欢迎光临
我们一直在努力

安全事件周报(02.22-02.28)

Ysck阅读(18)

 

0x01事件导览

本周收录安全热点12项,话题集中在网络攻击勒索软件方面,涉及的组织有:AccelionCiscoVMwarePowerhouse等。黑客利用0day漏洞威胁全球,老旧系统切勿开放在公网。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
Clop勒索软件利用Accelion漏洞威胁全球
Silver Sparrow恶意软件感染3万台Mac设备
恶意的Mozilla Firefox扩展能够接管用户Gmail账户
勒索软件团伙入侵厄瓜多尔最大私人银行及财政部
网络攻击
Powerhouse VPN产品可被用以进行大规模DDoS攻击
俄罗斯对乌克兰国防网站进行DDoS攻击
联邦快递网络钓鱼攻击中,1万Microsoft电子邮件用户遭袭
俄罗斯黑客组织部署IronPython恶意软件加载程序
四个针对关键基础设施的黑客组织
攻击者积极利用PoC扫描易受攻击的VMware服务器
其它事件
npm组件程序包systeminformation发现代码注入漏洞
Cisco修复了MSO严重身份验证绕过漏洞

 

0x02恶意程序

Clop勒索软件利用Accelion漏洞威胁全球

日期: 2021年02月22日
等级: 高
作者: Ionut Ilascu
标签: Accellion, File Transfer Appliance, Clop, Vulnerability
行业: 跨行业事件

Clop勒索软件将多个0day漏洞与一个新的WebShell结合在一起,破坏了多达100家公司的AccellionFTA(文件传输设备),并窃取了敏感文件。目前已知受害者包括:超市巨头Kroger,Singtel,QIMRBerghofer医学研究所,新西兰储备银行,澳大利亚证券和投资委员会(ASIC)和华盛顿州审计师办公室(“SAO”)、技术服务公司ABS集团、琼斯律师事务所、Danaher、科罗拉多大学等。目前Accellion已更新FTA安全补丁,相关信息可访问:https://www.accellion.com/company/press-releases/accellion-provides-update-to-recent-fta-security-incident/

涉及漏洞

– CVE-2021-27101

– CVE-2021-27102

– CVE-2021-27103

– CVE-2021-27104

详情

Global Accellion data breaches linked to Clop ransomware gang

Silver Sparrow恶意软件感染3万台Mac设备

日期: 2021年02月22日
等级: 高
作者: Catalin Cimpanu
标签: Mac, Silver Sparrow
行业: 跨行业事件
涉及组织: Apple

安全研究人员发现了一种针对Mac设备的新恶意软件–SilverSparrow,根据Malwarebytes提供的数据,截至2021年2月17日,SilverSparrow已经感染了包括美国、英国、加拿大、法国、德国等153个国家的29139个macOS终端。但尽管感染设备众多,但有关恶意软件如何传播和感染用户的详细信息仍然很少,目前还不清楚SilverSparrow是否隐藏在恶意广告、盗版应用程序或假冒Flash更新程序等经典传播载体中,此外,这种恶意软件的目的也不清楚。

详情

30,000 Macs infected with new Silver Sparrow malware

恶意的Mozilla Firefox扩展能够接管用户Gmail账户

日期: 2021年02月25日
等级: 高
作者: Lindsey O'Donnell
标签: Gmail, Mozilla Firefox, FriarFox, TA413
行业: 政府机关、社会保障和社会组织
涉及组织: adobe, youtube

最近发现的一种网络攻击正在控制受害者的Gmail账户,它使用的是一种定制的恶意MozillaFirefox浏览器扩展–名为FriarFox。 研究人员说,在1月和2月观察到的威胁运动针对的是西藏组织,并与TA413有关,TA413是一个已知的高级持续威胁(APT)组织。 此次攻击的幕后组织旨在通过窥探受害者的Firefox浏览器数据和Gmail邮件来收集受害者的信息。

详情

Malicious Mozilla Firefox Extension Allows Gmail Takeover

勒索软件团伙入侵厄瓜多尔最大私人银行及财政部

日期: 2021年02月26日
等级: 高
作者: Lawrence Abrams
标签: Ecuador, Ministry of Finance, Banco Pichincha, Hotarus Corp
行业: 政府机关、社会保障和社会组织

一个名为“HotarusCorp”的黑客组织入侵了厄瓜多尔财政部和该国最大的银行BancoPichincha,他们声称在那里窃取了“敏感的部委信息、电子邮件、雇员信息、合同”。勒索软件团伙首先锁定厄瓜多尔财政部EconomiayFinanzasdeEcuador,在那里他们部署了一个基于PHP的勒索软件,对一个托管在线课程的网站进行加密。攻击发生后不久,黑客在一个黑客论坛上发布了一个包含6632个登录名和哈希密码组合的文本文件。

详情

Ransomware gang hacks Ecuador’s largest private bank, Ministry of Finance

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 软硬件提供商要提升自我防护能力,保障供应链的安全

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理

 

0x03网络攻击

Powerhouse VPN产品可被用以进行大规模DDoS攻击

日期: 2021年02月22日
等级: 高
作者: Catalin Cimpanu
标签: VPN, Powerhouse Management, DDOS
行业: 跨行业事件

僵尸网络运营商正在滥用VPN提供商PowerhouseManagement提供的VPN服务器,以此来反弹和放大DDoS攻击中的垃圾流量。研究人员说,被利用服务在PowerhouseVPN服务器上的UDP端口20811上运行,攻击者可以使用一个字节的请求来ping通此端口,并且该服务通常会以最大为原始数据包大小40倍的数据包进行响应。由于这些数据包基于UDP,因此也可以对其进行修改以包含错误的返回IP地址。这意味着攻击者可以将单字节UDP数据包发送到PowerhouseVPN服务器,然后将其放大并发送到DDoS攻击的受害者的IP地址,安全研究人员称之为反射/放大DDoS攻击。

