首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第15周

颁布功夫 2020-04-14

> 本周安全态势综述

2020年04月06日至12日共收录安全缝隙55个，值得关注的是Broadcom Advanced Secure Gateway/ProxySG未授权接见缝隙; Linux kernel drivers/input/input.c越界写缝隙；OpsRamp Gateway默认编码缝隙；Synergy Systems & Solutions HUSKY RTU 6049-E70 telnet验证绕过缝隙；SolarWinds Dameware ECDH key互换缓冲区溢露马脚。

本周值得关注的网络安全事务是FireEye颁布最近数年0day利用情况的分析汇报；FIN6及运营TrickBot的团伙结合的攻击活动；尼泊尔ISP Vianet遭黑客入侵，170万客户数据泄露；俄罗斯电信公司Rostelecom劫持多个企业的互联网流量；微软颁布Emotet攻击Fabrikam公司的案例钻研汇报。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Broadcom Advanced Secure Gateway/ProxySG未授权接见缝隙

Broadcom Advanced Secure Gateway/ProxySG节造台存在会话劫持问题，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权接见治理接口。

https://support.broadcom.com/security-advisory/security-advisory-detail.html?notificationId=SYMSA1752

2. Linux kernel drivers/input/input.c越界写缝隙

Linux kernel drivers/input/input.c存在越界写缝隙，允许本地攻击者能够利用缝隙提交特殊的要求，通过特助的keycode表触发，提升权限。

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cb222aed03d798fc074be55e59d9a112338ee784

3. OpsRamp Gateway默认编码缝隙

OpsRamp Gateway存在密码为password 9vt@f3Vt的治理怨厮户，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权接见系统。

https://www.criticalstart.com/hard-coded-administrator-password-discovered-in-opsramp/

4. Synergy Systems & Solutions HUSKY RTU 6049-E70 telnet验证绕过缝隙

Synergy Systems ＆ Solutions HUSKY RTU 6049-E70 telnet服务不必要验证缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权接见。

https://www.us-cert.gov/ics/advisories/icsa-20-042-01

5. SolarWinds Dameware ECDH key互换缓冲区溢露马脚

SolarWinds Dameware ECDH key互换处置'SigPubkeyLen'存在缓冲区溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩�；蚩芍葱兴烈獯�。

https://www.tenable.com/security/research/tra-2020-19

> 沉要安全事务综述

1、FireEye颁布最近数年0day利用情况的分析汇报

宝运莱·(中国区)最新官方网站

FireEye Mandiant威胁谍报团队纪录的2019年0day利用量比前三年中的任何一年都要多。只管并不能将每一个0day利用都归因到特定的攻击者，但钻研人员把稳到越来越多的攻击者获得了0day利用的能力。FireEye以为，这种激增至少部门是由于不休发展的雇佣黑客行业发展起来的，这些行业开发0day利用工具并将其销售给世界各地的谍报机构。攻击者与0day利用之间的最大阻碍不是技术，而是现金。具体来说，FireEye指出NSO Group、Gamma Group和Hacking Team是这类承包商，这些承包商使一批新的国度/地域可能采办0day利用。

原文链接：

https://www.fireeye.com/blog/threat-research/2020/04/zero-day-exploitation-demonstrates-access-to-money-not-skill.html

2、FIN6及运营TrickBot的团伙结合的攻击活动

宝运莱·(中国区)最新官方网站

IBM X-Force钻研人员暗示，在最近的网络攻击中发现了FIN6的痕迹，这些攻击活动最初利用TrickBot木马习染受害者，而后最终下载了Anchor后门。钻研人员称这两个犯罪组织-TrickBot的运营团伙以及FIN6-已经进行合作，这是网络犯罪集体现有合作趋向中的“新的危险转折”。Anchor至少能够追忆到2018年，似乎是由TrickBot的运营团伙编写的““多合一攻击框架”，它由各类子�？樽槌�，能够援手攻击者在网络上横向传布（例如装置后门）。同时TrickBot的另一个工具PowerTrick重要用于在受习染的高价值指标（例如金融机构）内部进行隐身、悠久性和窥伺。IBM X-Force指出FIN6参加了利用Anchor和PowerTrick的攻击，其存在的最大指标是攻击中使用的装载法式（Terraloader）和后门（More_eggs）。

原文链接：

https://threatpost.com/fin6-and-trickbot-combine-forces-in-anchor-attacks/154508/

3、尼泊尔ISP Vianet遭黑客入侵，170万客户数据泄露

宝运莱·(中国区)最新官方网站

尼泊尔互联网服务提供商Vianet Communications确认其信息系统遭黑客入侵，客户的幼我信息被窃。黑客在Twitter帐户上宣称窃取了170万Vianet客户的数据，蕴含他们的姓名、手机号码、地址和电子邮件地址。黑客的推文中还蕴含托管在洋葱网络上的泄露数据链接。Vianet在其官方申明中确认了这一事务，并暗示已经确定了泄露的本原和采取适当的措施来加强安全性。

原文链接：

https://www.nepalitelecom.com/2020/04/vianet-customer-data-leaks-hack.html

4、俄罗斯电信公司Rostelecom劫持多个企业的互联网流量

宝运莱·(中国区)最新官方网站

4月1日俄罗斯电信公司Rostelecom劫持了谷歌等公司的互联网流量，该事务影响了世界上最大的200多个CDN网络及云托管服务商，持续了约莫1个幼时。受影响的企业蕴含谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等驰名公司。这是一次典型的BGP劫持事务，该事务的原因可能是Rostelecom的内部流量建改系统谬误地将不正确的BGP路由露出在公网上，并且被上游供给商广播造成的。

原文链接：

https://www.zdnet.com/article/russian-telco-hijacks-internet-traffic-for-google-aws-cloudflare-and-others/

5、微软颁布Emotet攻击Fabrikam公司的案例钻研汇报

宝运莱·(中国区)最新官方网站

微软在检测和响应幼组（DART）案例汇报002中分享了Fabrikam公司遭逢Emotet攻击的具体信息。该攻击始于网络垂钓邮件，当内部员工接见了垂钓信息后，Emotet习染了其系统并横向习染了统一网络中的其它系统。该病毒预防了通过号令和节造服务器（C2）进行定期更新而被防病毒解决规划检测到的情况，并且通过使Windows设备上的CPU使用率达到鼓和来终场主题服务，导致该组织的根基服务和网络中断了将近一周的功夫。CPU使用率一向鼓和使得推算机过热，导致内部系统卡死、沉启和网络衔接降落。该恶意软件通过窃取治理怨厥户痛处进行横向移动，在最初习染后的8天之内，Fabrikam的整个网络就被关关了。

原文链接：

https://www.microsoft.com/security/blog/wp-content/uploads/2020/04/Case-study_Full-Operational-Shutdown.pdf

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

信息安全周报-2020年第15周

关于宝运莱官方网站

解决规划

联系宝运莱官方网站

7*24幼时服务热线