AG公司科技威胁情报周报（2020.09.21-2020.09.27）

2020-09-27

一、威胁通告

Linux内核权限提升误差通告（CVE-2020-14386）

【宣布时间】2020-09-24 18:00:00 GMT

【概述】

克日，AG公司科技监测发明Linux kernel 保存一个权限提升误差（CVE-2020-14386），由于net/packet/af_packet.c在处置惩罚AF_PACKET时保存整数溢出，导致可举行越界写从而实现权限提升，攻击者可以使用此误差从非特权历程获得系统root权限。使用了Linux Kernel的openshift/docker/kubernetes等虚拟化产品可能会受到该误差影响，导致虚拟化逃逸，请相关用户接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

WebSphere XML外部实体注入（XXE）误差处置惩罚手册（CVE-2020-4643）

【宣布时间】2020-09-24 17:00:00 GMT

【概述】

克日，IBM官方宣布通告修复了WebSphere Application Server（WAS）中的一个XML外部实体注入（XXE）误差（CVE-2020-4643），由于WAS未准确处置惩罚XML数据，攻击者可以使用此误差远程获取服务器上的敏感信息。CVE-2020-4643由AG公司科技清静研究团队报告给IBM，可以与CVE-2020-4450组合使用抵达无需身份认证的XXE误差，造成服务器敏感信息泄露，使用重漂后较低，危害较高。请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 严重误差允许黑客挟制Firefox Android浏览器

【概述】

Mozilla修复了一个误差，该误差可能使攻击者挟制共享统一Wi-Fi网络的任何Firefox Android浏览器。Firefox Android Web浏览器用户必需升级到Firefox Android应用程序的最新可用版本，以避免其装备被挟制。缘故原由是攻击者可以使用此误差挟制统一网络上的所有Firefox Web浏览器。与GitLab相关的澳大利亚清静研究职员Chris Moberly 在较旧版本的Android手机Firefox Web浏览器的SSDP（简朴服务发明协议）引擎中发明了一个远程下令执行误差。

【参考链接】

https://www.hackread.com/vulnerability-allowed-hackers-hijack-firefox-android-browser/

2. 案例研究：Emotet线程挟制，一种电子邮件攻击手艺

【概述】

推动Emotet恶意软件的恶意垃圾邮件（malspam）是最常见的基于电子邮件的威胁，远远凌驾了其他恶意软件家族，只有少数其他威胁正在靠近。近几周来，我们发明使用“线程挟制”手艺的Emotet垃圾邮件数目显着增添，该手艺使用了从受熏染盘算机的电子邮件客户端窃取的正当新闻。此垃圾邮件诱骗了正当用户，并冒充了对被盗电子邮件的回复。线程被挟制的垃圾邮件将从原始邮件发送到地点。这种手艺比许多人现已发明的不太重大的要领有用得多。这种要领在说服潜在的受害者单击附件文件或单击链接以下载带有设计为用Emotet熏染用户的宏的恶意Word文档方面更为乐成。在这里，我们回首一个Emotet的线程挟制历程的案例研究，以便我们可以更好地熟悉和明确这种手艺。

【参考链接】

https://unit42.paloaltonetworks.com/emotet-thread-hijacking/

3. TikTok危害国家清静？美国网络清静专家体现“看不懂”

【概述】

特朗普于8月6日宣布榨取令的理由只有一个：基于中国的应用程序保存“国家清静问题”。而商务部长威尔伯·罗斯（Wilbur Ross）在新闻稿中还增补了一条“隐私侵占”，由于这些应用程序允许“中国恶意网络美国公民的小我私家数据。”这个问题，从手艺层面来说，只有网络清静和隐私�；さ淖ㄒ等耸坎抛钣薪不叭�。克日，Threatpost搞了个美国网络清静专家钻研会，约请了多位大咖发声，是现在为止从手艺层面临TikTok和Wechat相关的清静和隐私话题最为专业的探讨。