详情

Powerhouse VPN products can be abused for large-scale DDoS attacks

俄罗斯对乌克兰国防网站进行DDoS攻击

日期: 2021年02月23日
等级: 高
作者: Prajeet Nair
标签: Ukraine, Russia, DDos, Botnet
行业: 政府机关、社会保障和社会组织

乌克兰指责俄罗斯将乌克兰政府服务器变成僵尸网络,并利用被控服务器实施大规模分布式拒绝服务攻击。乌克兰国家安全和国防委员会称,这些攻击瞄准了乌克兰安全局、乌克兰国家安全和国防委员会的网站以及其他国家机构和战略企业的系统,这些服务器感染病毒,成为僵尸网络的一部分,用于对其他资源进行分布式拒绝服务攻击。由此,互联网供应商的安全系统将乌克兰政府服务器识别为攻击源,并自动将其列入访问黑名单。因此,即使在DDoS阶段结束后,用户仍然无法访问被攻击的乌克兰政府网站。

详情

Ukraine Blames Russia for DDoS Attack on Defense Websites

联邦快递网络钓鱼攻击中,1万Microsoft电子邮件用户遭袭

日期: 2021年02月23日
等级: 高
作者: Lindsey O'Donnell
标签: Microsoft, FedEx, DHL Express, Phishing
行业: 跨行业事件
涉及组织: google, microsoft, adobe

2021年2月底发现两起针对至少10000名微软电子邮件用户的网络钓鱼攻击,攻击者假装来自邮件快递公司,其中包括联邦快递(FedEx)和DHLExpress。这两个骗局的目标都是微软的电子邮件用户,目的是刷他们的工作电子邮件帐户凭据。他们还使用了合法域名(包括Quip和googlefirebase的域名)来放置钓鱼网页。

详情

10K Microsoft Email Users Hit in FedEx Phishing Attack

俄罗斯黑客组织部署IronPython恶意软件加载程序

日期: 2021年02月24日
等级: 高
作者: Akshaya Asokan
标签: Russian, Turla, IronNetInjector
行业: 跨行业事件

俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载程序,名为“IronNetInjector”,“IronNetInjector由一个IronPython脚本组成,该脚本包含一个.NET注入器,使用.NETFrameworkAPI和Python库来远程访问特洛伊木马ComRAT。相关研究报告指出当运行IronPython脚本时,会加载.NET注入器,从而将有效负载注入到自己的进程或远程进程中。

详情

Russian Hacking Group Deploys IronPython Malware Loader

四个针对关键基础设施的黑客组织

日期: 2021年02月25日
等级: 高
作者: Danny Palmer
标签: APT, Infrastructure, Industrial Systems
行业: 政府机关、社会保障和社会组织

网络安全研究人员称,在2020年发现了四个针对工业系统的新黑客组织,而且针对工业和工业控制系统的网络攻击者也在不断增加。在过去的一年里,研究人员发现了四个新的黑客组织,分别是Stibnite,Talonite,Kamacite,和Vanadinite。该四个组织分工明确,Stibnite专注于在阿塞拜疆发电的风力涡轮机公司,而Talonite几乎只专注于美国的电力供应商。Kamacite将目标锁定在北美和欧洲能源公司的工业运营上。Vanadinite在北美、欧洲、澳大利亚和亚洲开展针对能源、制造和运输的业务,重点是信息收集和运输。

详情

These four new hacking groups are targeting critical infrastructure, warns security company

攻击者积极利用PoC扫描易受攻击的VMware服务器

日期: 2021年02月25日
等级: 高
作者: Sergiu Gatlan
标签: RCE, VMware, vCenter
行业: 跨行业事件

在安全研究人员开发并发布了针对严重vCenter远程代码执行(RCE)漏洞的概念验证(PoC)攻击代码之后,攻击者正积极利用该poc扫描易受攻击的VMware服务器。就在VMware修补了严重漏洞的一天后,安全公司发现了这一扫描活动。根据BinaryEdge(超过14000个暴露服务器)和Shodan(超过6700个)提供的信息,成千上万个未修补的vCenter服务器仍然可以通过互联网访问。

涉及漏洞

– CVE-2021-21972

详情

Attackers scan for vulnerable VMware servers after PoC exploit release

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 不盲目信任云端文件及链接

6. 注重内部员工安全培训

 

0x04其它事件

npm组件程序包systeminformation发现代码注入漏洞

日期: 2021年02月24日
等级: 高
作者: Ax Sharma
标签: npm, Code Injection
行业: 信息传输、软件和信息技术服务业
涉及组织: node.js

该漏洞被追踪为CVE-2021-21315,影响了“systeminformation”npm组件,该组件每周下载量约为80万次,自发布以来,下载量已接近3400万次。简单地说,“systeminformation”是一个轻量级的node.js库,是开发人员可以在其项目中包含的库,用于检索与CPU、硬件、电池、网络、服务和系统进程相关的系统信息。“systeminformation”用户应升级至5.3.1及以上版本,以解决其应用程序中的漏洞。

涉及漏洞

– CVE-2021-21315

详情

Heavily used Node.js package has a code injection vulnerability

Cisco修复了MSO严重身份验证绕过漏洞

日期: 2021年02月24日
等级: 高
作者: Sergiu Gatlan
标签: Cisco, Cisco ACI, MSO
行业: 制造业
涉及组织: cisco

Cisco已解决在ApplicationServices引擎上安装的CiscoACI多站点Orchestrator(MSO)的API终结点中发现的最大严重性身份验证绕过漏洞。未经身份验证的攻击者可以通过发送精心编制的请求,远程绕过受影响设备上的身份验证。成功的攻击使攻击者能够获得具有管理员级权限的身份令牌。

涉及漏洞

– CVE-2021-1393

– CVE-2021-1388

详情

Cisco fixes maximum severity MSO auth bypass vulnerability

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

3. 不盲目安装官方代码仓库的第三方Package

4. 软硬件提供商要提升自我防护能力,保障供应链的安全

 

