本周安全態(tài)勢綜述
本周共收錄安全漏洞58個,值得關注的是Dell Emc Streaming Data Platform sql注入漏洞;EFM ipTIME C200 IP Camera任意命令執(zhí)行漏洞;ohmyzsh rand-quote和hitokoto插件任意命令執(zhí)行漏洞;Open Solutions For Education openSIS GetStuListFnc.php SQL注入漏洞;Sunnet eHRD訪問控制代碼執(zhí)行漏洞。
本周值得關注的網絡安全事件是TP-Link修復其Wi-Fi 6路由器中的代碼執(zhí)行漏洞;IEEE發(fā)布2022年及未來十年關鍵技術的預測報告;日本電器公司松下確認長達4個月之久數據泄露事件;暗網市場Cannazon遭到大規(guī)模DDoS攻擊后永久關閉;Kaspersky披露APT37利用Chinotto攻擊韓國的活動。
根據以上綜述,本周安全威脅為中。
重要安全漏洞列表
1. Dell Emc Streaming Data Platform sql注入漏洞
Dell Emc Streaming Data Platform存在sql注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執(zhí)行任意代碼。
https://www.dell.com/support/kbdoc/zh-cn/000193697/dsa-2021-205-dell-emc-streaming-data-platform-security-update-for-third-party-vulnerabilities
2. EFM ipTIME C200 IP Camera任意命令執(zhí)行漏洞
EFM ipTIME C200 IP Camera與ipTIME NAS同步時存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執(zhí)行任意代碼。
http://iptime.com/iptime/?page_id=126&diffid=&dfsid=19&dftid=541
3. ohmyzsh rand-quote和hitokoto插件任意命令執(zhí)行漏洞
ohmyzsh rand-quote和hitokoto插件存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執(zhí)行任意代碼。
https://github.com/ohmyzsh/ohmyzsh/commit/72928432
4. Open Solutions For Education openSIS GetStuListFnc.php SQL注入漏洞
Open Solutions For Education openSIS GetStuListFnc.php存在sql注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執(zhí)行任意代碼。
https://github.com/OS4ED/openSIS-Classic/issues/202
5. Sunnet eHRD訪問控制代碼執(zhí)行漏洞
Sunnet eHRD未正確限制來自未授權角色的資源訪問,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執(zhí)行任意代碼。
https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html
重要安全事件綜述
1、TP-Link修復其Wi-Fi 6路由器中的代碼執(zhí)行漏洞
Resecurity研究人員TP-Link的設備中存在遠程代碼執(zhí)行漏洞。受影響設備的型號為TL-XVR1800L,是企業(yè)級AX1800雙頻千兆Wi-Fi 6無線VPN路由器。攻擊者可利用該漏洞完全控制設備或竊取敏感數據,它可能還存在于同一系列的其他設備中。Resecurity在10月上旬發(fā)現(xiàn)了針對該設備的攻擊活動,并于11月19日通知了TP-Link,TP-Link在第二天確認了該漏洞并承諾會在一周內發(fā)布補丁。
原文鏈接:https://securityaffairs.co/wordpress/125016/hacking/0-day-tp-link-wi-fi-6.html
2、IEEE發(fā)布2022年及未來十年關鍵技術的預測報告
IEEE在近期發(fā)布了未來關鍵技術的預測報告。報告調查了來自美國、英國、中國、印度和巴西的350位CTO、CIO和IT總監(jiān),預測了2022年最重要的技術、來年受技術影響最大的行業(yè)以及未來十年的技術趨勢。21%的受訪者認為人工智能和機器學習將成為明年最重要的技術,其次為云計算(20%)和5G(17%);25%的人認為制造業(yè)會是2022年受技術影響最大的行業(yè),其次為金融服務(19%)、醫(yī)療保健(16%)和能源(13%)行業(yè)。
原文鏈接:https://transmitter.ieee.org/impact-of-technology-2022/
3、日本電器公司松下確認長達4個月之久數據泄露事件
日本跨國公司松下Panasonic在上周五發(fā)布聲明,確認其部分數據已經泄露。攻擊發(fā)生在6月22日,但直到11月11日才被發(fā)現(xiàn)。經過內部調查確定,攻擊者已在這4個月中訪問了服務器上的部分數據。該公司沒有提供其它詳細信息,但日本新聞網站Mainichi和NHK報道稱,攻擊者已經獲得了公司技術、合作伙伴及公司員工等相關信息。早在2020年11月,松下印度分公司曾因網絡攻擊泄露了財務等相關信息。
原文鏈接:https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/
4、暗網市場Cannazon遭到大規(guī)模DDoS攻擊后永久關閉
2021年11月23日,暗網市場Cannazon的管理員宣布將永久關閉該網站。據悉,該網站在11月初遭到了大規(guī)模DDoS攻擊,管理員通過減少訂單數量和關閉部分系統(tǒng)以緩解問題。但這在社區(qū)中引起了轟動,用戶擔心這是一場退出騙局。管理員在發(fā)布關閉通告時,對于這種處理方法表示歉意,稱沒有公開攻擊活動是為了保護用戶和社區(qū),以防止供應商試圖發(fā)動加密貨幣退出騙局。
原文鏈接:https://www.bleepingcomputer.com/news/security/dark-web-market-cannazon-shuts-down-after-massive-ddos-attack/
5、Kaspersky披露APT37利用Chinotto攻擊韓國的活動
Kaspersky在11月29日披露朝鮮黑客組織APT37(又稱ScarCruft或Temp.Reaper)在近期的攻擊活動。ScarCruft從2012年開始活躍,主要針對韓國的官方機構或公司。此次活動開始于2021年8月,初始感染媒介是魚叉式釣魚活動,之后利用IE瀏覽器中的兩個漏洞在韓國的網站中安裝自定義惡意軟件BLUELIGHT,發(fā)起水坑攻擊。活動還利用了惡意軟件Chinotto,它具有針對PowerShell、Windows和Android的多個變體。
原文鏈接:https://securelist.com/scarcruft-surveilling-north-korean-defectors-and-human-rights-activists/105074/
來源:維他命安全