统的开源项目，使用 Git 作为代码治理工具，可通过 Web 界面会见果真或私人项目。

【链接】

https://nti.nsfocus.com/threatWarning

XStream 多个高危误差

【宣布时间】2021-03-16 16:00:00 GMT

【概述】

克日，AG公司科技监测到XStream官方宣布清静通告，果真了XStream中的11个清静误差，攻击者可以使用这些误差造成拒绝服务、SSRF、删除恣意文件、远程执行恣意代码。XStream是一个Java工具和XML相互转换的工具，在将JavaBean序列化、或将XML文件反序列化时，它不需要其它辅助类和映射文件，这使得XML序列化不再繁琐。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 针对电信公司网络攻击以窃取5G神秘

【概述】

OperationsDiànxùn是一起针对电信公司的网络特工运动，以窃取与5G手艺相关的敏感数据和商业神秘为目的，提倡此次攻击运动的威胁组织疑似与中国有关。

【参考链接】

https://securityaffairs.co/wordpress/115693/apt/chinese-hackers-5g.html

2. 施耐德智能电表内存缓冲区误差

【概述】

克日，AG公司科技监测到施耐德宣布通告披露了智能电表的两个缓存区溢出误差，CVE-2021-22714为整数溢出误差，攻击者能够凭证系统结构使用差别使用方法向装备发送特制的TCP数据包，造成目的电表重启或远程代码执行，CVSS评分为9.8。CVE-2021-22713是由于对内存缓冲区内操作的不当限制造成的，攻击者可使用此误差强制电表重启，CVSS评分为7.5。

【参考链接】

https://www.claroty.com/2021/03/09/blog-research-schneider-electric-smart-meter-vulnerabilities/

3. ZHtrap僵尸网络通过蜜罐来查找更多受害者

【概述】

一种新的基于Mirai的僵尸网络，被称为ZHtrap，该僵尸网络实现使用蜜罐来查找更多受害者。ZHtrap僵尸网络使用四个误差举行撒播，主要用于举行DDoS攻击和扫描运动，同时集成了一些后门功效。

【参考链接】

https://securityaffairs.co/wordpress/115684/cyber-crime/zhtrap-botnet-honeypot.html

4. 网络犯法分子滥用WSH-RAT

【概述】

最近研究职员发明特殊具有代表性的攻击运动，使用WSH-RAT套件剖析了一条熏染链，该套件是在地下出售的完整的远程治理工具，经常被犯法分子滥用，后者依赖现成的套件举行攻势。

【参考链接】

https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/

5. BleachGap勒索软件通过U盘撒播

【概述】

近期研究职员捕获到一种具备可移动介质撒播功效的BleachGap勒索软件。该勒索软件最早泛起于2021年2月，现在已迭代多个版本。BleachGap勒索软件具备添加自启动、添加妄想使命、改写MBR、使键盘按键失效、通过可移动介质撒播等多项功效，接纳“AES-256”对称加密算法加密文件，在已知密钥的情形下可快速解密。现在，勒索软件的功效已经不局限于加密文件，最先实验通过可移动介质的方法横向撒播，用户需实时针对此类攻击手段做好有用提防步伐。

【参考链接】

https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650182226&idx=1&sn=498d62a3072401ee1501ba6836df63db&chksm=beb9316089ceb876e59f608074780f0b359152d47ed76801191d87481d609189dad2c1f3ca8b#rd

6. OVH数据中心火灾影响APT威胁组织

【概述】

全球最大的托管服务提供商之一OVH上周遭受火灾，摧毁了其位于斯特拉斯堡的数据中心�？ò退够笛槭胰蜓芯亢推饰鐾哦樱℅ReAT）透露，由于C2服务器脱机，种种威胁加入者使用的140台OVH服务器中有36％处于脱机状态，其中包括Charming Kitten、APT39、Bahamut和OceanLotus组织。

【参考链接】

https://securityaffairs.co/wordpress/115559/apt/ovh-fire-apt-impact.html

7. DearCry勒索软件

【概述】

上周，Microsoft报告称攻击者使用四个零日误差来破损Exchange Mail Server 。只管Microsoft已宣布补丁，但攻击者仍在通过恶意工具、恶意软件和数据泄露攻击易受攻击的Microsoft Exchange Server版本。别的，Microsoft已经确认保存使用这些误差的勒索软件变种，该变种被称为DearCry。DearCry勒索软件已经被发明使用Microsoft Exchange Server的ProxyLogon误差举行初始会见，针对美国、加拿大和澳大利亚地区的用户。

【参考链接】

https://unit42.paloaltonetworks.com/dearcry-ransomware/

8. 新攻击使用伪造图标来撒播NanoCore木马

【概述】

一个新的恶意垃圾邮件运动正在将NanoCore远程会见木马作为恶意Adobe图标来熏染其受害者。NanoCore RAT（也称为Nancrat）自2013年以来一直活跃，该恶意软件旨在窃取PC上的信息，例如密码和电子邮件；它还能够会见、修改和获取PC上任何文件的副本，并激活网络摄像头以监视受害者，并纪录击键。

【参考链接】

https://www.inforisktoday.com/new-attack-uses-fake-icon-to-deliver-trojan-a-16179

9. 美国运输治理软件公司的敏感数据在线袒露

【概述】

美国运输治理软件公司总计103 GB敏感数据遭泄露，这些数据来自基于New Jersy的Descartes Aljex Software ，由于设置过失的AWS S3存储桶而袒露，该存储桶不清静且容易受到入侵。这意味着，纵然没有授权的用户也可能仅通过输入准确的URL即可会见存储桶。泄露的数据包括公司员工、销售代表和第三方运营商事情职员的详细小我私家信息。

【参考链接】

https://www.hackread.com/shipping-management-software-firm-data-online/

<<上一篇

【清静通告】Apache Solr恣意文件读取与SSRF误差通告

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.3.22-3.28）