0x05产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-03-01 360CERT发布安全事件周报

 

0x07特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (2.22-2.28)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

3月1日每日安全热点 – 厄瓜多尔银行遭勒索软件攻击

Ysck阅读(15)

Inspired by 360CERT

恶意软件 Malware

恶意Firefox插件致Gmail账户劫持

https://www.bleepingcomputer.com/news/security/malicious-firefox-extension-allowed-hackers-to-hijack-gmail-accounts/

 

安全研究 Security Research

Windows持久化——DLL劫持

https://marcusedmondson.com/2021/02/28/windows-persistence-mechanics-dll-search-order-hijacking/

 

Web漏洞构建完整攻击链

https://btlr.dev/blog/gordian-lock

 

PostWigger 2020 十大Web攻击技术

https://portswigger.net/research/top-10-web-hacking-techniques-of-2020

 

安全资讯 Security Information

Google部分域名导致用户怀疑是否是钓鱼域名

https://www.bleepingcomputer.com/news/security/what-are-these-suspicious-google-gvt1com-urls/

 

NSA与微软倡议建立零信任机制

https://www.bleepingcomputer.com/news/security/nsa-microsoft-promote-a-zero-trust-approach-to-cybersecurity/

 

Google公开Windows 10 Graphics RCE漏洞PoC

https://www.bleepingcomputer.com/news/security/google-shares-poc-exploit-for-critical-windows-10-graphics-rce-bug/

 

安全报告 Security Report

法国安全部门发现Ryuk勒索软件变种

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-now-self-spreads-to-other-windows-lan-devices/

 

安全事件 Security Incident

安全人员统计上周Twitter虚拟货币诈骗共收入数十万美元

https://www.bleepingcomputer.com/news/security/twitter-scammers-earned-over-145k-this-week-in-bitcoin-ethereum-doge/

 

T-Mobile在SIM交换攻击后披露数据泄露

https://www.bleepingcomputer.com/news/security/t-mobile-discloses-data-breach-after-sim-swapping-attacks/

 

厄瓜多尔银行遭勒索软件攻击

https://www.bleepingcomputer.com/news/security/ransomware-gang-hacks-ecuadors-largest-private-bank-ministry-of-finance/

 

安全客 Security Geek

Java反序列化之与JDK版本无关的利用链挖掘

https://www.anquanke.com/post/id/232415

风投巨头红杉资本遭受BEC攻击

Ysck阅读(20)

 

美国风投公司红杉资本(Sequoia Capital)公布了一起数据泄露事件,该事件发生在今年1月份,看上去像是一起失败的BEC电子商务邮件攻击。

自1972年成立以来,红杉资本已经投资了一系列备受瞩目的公司(如苹果、英伟达、谷歌、甲骨文、雅虎、LinkedIn、YouTube、Paypal、Electronic Arts和思科)。

这家风投巨头还投资了很多初创企业,包括Airbnb、Dropbox、FireEye、Palo Alto Networks、Stripe、Square和WhatsApp

总的来说,红杉资本多年来支持和投资的公司市场价值总计超过3.3万亿美元。

两个月前,美国联邦调查局向美国企业发出警告,电信诈骗团伙正在积极滥用电子邮件自动转发规则,以提高BEC攻击的成功率。

他们结合社会工程、网络钓鱼和黑客手段来控制商业电子邮件账户,最终目的是将客户的付款重定向到他们控制的银行账户。

 

攻击者获得红杉资本员工邮箱的访问权限

红杉资本在给受影响个人的数据泄露通知中解释道:“大约在2021年1月20日,我们得知一个未经授权的第三方获得了对一名红杉员工的商业电子邮件邮箱的远程访问权,其明显目的是实施BEC电子商务邮件攻击。”

虽然该攻击者能够侵入该员工的电子邮件收件箱,但他们无法访问该公司网络上的其他资源或资产。

红杉资本表示:“我们的调查没有发现任何证据表明,除了这一个邮箱之外,还有其他被入侵的账号。”

尽管只有一个邮箱在本次事件中受到了影响,但他们承认,本次被入侵事件可能能够让攻击者窃取受影响个人的个人信息。

红杉补充说:“未经授权进入邮箱的行为可能会让攻击者获得文件副本,包括某些个人的个人信息。”

“作为调查的一部分,我们分析了受影响的电子邮件的内容,确定其中包含您的个人信息,未经授权的攻击者可能已经访问或获得了它的副本。”

 

攻击后红杉资本采取的补救措施

在发现这次攻击后,红杉资本聘请了外部安全专家来调查这起事件,并确保其系统的安全。

红杉说,它没有发现任何证据表明,窃取的数据在暗网上出售或交易。

该公司还向相关执法部门通报了此次攻击事件,并为防范今后出现类似事件采取了相关措施:

  1. 识别并修正仍然使用初始化配置的情况
  2. 在多个层次上部署额外的防御和检测技术,以提高对异常用户活动和恶意电子邮件内容的可见性
  3. 强调我们在公司内外存储和共享敏感信息的方法,包括电子邮件消息转发规则
  4. 加强我们的安全培训,加强对网络钓鱼的防范和正确的数据处理。

红杉通过Experian(益博睿公司)为受影响的个人提供24个月的免费信用监控和身份盗窃保护。

红杉资本的一位发言人表示:“我们对这起事件的发生感到遗憾,并已通知受影响的个人。我们已经在网络安全方面投入大量资金,并将继续这样做,我们将努力应对不断演变的网络威胁。”

乌克兰:针对政府网站的DDoS攻击源自俄罗斯

Ysck阅读(20)

 

概述

乌克兰国家安全和国防委员会(NSDC)指控称有位于俄罗斯的威胁行为者从2月18日开始对乌克兰政府网站实施DDoS攻击。

 