【参考链接】

https://www.aqniu.com/industry/70308.html

4. Fort McCoy向导人审查了设施的大盛行应对步伐

【概述】

到2020年6月10日，陆军上校Michael D. Poss指挥Fort McCoy（威斯康星州）驻军时，他很可能是第一个在该国应对全球盛行病时担当这一职务的人。波斯斯说：“今年春天，我和其他人一样都在履历这种大盛行。”在来到麦考伊堡之前，他是堪萨斯州威奇托陆军后备中心第451远征维持司令部的照料长。“我们可能正在履历与其他所有人正在处置惩罚的相同的事情。我们正在试图弄清晰怎样在这种新情形中举行操作。”

【参考链接】

https://www.defense.gov/Explore/Features/Story/Article/2357161/fort-mccoy-leader-reviews-installations-pandemic-response/

5. 电子邮件转达的MoDi RAT攻击会粘贴PowerShell下令

【概述】

SophosLabs的研究职员Fraser Howard和Andrew O'Donnell 上个月在通过威胁遥测举行征采时无意发明了一种不寻常的反射式装载机攻击要领。攻击链始于包括一些仇视的VB剧本代码的恶意电子邮件，最后以交付名为MoDi RAT的商品远程会见木马为最后。

【参考链接】

https://news.sophos.com/en-us/2020/09/24/email-delivered-modi-rat-attack-pastes-powershell-commands/

6. Cardbleed：大规模的Magento1破解

【概述】

从上周末到现在为止，规模最大的有据可查的广告运动已破损了全球近2000家Magento 1市肆。这是一种典范的Magecart攻击：注入的恶意代码将阻挡毫无疑问的市肆客户的付款信息。被检查市肆运行的是Magento版本1，该版本于去年6月宣布终止。

【参考链接】

https://sansec.io/research/cardbleed

7. Taidoor-真正长期的威胁

【概述】

政府支持的行为者通常在网络空间中举行恒久的运动，并且为了简化这种一连的历程，他们经�？⒍褚夤ぞ�，以期恒久使用它们。像任何其他恶意工具一样，它们需要隐身，并且在被检测到时，需要举行一些修改才华再次检测不到。这种工具的一个示例是Taidoor RAT（远程会见木马），其历史可以追溯到2008年，最近发明了其新版本，并在美国政府机构宣布的手艺报告中举行了先容。Taidoor被形貌为由中国政府支持的网络加入者开发和使用的远程会见木马。

【参考链接】

https://blog.reversinglabs.com/blog/taidoor-a-truly-persistent-threat

8. MTR案例：阻止1500万美元的Maze勒索软件攻击

【概述】

Sophos托管威胁响应（MTR）团队应邀资助以Maze勒索软件为目的的组织。攻击者发出了1500万美元的赎金要求-若是他们乐成了，这将是迄今为止支出最多的勒索软件之一。

【参考链接】

https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/

9. 苹果高危误差允许攻击者在iPhone、iPad、iPod上执行恣意代码

【概述】

苹果宣布了iOS和iPadOS操作系统的更新，修复了多个清静性问题。通过此清静更新，Apple 解决了 AppleAVD，Apple Keyboard，WebKit和Siri等州产品和组件中的11个误差。在已修复的误差中，严重性最高的是CVE-2020-9992，它允许攻击者在系统上执行恣意代码。

【参考链接】

https://www.4hou.com/posts/Jlpl

10. 德国视察职员指责俄罗斯的DoppelPaymer团伙制造了致命的医院袭击

【概述】

德国政府对最近对杜塞尔多夫医院的袭击举行的视察显示，俄罗斯黑客可能加入其中。

【参考链接】

https://securityaffairs.co/wordpress/108620/malware/doppelpaymer-german-hospital-attack.htm

<<上一篇

WebSphere?XML外部实体注入（XXE）误差（CVE-2020-4643）处置惩罚手册

>>下一篇

AG公司科技威胁情报月报（2020年9月）