记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华绿盟科技威胁周报(20220117-20220123)
阅读:20一、威胁通告Oracle全系产品1月关键补丁更新通告(CVE-2022-21306、CVE-2022-21292、CVE-2022-21371)【发布时间】2022-01-20 11:00:00 GMT【概述】2022年1月19日?
Apache log4j反序列化与SQL注入漏洞(CVE-2022-23302/CVE-2022-23305/CVE-2022-23307)通告
阅读:51一、漏洞概述1月19日,绿盟科技CERT监测到Apache发布安全公告披露了3个Log4j的漏洞,均影响Apache Log4j 1.x版本,且官方不再进行支持维护,请相关用户尽快采取措施进行防护。Apache log4j JMSSink反序列化代码执行漏洞(CVE-2022-23302):当攻击者具有修改Log4j配置的权限或配置引用了攻击者有权访问的LDAP服务时,Log4j1.x所有版本中的JMSSink 都容易受到不可信数据的反序列化。
Oracle全系产品1月关键补丁更新通告
阅读:6一、概述2022年1月19日,绿盟科技CERT监测发现Oracle官方发布了1月关键补丁更新公告CPU(Critical Patch Update),此次共修复了497个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
HTTP协议栈远程代码执行漏洞(CVE-2022-21907)通告
阅读:95一、漏洞概述1月12日,绿盟科技CERT监测到微软发布月度安全更新,其中修复了一个HTTP协议栈远程代码执行漏洞(CVE-2022-21907)。由于HTTP协议栈(HTTP.sys)中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。未经身份验证的攻击者通过向Web服务器发送特制的HTTP数据包,从而在目标系统上执行任意代码。该漏洞被微软提示为“可蠕虫化”,无需用户交互便可通过网络进行自我传播,CVSS评分为9.8。目前已发现可造成目标主机蓝屏崩溃的漏洞利用出现,请相关用户尽快采取措施进行防护。
微软1月安全更新多个产品高危漏洞通告
阅读:5一、漏洞概述1月12日,绿盟科技CERT监测到微软发布1月安全更新补丁,修复了97个安全问题,涉及Windows、Microsoft Office、Exchange Server、Microsoft .NET Framework等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)通告
阅读:11一、漏洞概述1月12日,绿盟科技CERT监测发现Apache发布安全通告,修复了Dubbo一个远程代码执行漏洞(CVE-2021-43297)。由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数 Dubbo 用户默认使用 Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。请相关用户尽快采取措施进行防护。Apache Dubbo 是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。
绿盟科技威胁周报(20220103-20220109)
阅读:13一、威胁通告飞致云MeterSphere开源测试平台远程代码执行漏洞【发布时间】2022-01-06 17:00:00 GMT【概述】1月6日,绿盟科技CERT监测发现FIT2CLOUD飞致云发布通告,修复了MeterSphere一站式开源持续测试平台存在的远程代码执行漏洞。由于自定义插件功能处存在缺陷,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。请相关用户尽快采取措施进行防护。 MeterSphere是由杭州飞致云信息科技有限公司开发的一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能。
飞致云MeterSphere开源测试平台远程代码执行漏洞通告
阅读:30一、漏洞概述1月6日,绿盟科技CERT监测发现FIT2CLOUD飞致云发布通告,修复了MeterSphere一站式开源持续测试平台存在的远程代码执行漏洞。由于自定义插件功能处存在缺陷,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。请相关用户尽快采取措施进行防护。 MeterSphere是由杭州飞致云信息科技有限公司开发的一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能。
绿盟科技威胁周报(20211227-20210102)
阅读:24一、热点资讯攻击者针对 HTTP/2 协议发起HTTP Desync攻击【概述】研究人员介绍了攻击者是利用漏洞发起HTTP Desync攻击的,目标都是一些知名网站,这些漏洞通过劫持客户端、木马化缓存、还有窃取凭据来发起攻击。并表示通过重定向 JavaScript 包含,他们可以执行恶意 JavaScript 来破坏 Netflix 帐户,并窃取密码和信用卡号。通过循环运行这种攻击,可以在没有用户交互的情况下逐渐攻击网站的所有活跃用户,这种严重程度是请求走私的典型表现。