攻击详情

NSDC的国家网络安全协调中心(NCCC)指出,此次攻击属于大规模的DDoS攻击,其目标是乌克兰政府国防部门和安全部门的网站。

NCCC提供针对乌克兰的DDoS攻击示意图:

尽管乌克兰并没有将DDoS的矛头直接对准俄罗斯国家层面,但他们表示,攻击者的IP地址是位于俄罗斯。

NCCC在周一上午的新闻发布会表示:“攻击者特别针对乌克兰安全局、乌克兰国家安全和国防委员会的网站以及其他国家级机构和战略企业的资源进行了攻击。据透露,这些攻击来源于某些俄罗斯的网络地址。”

NCCC还称,在他们的调查过程中发现了一种新的恶意软件,它被植入到存在漏洞的乌克兰政府服务器上,从而成为僵尸网络中的一台主机,由攻击者控制。攻击者随后利用这些主机对其他乌克兰网站开展进一步的DDoS攻击。

“通过这种方式,在攻击过程中,存在漏洞的政府网站服务器会被病毒感染,并隐蔽地加入僵尸网络之中,随后被攻击者用于对其他资源进行DDoS攻击。”
NSDC解释说:“与此同时,互联网提供商的安全系统会将这些被入侵的网络服务器识别为攻击源,自动将其加入到黑名单,以阻止攻击的进一步扩大。因此,即使在DDoS攻击结束后,被攻陷的网站仍然无法被用户访问。”

NCCC没有提供任何与此恶意软件相关的威胁指标。

 

可能是Egregor勒索软件组织成员被捕后的报复行动

在上周,有消息披露,乌克兰执法部门与美国、法国警方合作,逮捕了涉嫌参与Egregor勒索软件恶意活动的组织成员。

三天后,乌克兰安全局(SBU)发布了关于逮捕Egregor勒索软件组织成员并扣押该恶意组织设备的新闻稿。

次日,SBU的网站就因拒绝服务攻击而无法访问。

多名安全研究人员随后向我们透露,据消息称,一些与Egregor勒索软件相关的威胁行为者正在开展网络攻击,作为逮捕其组织成员的报复行动。

目前尚未能证实这些说法的有效性。

SaltStack 多个高危漏洞通告

Ysck阅读(26)

 

0x01事件简述

2021年02月26日,360CERT监测发现SaltStack发布了2月份安全更新的风险通告 ,事件等级:高危,事件评分:8.1

SaltStack在本次更新中修复了 10 个漏洞,其中包含6个高危漏洞。

对此,360CERT建议广大用户及时将SaltStack升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
360CERT评分 8.1

 

0x03漏洞详情

CVE-2021-3197: 命令注入

在安装并开启 SSH 模块的SaltStack服务器存在一处命令注入漏洞。

攻击者可以通过Salt-API 的 SSH功能接口使用 SSH 命令的ProxyCommand参数进行命令注入。

CVE-2021-25281: 代码执行

SaltStack SaltAPI中存在一处代码执行漏洞。

wheel_async模块未正确处理身份验证请求,导致攻击者利用该模块执行任意 python 代码。

CVE-2021-25282: 目录穿越

SaltStack SaltAPI中存在一处代码执行漏洞。

该漏洞主要是salt.wheel.pillar_roots.write函数在写入操作时存在目录穿越,与CVE-2021-25281、CVE-2021-25283结合实现代码执行。

CVE-2021-25283: 代码执行

SaltStack jinja模板渲染中存在一处代码执行漏洞。

该漏洞主要是salt.wheel.pillar_roots.write函数在写入操作时,将存在恶意代码的模板文件写入特定位置,在请求相关页面时触发 jinja 引擎渲染导致代码执行

与CVE-2021-25282结合实现代码执行。

CVE-2021-3148: 命令注入

SaltAPIsalt.utils.thin.gen_thin()方法存在一处命令注入漏洞。

攻击者可以利用插入单引号'实现命令注入,该漏洞与json.dumps不对处理输入内容中单引号也存在关联。

 

0x04影响版本

– salt:saltstack: <3002.5/<3001.6/<3000.8

 

0x05修复建议

通用修补建议

注意 SaltStack 未针对该此更新发布新的版本号,建议用户前往控制台自行更新,或者手动从官方仓库获取最新版本的 SaltStack。

升级到

– SaltStack:3002.5/3001.6/3000.8

下载地址为:SaltStack Release

 

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现SaltStack具体分布如下图所示。

 

0x07产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

 

0x08时间线

2021-02-25 SaltStack 发布安全通告

2021-02-26 360CERT发布通告

 

0x09参考链接

1、 Active SaltStack CVE Release 2021-FEB-25

 

0x0a特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

SaltStack 多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

2月26日每日安全热点 – 遭钓鱼攻击后红衫披露数据泄露事件

Ysck阅读(23)

Inspired by 360CERT

漏洞 Vulnerability

 

恶意软件 Malware

VMWare漏洞PoC公布后出现大量攻击事件

https://www.bleepingcomputer.com/news/security/attackers-scan-for-vulnerable-vmware-servers-after-poc-exploit-release/

 

安全研究 Security Research

JSON漏洞探索

https://labs.bishopfox.com/tech-blog/an-exploration-of-json-interoperability-vulnerabilities

 

Intel Graphics安全探索Part.2

https://igor-blue.github.io/2021/02/24/graphics-part2.html

 

安全工具 Security Tools

VMWare vCenter漏洞检测

https://github.com/alt3kx/CVE-2021-21972

 

AWS构建密码破解系统

https://www.sevn-x.com/blog/post/building-a-password-cracker-in-aws

 

安全资讯 Security Information

微软公布了扫描Solarwinds使用的CodeQL语法

https://www.bleepingcomputer.com/news/security/microsoft-shares-codeql-queries-to-scan-code-for-solarwinds-like-implants/

 

