首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2021年第44周

宣布时间 2021-11-01

>本周宁静态势综述

本周共收录宁静漏洞62个，值得关注的是Apache Storm getTopologyHistory服务SHELL命令注入漏洞；Microsoft Azure GridPro代码执行漏洞；Apple macOS bigsur内核代码执行漏洞；BillQuick Web SuiteSQL注入漏洞；Penguin Aurora TV Box 41502未授权访问漏洞。

本周值得关注的网络宁静事件是WizardUpdate新变种通过冒充合法软件绕过检测；Microsoft宣布NOBELIUM团伙攻击活动的分析陈诉；Emsisoft宣布针对勒索软件BlackMatter的解密器；研究团队披露APT组织Lazarus提倡的供应链攻击的细节；伊朗石油公司NIOPDC遭到攻击，全国加油站运营中断。

凭据以上综述，本周宁静威胁为中。

>重要宁静漏洞列表

1. Apache Storm getTopologyHistory服务SHELL命令注入漏洞

Apache Storm getTopologyHistory服务存在SHELL命令注入漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可注入任意代码并以应用法式上下文执行。

https://lists.apache.org/thread.html/r5fe881f6ca883908b7a0f005d35115af49f43beea7a8b0915e377859%40%3Cuser.storm.apache.org%3E

2. Microsoft Azure GridPro代码执行漏洞

Microsoft Azure GridPro请求管理存在目录遍历漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://seclists.org/fulldisclosure/2021/Oct/33

3. Apple macOS bigsur内核代码执行漏洞

Apple macOS bigsur内核存在宁静漏洞，允许当地攻击者可以利用漏洞提交特殊的请求，可以内核上下文执行任意代码。

https://support.apple.com/zh-cn/HT212872

4. BillQuick Web SuiteSQL注入漏洞

Bqe Software BillQuick Web Suite存在SQL注入漏洞，允许远程攻击者可以利用漏洞提交特殊的SQL请求，操作数据库，可获取敏感信息或执行任意代码。

https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware

5. Penguin Aurora TV Box 41502未授权访问漏洞

Penguin Aurora TV Box对特定链接处置存在宁静漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，未授权控制系统。

https://www.cnvd.org.cn/flaw/show/2934166

>重要宁静事件综述

1、WizardUpdate新变种通过冒充合法软件绕过检测

研究人员在10月22日披露了恶意软件WizardUpdate（又名UpdateAgent）的新变种。WizardUpdate最初于2020年11月被发现，主要针对macOS。该变体开发了新的功效，例如滥用公共云来分发恶意广告软件Adload，而且还能绕过Apple的宁静功效Gatekeeper。此外，它使用了偷渡式下载（Drive-by downloads）的方式进行分发，通过冒充合法软件来绕过检测，研究人员尚未透露其模仿了哪些软件。

原文链接：

https://www.hackread.com/updateagent-malware-variant-macos-software/

2、Microsoft宣布NOBELIUM团伙攻击活动的分析陈诉

Microsoft威胁情报中心在10月25日宣布了关于NOBELIUM团伙攻击活动的分析陈诉。NOBELIUM是2020年12月针对SolarWinds的供应链攻击的幕后黑手，自2021年5月以来，该团伙在美国和欧洲提倡了有针对性的供应链攻击。此次活动并未利用任何漏洞，而是利用密码喷射、令牌偷窃、API滥用和鱼叉式网络钓鱼等多种技术来窃特权帐户的凭据，从而在云环境中横向移动。

原文链接：

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

3、Emsisoft宣布针对勒索软件BlackMatter的解密器

宁静公司Emsisoft在10月24日果然了勒索软件BlackMatter的解密器。今年早些时候，研究人员发现BlackMatter中存在一个可用于恢复加密文件漏洞，而且他们在之前一直没有透露该漏洞的存在，以防止该团伙修复漏洞。不幸的是，BlackMatter在9月底发现并修复了该漏洞，因此这个解密器仅能解密2021年7月中旬至9月下旬之间被加密的文件。

原文链接：

https://securityaffairs.co/wordpress/123736/security/blackmatter-decryptor-pat-victims.html

4、研究团队披露APT组织Lazarus提倡的供应链攻击的细节

Kaspersky研究团队于本周二披露了Lazarus在近期提倡的供应链攻击。APT组织Lazarus自2009年以来一直活跃，利用MATA攻击各个行业的组织。在此次活动中，该团伙于5月攻击了拉脱维亚的IT供应商，又在6月份利用后门BLINDINGCAN的新变体攻击了韩国智库。研究人员称，最近的活动展现了两个趋势：Lazarus仍然对国防行业感兴趣，而且还希望通过供应链攻击来扩展其攻击范围。

原文链接：

https://usa.kaspersky.com/about/press-releases/2021_apt-actor-lazarus-attacks-defense-industry-develops-supply-chain-attack-capabilities

5、伊朗石油公司NIOPDC遭到攻击，全国加油站运营中断

伊朗国有石油产物分销公司(NIOPDC)在10月26日遭到攻击。NIOPDC在伊朗全国范围内拥有凌驾3500个加油站，因为无法支付用度，受影响的加油站在遭到攻击后立即中断了运营。许多加油站的广告牌上都显示着“Khamenei！我们的燃料呢？”和“免费汽油”的字样，此外，加油站的屏幕上显示着“cyebrattack 64411”的字样，其中64411是该国最高领袖Ayatollah Ali Khamenei办公室的电话。尚不确定攻击者的身份，但伊朗政府推断这是由敌对国家提倡的网络攻击活动。目前，加油站的运营已恢复。

原文链接：

https://securityaffairs.co/wordpress/123824/hacking/iranian-gas-stations-incident.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

信息宁静周报-2021年第44周

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线