绿盟威胁情报月报-202112
阅读:2912月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)和Windows Active Directory 域服务权限提升漏洞(CVE-2021-42287,CVE-2021-42278)影响范围相对较大。前者由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码,CVSS评分10.0。
Apache Log4j多个高危漏洞(CVE-2021-44228/CVE-2021-4104/CVE-2021-45046/CVE-2021-45105/ CVE-2021-44832)处置手册
阅读:76一、漏洞概述12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
绿盟科技威胁周报(20211220-20211226)
阅读:9一、热点资讯伊朗黑客使用Slack API攻击亚洲航空公司【概述】据研究人员称,伊朗的一个黑客组织正在使用消息平台Slack上的免费工作空间,在亚洲某航空公司的系统中部署了后门。并表示被称为Aclip的后门可能使攻击者能够访问航空公司的乘客预订数据。Aclip名称来自名为“aclip.bat”的 Windows 批处理脚本,能通过添加一个注册表密钥建立持久性,并在受感染设备的系统启动时自动启动。
Apache Log4j多个高危漏洞(CVE-2021-44228/CVE-2021-4104/CVE-2021-45046/CVE-2021-45105)处置手册
阅读:17一、漏洞概述12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
绿盟科技威胁周报(20211213-20211219)
阅读:25一、威胁通告微软12月安全更新多个产品高危漏洞通告(CVE-2021-43890、CVE-2021-43883、CVE-2021-43215)【发布时间】2021-12-16 14:00:00 GMT【概述】12月15日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了67个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Microsoft PowerShell等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
从微软符号服务器下载PE文件
阅读:12假设有_NT_SYMBOL_PATH=srvX:symhttp://msdl.microsoft.com/download/symbols在”X:sym”下发现除了PDB文件,还有些PE文件。比如:X:symntoskrnl.exe6180891781b00
Apache Log4j多个高危漏洞完整处置手册
阅读:27一、漏洞概述12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
微软12月安全更新多个产品高危漏洞通告
阅读:12一、漏洞概述12月15日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了67个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Microsoft PowerShell等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
Windows Active Directory 域服务权限提升漏洞通告
阅读:5一、漏洞概述12月13日,绿盟科技CERT监测发现有研究人员公开了Active Directory Domain Services权限提升漏洞(CVE-2021-42287、CVE-2021-42278)的 PoC。微软官方已在11月的安全更新发布了以上漏洞的修复补丁,请相关用户尽快采取措施进行防护。CVE-2021-42287(CVSS 3.0评分8.8):由于Active Directory没有对域中计算器与服务器账号名进行验证,经过身份验证的远程攻击者利用该漏洞绕过安全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。
VMware 多个产品存在 Log4j2远程代码执行漏洞(CVE-2021-44228)通告
阅读:28一、漏洞概述近日,绿盟科技CERT监测到VMware 发布安全通告,VMware的众多产品受Apache Log4j2远程代码执行漏洞(CVE-2021-44228)的影响。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在受影响的 VMware 产品中执行任意代码。漏洞PoC已公开,且发现在野利用,建议相关用户尽快采取措施进行排查与防护。
绿盟科技威胁周报(20211206-20211212)
阅读:23一、威胁通告Apache Log4j2 远程代码执行漏洞处置手册【发布时间】2021-12-10 14:00:00 GMT【概述】12 月 9 日,绿盟科技CERT监测到网上披露Apache Log4j2远程代码执行漏洞,由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞 PoC 已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