安全报告 Security Report

安全人员发现朝鲜黑客对多国国防工业系统发动攻击

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-defense-industry-with-custom-malware/

 

安全事件 Security Incident

荷兰研究理事会确认遭勒索软件攻击并出现数据泄露

https://www.bleepingcomputer.com/news/security/dutch-research-council-nwo-confirms-ransomware-attack-data-leak/

 

遭钓鱼攻击后红衫披露数据泄露事件

https://www.bleepingcomputer.com/news/security/vc-giant-sequoia-capital-discloses-data-breach-after-failed-bec-attack/

 

安全客 Security Geek

CDN 2021 完全攻击指南 (三)

https://www.anquanke.com/post/id/231441

CVE-2021-21972 vCenter 远程命令执行漏洞分析

Ysck阅读(41)

 

0x01漏洞简介

vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。

vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在服务器上写入 webshell,最终造成远程任意代码执行。

 

0x02影响范围

– vmware:vcenter_server7.0 U1c 之前的 7.0 版本

– vmware:vcenter_server6.7 U3l 之前的 6.7 版本

– vmware:vcenter_server6.5 U3n 之前的 6.5 版本

 

0x03漏洞影响

VMware已评估此问题的严重程度为 严重 程度,CVSSv3 得分为 9.8。

 

0x04漏洞分析

vCenter Server 的 vROPS 插件的 API 未经过鉴权,存在一些敏感接口。其中 uploadova 接口存在一个上传 OVA 文件的功能:

    @RequestMapping(
        value = {"/uploadova"},
        method = {RequestMethod.POST}
    )
    public void uploadOvaFile(@RequestParam(value = "uploadFile",required = true) CommonsMultipartFile uploadFile, HttpServletResponse response) throws Exception {
        logger.info("Entering uploadOvaFile api");
        int code = uploadFile.isEmpty() ? 400 : 200;
        PrintWriter wr = null;
...
        response.setStatus(code);
        String returnStatus = "SUCCESS";
        if (!uploadFile.isEmpty()) {
            try {
                logger.info("Downloading OVA file has been started");
                logger.info("Size of the file received  : " + uploadFile.getSize());
                InputStream inputStream = uploadFile.getInputStream();
                File dir = new File("/tmp/unicorn_ova_dir");
                if (!dir.exists()) {
                    dir.mkdirs();
                } else {
                    String[] entries = dir.list();
                    String[] var9 = entries;
                    int var10 = entries.length;

                    for(int var11 = 0; var11 < var10; ++var11) {
                        String entry = var9[var11];
                        File currentFile = new File(dir.getPath(), entry);
                        currentFile.delete();
                    }

                    logger.info("Successfully cleaned : /tmp/unicorn_ova_dir");
                }

                TarArchiveInputStream in = new TarArchiveInputStream(inputStream);
                TarArchiveEntry entry = in.getNextTarEntry();
                ArrayList result = new ArrayList();

代码逻辑是将 TAR 文件解压后上传到 /tmp/unicorn_ova_dir 目录。注意到如下代码:

                while(entry != null) {
                    if (entry.isDirectory()) {
                        entry = in.getNextTarEntry();
                    } else {
                        File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());
                        File parent = curfile.getParentFile();
                        if (!parent.exists()) {
                            parent.mkdirs();

直接将 TAR 的文件名与 /tmp/unicorn_ova_dir 拼接并写入文件。如果文件名内存在 ../ 即可实现目录遍历。

对于 Linux 版本,可以创建一个包含 ../../home/vsphere-ui/.ssh/authorized_keys 的 TAR 文件并上传后利用 SSH 登陆:

针对 Windows 版本,可以在目标服务器上写入 JSP webshell 文件,由于服务是 System 权限,所以可以任意文件写。

 

0x05漏洞修复

升级到安全版本:

– vCenter Server 7.0 版本升级到 7.0.U1c

– vCenter Server 6.7版本升级到 6.7.U3l

– vCenter Server 6.5版本升级到 6.5 U3n

临时修复建议

1. SSH远连到vCSA(或远程桌面连接到Windows VC)

2. 备份以下文件:

– Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

– Windows文件路径为:C:ProgramDataVMwarevCenterServercfgvsphere-ui (Windows VC)

3. 使用文本编辑器将文件内容修改为:

4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务 5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister,显示404错误

6. 在vSphere ClientSolutions->Client PluginsVMWare vROPS插件显示为incompatible

 

0x06参考链接

1、 NoahLab CVE-2021-21972 vCenter 6.5-7.0 RCE 漏洞分析

2月25日每日安全热点 – 乌克兰国家文件管理系统遭俄罗斯攻击

Ysck阅读(24)

Inspired by 360CERT

漏洞 Vulnerability

思科修复MSO身份验证绕过漏洞

https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/

 

Node.js systeminformation组件存在代码注入漏洞

https://www.bleepingcomputer.com/news/security/heavily-used-nodejs-package-has-a-code-injection-vulnerability/

 

恶意软件 Malware

 

安全研究 Security Research

VMWare vCenter漏洞分析

https://swarm.ptsecurity.com/unauth-rce-vmware/

 

Web与二进制融合的奇妙之旅

https://blog.orange.tw/2021/02/a-journey-combining-web-and-binary-exploitation.html

 

安全工具 Security Tools

Kali Linux 2021.1版本发布

https://www.kali.org/blog/kali-linux-2021-1-release/

 

利用Brim与NetworkX可视化网络攻击

https://medium.com/brim-securitys-knowledge-funnel/visualizing-network-cyber-attacks-with-suricata-and-zeek-using-brim-and-networkx-332dd265d4b6

 

安全资讯 Security Information

Google资助Linux开发以提升安全性

https://www.bleepingcomputer.com/news/security/google-funds-linux-maintainers-to-boost-linux-kernel-security/

 

CDPR因勒索软件攻击推迟游戏补丁更新

https://www.bleepingcomputer.com/news/gaming/cyberpunk-2077-patch-12-delayed-by-cd-projekt-ransomware-attack/

 

安全报告 Security Report

NASA与FAA也证实为Solarwinds事件受害者

https://www.bleepingcomputer.com/news/security/nasa-and-the-faa-were-also-breached-by-the-solarwinds-hackers/

 

安全事件 Security Incident

乌克兰国家文件管理系统遭俄罗斯攻击

https://www.bleepingcomputer.com/news/security/russian-hackers-linked-to-attack-targeting-ukrainian-government/

 

五眼联盟针对Accellion FTA网络攻击发布预警

https://www.bleepingcomputer.com/news/security/five-eyes-members-warn-of-accellion-fta-extortion-attacks/

 

Bombardier遭勒索软件攻击后出现数据泄露

https://www.bleepingcomputer.com/news/security/ransomware-gang-extorts-jet-maker-bombardier-after-accellion-breach/

 

Lazyscripter针对航空公司发起定向攻击

https://www.bleepingcomputer.com/news/security/lazyscripter-hackers-target-airlines-with-remote-access-trojans/

 

安全客 Security Geek

内网渗透代理之frp的应用与改造(一)

https://www.anquanke.com/post/id/231424

安全事件周报(02.15-02.21)

Ysck阅读(28)

 

0x01 事件导览

本周收录安全热点 11 项,话题集中在 网络攻击 方面,涉及的组织有: Singtel 、 Microsoft 、 EXMO 、 Android 等。Exchange部分源码遭窃,供应链攻击效率显著。对此,360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测,使用 360城市级网络安全监测服务QUAKE 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
保险商实验室(UL)认证巨头遭勒索
安卓应用程序的安全漏洞未修补,下载量达10亿次
Masslogger特洛伊木马变种窃取Outlook、Chrome凭据
数据安全
新加坡电信公司遭遇信息泄露
Clop勒索团伙在暗网上泄露Jones Day律师事务所数据
网络攻击
DDoS攻击关闭EXMO加密货币交换服务器
Malvertisers利用浏览器漏洞将用户重定向至诈骗页面
错误配置的婴儿监视器泄露在线视频流
Microsoft内部SolarWinds调查结果
黑客滥用Google Apps脚本窃取信用卡
网络钓鱼更改电子邮件超链接前缀以绕过防御

 

0x02 恶意程序

保险商实验室(UL)认证巨头遭勒索

日期: 2021年02月19日
等级: 高
作者: Lawrence Abrams
标签: UL LLC, Ransomware
行业: 科学研究和技术服务业
涉及组织: UL LLC

保险商实验室(ULLLC)遭到勒索软件攻击,黑客对其服务器进行加密,并导致服务器宕机。UL是美国最大、历史最悠久的安全认证公司,在40多个国家拥有14000名员工和办事处。UL标志遍布在各电器、笔记本电脑、电视遥控器、灯泡,甚至你的苹果USB充电器的背面。据消息人士称,UL决定不支付赎金,而是从备份中恢复系统。

详情

Underwriters Laboratories (UL) certification giant hit by ransomware

安卓应用程序的安全漏洞未修补,下载量达10亿次

日期: 2021年02月16日
等级: 高
作者: Catalin Cimpanu
标签: Android, SHAREit, RCE
行业: 信息传输、软件和信息技术服务业
涉及组织: google

一个下载超过10亿次的Android应用程序–SHAREit,包含未修补的漏洞。SHAREit是一款允许用户与朋友或个人设备之间共享文件的移动应用程序。攻击者通过中间人网络攻击,可以向SHAREit应用程序发送恶意命令,并劫持其合法功能来运行自定义代码、覆盖应用程序的本地文件,或者在用户不知情的情况下安装第三方应用程序。

详情

Security bugs left unpatched in Android app with one billion downloads

Masslogger特洛伊木马变种窃取Outlook、Chrome凭据

IOC

Name

  • hxxp://sinetcol[.]co/A7.jpg – January
  • hxxp://sinetcol[.]co/D7.jpg – January
  • hxxp://becasmedikal[.]com.tr/A5.jpg – January
  • hxxp://risu[.]fi/D9.jpg – November
  • hxxp://topometria[.]com.cy/A12.jpg – September
  • hxxp://bouinteriorismo[.]com/R9.jpg – November
  • hxxp://optovision[.]gr/4B.jpg – October
  • hxxp://hotelaretes[.]gr/V8.jpg – October
  • hxxp://jetfleet24[.]com/T5.jpg – October
  • hxxps://www.med-star[.]gr/panel/?/login – C2 panel
  • fxp://med-star[.]gr – exfiltration FTP

详情

Masslogger Trojan reinvented in quest to steal Outlook, Chrome credentials

相关安全建议

  1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  2. 条件允许的情况下,设置主机访问白名单
  3. 及时对系统及各个服务组件进行版本升级和补丁更新
  4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
  5. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
  6. 及时备份数据并确保数据安全
  7. 各主机安装EDR产品,及时检测威胁

 

0x03 数据安全

新加坡电信公司遭遇信息泄露

日期: 2021年02月17日
等级: 高
作者: Eileen Yu
标签: Singtel, FTA
行业: 信息传输、软件和信息技术服务业
涉及组织: Singtel

新加坡电信公司Singtel证实,12.9万名客户的个人数据被泄露,其中包括他们的身份证号码以及其他一些数据,包括姓名、出生日期、手机号码和实际地址。28名前Singtel员工的银行账户信息和一家使用Singtel移动电话的企业客户的45名员工的信用卡信息也被泄露。此外,包括供应商、合作伙伴和企业客户在内的23家企业的“部分信息”也遭到泄露。

详情

Singtel breach compromises data of customers, former employees

Clop勒索团伙在暗网上泄露Jones Day律师事务所数据

日期: 2021年02月17日
等级: 高
作者: Deeba Ahmed
标签: Jones Day, Clop, Leak Data, Dark Web
行业: 租赁和商务服务业
涉及组织: Jones Day