Apache Log4j远程代码执行漏洞( CVE-2021-44228)完整处置手册
阅读:15一、漏洞概述12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
Apache Log4j2 远程代码执行漏洞处置手册
阅读:422一、漏洞概述12月9日,绿盟科技CERT监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。
使用MSSQL加载运行CLR代码
阅读:0简介为了满足数据库用户代码访问诸如表和列的数据库对象和数据库管理员代码控制对操作系统资源的访问(如文件和网络访问)的能力,微软在SQL Server2005之后为其引入CLR在MSSQL中运行.NET代码的能力,用户可以在托管代码中编写存储过程(stored procedures)、触发器(triggers)、用户定义函数(user-defined functions)、用户定义类型(user-defined types)、用户定义聚合(user-defined aggregates)等,利用Transact-SQL加载运行托管程序集执行代码。
绿盟科技威胁周报(20211129-20211205)
阅读:25一、热点资讯黑客利用Tardigrade 恶意软件攻击生物制造设施【概述】研究人员发现一种高级持续威胁 (APT) 与今年在名为“ Tardigrade ”的自定义恶意软件加载程序的帮助下发生的两家生物制造公司的网络攻击有关。Tardigrade通过网络钓鱼电子邮件或受感染的USB驱动器传播,是SmokeLoader的高级分支,SmokeLoader是一种基于Windows的后门程序,由Smoky Spider组织运营。该恶意软件充当其他恶意软件有效载荷的入口点,并且即使在切断其命令和控制服务器以执行其恶意活动时也能自主运行。
绿盟威胁情报月报-202111
阅读:611月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,(Linux Kernel远程代码执行漏洞(CVE-2021-43267)和Microsoft Dynamics 365远程代码执行漏洞 (CVE-2021-42316)影响范围相对较大。
绿盟科技威胁周报(20211122-20211128)
阅读:14一、威胁通告黑客利用开源代码平台 SonarQube 漏洞泄露多家单位源【发布时间】2021-11-25 18:00:00 GMT【概述】2021 年 10 月以来,绿盟科技 CERT 监测发现境外黑客组织 AgainstTheWest(简称“ATW”)针对暴露在公网上的 SonarQube 平台进行攻击,窃取了我国多家企业单位信息系统源代码,并在国外黑客论坛 RaidForums 上进行非法售卖。10 月 14 日,ATW 在 RaidForums 上发帖称要泄露我国某银行系统源代码,并在此后一段时间内持续发帖泄露、售卖我国多家重要单位源代码数据信息。
绿盟科技威胁周报(20211115-20211121)
阅读:19一、热点资讯攻击者利用HTML走私技术发起钓鱼攻击【概述】研究人员警告说,攻击者越来越多地在网络钓鱼活动中使用 HTML 走私技术。它是一种利用合法 HTML5 和 JavaScript 功能的恶意软件传送的高度规避技术,恶意负载通过 HTML 附件或网页中的编码字符串传送。恶意 HTML 代码是在目标设备上的浏览器中生成的,该设备已经处于受害者网络的安全范围内。当目标用户在其 Web 浏览器中打开 HTML 时,浏览器会对恶意脚本进行解码,进而在主机设备上组装有效载荷。因此,攻击者不是让恶意可执行文件直接通过网络,而是在防火墙后面本地构建恶意软件从而达到攻击目的。
绿盟科技威胁周报(20211108-20211114)
阅读:15一、威胁通告微软11月安全更新多个产品高危漏洞(CVE-2021-42279、CVE-2021-42321、CVE-2021-42316)【发布时间】2021-11-11 11:00:00 GMT【概述】11月10日,绿盟科技CERT监测到微软发布11月安全更新补丁,修复了55个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
微软11月安全更新多个产品高危漏洞通告
阅读:10一、漏洞概述11月10日,绿盟科技CERT监测到微软发布11月安全更新补丁,修复了55个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
绿盟科技威胁周报(20211101-20211107)
阅读:15一、威胁通告Linux Kernel远程代码执行漏洞通告(CVE-2021-43267)【发布时间】2021-11-05 18:00:00 GMT【概述】近日,绿盟科技CERT监测到有研究人员公开披露了Linux内核TIPC模块中的一个堆溢出漏洞(CVE-2021-43267);由于TIPC功能模块对用户提供的 MSG_CRYPTO消息类型大小验证不足,造成 Linux 内核中的越界写入,从而导致攻击者利用该漏洞堆溢出实现本地或远程代码执行。CVSS评分为9.8,请相关用户及时采取措施防护。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