Clop勒索软件团伙在暗网上泄露了从美国律师事务所JonesDay窃取的数据。JonesDay是一家备受瞩目的美国律师事务所,代表美国前总统唐纳德·特朗普(DonaldTrump)对法律进行了全面的调查。就总收入而言,它是美国第十大公司。它的一些客户包括摩根大通公司,宝洁公司,AlphabetInc.的Google,沃尔玛公司和麦当劳。黑客在网站上发布消息称,他们从JonesDay盗走了大约100GB的文件,数据包括电子邮件和法律文件。

详情

Clop ransomware gang leaks Jones Day law firm data on dark web

相关安全建议

  1. 及时检查并删除外泄敏感数据
  2. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
  3. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
  4. 管控内部员工数据使用规范,谨防数据泄露并及时做相关处理

 

0x04 网络攻击

DDoS攻击关闭EXMO加密货币交换服务器

日期: 2021年02月15日
等级: 高
作者: Sergiu Gatlan
标签: British, EXMO, DDoS
行业: 金融业
涉及组织: EXMO

英国加密货币交易所EXMO的服务器在遭到分布式拒绝服务(DDoS)攻击后暂时宕机。攻击发生后,EXMO暂停了所有提款,并说明在此期间所有用户损失将由EXMO赔偿并完全退款。2021年2月17日,EXMO服务器恢复运行,并称:“我们恢复了工作。这是一次巨大的攻击(每秒30GB),影响了公司的整个基础架构,包括网站,API,WebsocketAPI和交换图表。因此,在这种情况下,任何交换中断几个小时都是很自然的。此次攻击已被击退,我们还采取了其他措施来防止这种情况再次发生。”

详情

DDoS attack takes down EXMO cryptocurrency exchange servers

Malvertisers利用浏览器漏洞将用户重定向至诈骗页面

日期: 2021年02月16日
等级: 高
作者: Ionut Ilascu
标签: ScamClub, WebKit, CVE-2021-1801
行业: 跨行业事件

ScamClub恶意组织利用WebKitWeb浏览器引擎中的漏洞,来将用户重定向至诈骗页面。所用漏洞为CVE-2021-1801。在过去三个月中,每天投放的恶意广告展示次数激增至1600万。

涉及漏洞

IOC

Name

  • xmou.s3.us-east-2.amazonaws.com/mou.js
  • impve.s3.amazonaws.com/create.js
  • dgoi.s3.us-east-2.amazonaws.com/goi.js
  • yflx.s3.us-east-2.amazonaws.com/flx.js
  • miil.s3.us-east-2.amazonaws.com/iia.js
  • djian.s3.amazonaws.com/jia.js
  • aimppv.s3.amazonaws.com/jiy.js
  • aylei.s3.amazonaws.com/lei.js
  • ajluo.s3.amazonaws.com/luo.js
  • apzaf.s3.amazonaws.com/zaf.js
  • appang.s3.us-east-2.amazonaws.com/pan.js
  • dkjieg.s3.amazonaws.com/jieg.js
  • adlya.s3.amazonaws.com/lya.js
  • yddof.s3.amazonaws.com/dof.js
  • meixop.s3.us-east-2.amazonaws.com/xop.js
  • aqkol.s3.amazonaws.com/kol.js
  • impvv.s3.us-east-2.amazonaws.com/dsd.js
  • mqyuj.s3.amazonaws.com/yuj.js
  • wpbgm.s3.amazonaws.com/bgm.js
  • pzhufm.s3.amazonaws.com/zhuf.js
  • cxpm.s3.amazonaws.com/cx.js
  • khpm.s3.amazonaws.com/kh.js
  • vcjm.s3.amazonaws.com/vc.js
  • lxpm.s3.amazonaws.com/lx.js
  • owpd.s3.amazonaws.com/ow.js
  • kdjm.s3.amazonaws.com/kd.js
  • rmbp.s3.amazonaws.com/bp.js
  • zhpmm.s3.amazonaws.com/zh.js
  • lrydy.s3-ap-southeast-1.amazonaws.com/lr.js
  • kiyy.s3-ap-southeast-1.amazonaws.com/ki.js
  • oummm.s3.amazonaws.com/ou.js
  • gsyyd.s3.amazonaws.com/gs.js
  • qqpm.s3.amazonaws.com/qq.js
  • nxya.s3-ap-southeast-1.amazonaws.com/nx.js
  • zpdk.s3.amazonaws.com/zp.js
  • mrptm.s3.amazonaws.com/mr.js
  • ktzmy.s3-ap-southeast-1.amazonaws.com/kt.js
  • nzdpy.s3-ap-southeast-1.amazonaws.com/nz.js
  • vpydy.s3-ap-southeast-1.amazonaws.com/vp.j

Domain

  • goodluckpig.space
  • goodluckman.space
  • goodluckguy.space
  • goodluckdog.space
  • luckytub.xyz
  • luckyguys.xyz
  • luckyguys.top
  • hknewgood.xyz
  • hknewgood.top
  • usgoodwinday.top
  • usgoodwinday.xyz
  • 2020workaffnew.top
  • vip.peopleluck.xyz
  • vip.fortunatefellow.xyz
  • vip.fortunateman.xyz
  • vip.fortunatetime.xyz
  • vip.fortunatepeople.xyz
  • vip.luckydevil.xyz
  • vip.superlucky.xyz
  • vip.luckydraw.space
  • vip.hipstarclub.com
  • workcacenter.space
  • trkcenter.xyz
  • trkingcenter.xyz
  • gotrkspace.xyz
  • trkmyclk.space
  • dbmtrk.xyz
  • trkmyclk.xyz

详情

Malvertisers exploited browser zero-day to redirect users to scams

错误配置的婴儿监视器泄露在线视频流

日期: 2021年02月17日
等级: 高
作者: Habiba Rashid
标签: RTSP, CCTV, Monitor, Video Stream
行业: 制造业

SafetyDetections网络安全团队调查显示,婴儿监视器存在一个漏洞,这是由于其配置错误,可能会导致攻击者未经授权访问摄像头的视频流。同时,不仅是婴儿监视器,其它使用RTSP的摄像机(如CCTV摄像机)已受此影响。这使攻击者能够接触到他们孩子、卧室的实时影像。

详情

Misconfigured baby monitors exposing video stream online

Microsoft内部SolarWoinds调查结果

日期: 2021年02月18日
等级: 高
作者: MSRC
标签: Microsoft, SolarWinds, Azure, Intune, Exchange
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

2020年12月,微软遭受了SolarWinds供应链攻击。2021年2月18日,微软发布此攻击事件内部调查报告。黑客获得了有限数量的源代码,主要包括 -部分Azure组件源代码(服务,安全性,身份的子集) -部分Intune组件源代码 -部分Exchange组件源代码 微软确定,泄露的代码不包括任何凭据。同时,微软表示会积极采用“零信任”的理念来创建优化安全模型。

详情

Microsoft Internal Solorigate Investigation – Final Update

黑客滥用Google Apps脚本窃取信用卡

日期: 2021年02月18日
等级: 高
作者: Sergiu Gatlan
标签: Google, CSP, Credit Cards
行业: 金融业
涉及组织: google

攻击者滥用Google的AppsScript业务应用开发平台,来窃取电子商务网站客户在线购物时提交的信用卡信息。在线商店会认为Google的Apps脚本域是受信任的,并有可能将所有Google子域加入其站点的CSP配置(阻止Web应用程序中不受信任的代码执行的安全标准)白名单。由此,使用script.google.com域的恶意软件扫描引擎成功隐藏其恶意活动,并绕过内容安全策略(CSP)控件。

详情

Hackers abuse Google Apps Script to steal credit cards, bypass CSP

网络钓鱼更改电子邮件超链接前缀以绕过防御

日期: 2021年02月19日
等级: 高
作者: Bradley Barth
标签: Phishing, Bypass Defenses, URL Beginning
行业: 跨行业事件

安全研究人员称,他们已经检测到网络钓鱼利用更改电子邮件超链接前缀的方法来绕过防御。换句话说,URL不是以“http://”开头,而是以“http://”开头。但URL的其余部分保持不变。这些网址与简单的电子邮件扫描程序的已存储ioc不符,使得它们可以在未被发现的情况下绕过防御。

详情

Phishing campaign alters prefix in emailed hyperlinks to bypass defenses

相关安全建议

  1. 及时对系统及各个服务组件进行版本升级和补丁更新
  2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
  3. 积极开展外网渗透测试工作,提前发现系统问题
  4. 软硬件提供商要提升自我防护能力,保障供应链的安全
  5. 不盲目信任云端文件及链接
  6. 不盲目安装官方代码仓库的第三方Package
  7. 不盲目安装未知的浏览器扩展

 

0x05 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06 时间线

2021-02-22 360CERT发布安全事件周报

VMware多个高危漏洞通告

Ysck阅读(32)

 

0x01事件简述

2021年02月24日,360CERT监测发现VMware发布了Vcenter ServerESXI的风险通告,事件等级:严重,事件评分:9.8

VMware更新了ESXIvSphere Client(HTML5)中的两个高危漏洞,具有网络端口访问权限的恶意攻击者可以通过漏洞执行任意代码。

对此,360CERT建议广大用户及时将Vcenter ServerESXI产品升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03漏洞详情

CVE-2021-21972: 代码执行漏洞

具有443端口访问权限的恶意攻击者可以通过向vCenter Server发送精心构造的请求,最终造成远程任意代码执行。

CVE-2021-21974: 堆溢出漏洞

与ESXI处于同一网段且可以访问427端口的恶意攻击者可以构造恶意请求包触发OpenSLP服务中的堆溢出漏洞,最终造成远程代码执行。

 

0x04影响版本

– vmware:esxi: 7.0/6.7/6.5

– vmware:vcenter_server: 7.0/6.7/6.5

 

0x05修复建议

通用修补建议

CVE-2021-21972:

– vCenter Server7.0版本升级到7.0.U1c

– vCenter Server6.7版本升级到6.7.U3l

– vCenter Server6.5版本升级到6.5 U3n

CVE-2021-21974:

– ESXi7.0版本升级到ESXi70U1c-17325551

– ESXi6.7版本升级到ESXi670-202102401-SG

– ESXi6.5版本升级到ESXi650-202102101-SG

临时修补建议

CVE-2021-21972

1. SSH远连到vCSA(或远程桌面连接到Windows VC)

2. 备份以下文件:

– Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

– Windows文件路径为:C:ProgramDataVMwarevCenterServercfgvsphere-ui (Windows VC)

3. 使用文本编辑器将文件内容修改为:

4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务 5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister,显示404错误

6. 在vSphere ClientSolutions->Client PluginsVMWare vROPS插件显示为incompatible

CVE-2021-21974

1. 使用/etc/init.d/slpd stop命令在ESXI主机上停止SLP服务(仅当不使用SLP服务时,才可以停止该服务。可以使用esxcli system slp stats get命令查看服务守护程序运行状态) 2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0命令禁用SLP服务 3. 使用chkconfig slpd off命令保证此更改在重启后持续存在 4. 利用chkconfig --list | grep slpd命令检查是否在重启后更改成功,若回显为slpd off则证明成功

 

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现vCenter Server具体分布如下图所示。

ESXI具体分布如下图所示。

 

0x07产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

 

0x08时间线

2021-02-23 VMware官方发布安全通告

2021-02-24 360CERT发布通告

 

0x09参考链接

1、 VMware官方安全通告

2、 官方漏洞通告

 

0x0a特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

VMware多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。