记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华关于1月13日爆发的incaseformat病毒事件分析
文章目录一、背景二、病毒分析三、感染分析四、处置建议五、附录声明阅读: 1一、背景2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。
Incaseformat病毒检测防护建议
文章目录综述病毒概述检测防护建议声明关于绿盟科技阅读: 4综述2021 年 1 月 13 日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的 incaseformat 病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相 关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下 均存在名为 incaseformat.log 的空文件,因此网络上将此病毒命名为 incaseformat。
Apache Flink目录遍历漏洞(CVE-2020-17518、17519)安全通告
文章目录综述受影响产品版本修复漏洞的版本解决方案声 明关于绿盟科技阅读: 17综述近日,Apache Flink 公布了两个目录遍历漏洞,分别是CVE-2020-17518和CVE-2020-17519。目前官方已提供修复了漏洞的新版本,还请受影响用户尽快更新升级进行防护。CVE-2020-17518:Flink 1.5.1版本中引入了REST API,该漏洞允许攻击者通过构造恶意的HTTP header,将上传的文件写入到本地文件系统上的任意位置。
发布时间:2021-01-07 16:58 |
阅读:8629 | 评论:0 |
标签:威胁通告 Apache Flink CVE-2020-17518 CVE-2020-17519 漏洞 CVE 安全
一场利用Citrix ADC的全球性DDoS反射攻击正在进行
阅读: 9攻击者正在针对Citrix ADC (Application Delivery Controller),同时利用其发起反射攻击,目前官方尚未发布修复补丁。“从12月19日起,我们侦测到了一场可能针对Citrix网关设备 UDP:443端口DTLS EDT服务的全球性DDOS反射攻击”,来自德国一家软件公司的IT管理员 Macro Hofmann指出。12月20日, 21日也持续有受害者表示遭遇此攻击。(来源:Marco Hofmann)Citrix于12月24日证实了这一攻击的发生。根据ZDNet报告,受害者多为在线游戏服务提供商,如Steam,Xbox。
【安全通告】SolarWinds 供应链攻击
文章目录综述事件背景解决方案阅读: 1综述北京时间12月14日,FireEye发布了关于SolarWinds供应链攻击的通告。通告中表示SolarWinds产品于2020年3月左右被攻击者植入后门,受到了严重的供应链攻击,目前SolarWinds已经发布相关更新,建议用户立即安装进行修复。
【防护方案】FireEye 红队工具被盗事件
文章目录一、综述二、技术防护方案2.1 FireEye官方对策2.1.1 被窃工具检测规则2.1.2 被窃工具涉及漏洞2.2 临时解决方案2.3 绿盟科技检测防护建议2.3.1 针对被窃红队工具的检测与防护2.3.2 针对被窃工具相关漏洞的检测与防护三、事件启示附录 A. 相关漏洞检测防护详情附录 B. 产品使用指南4.1 RSAS扫描配置4.2 UTS检测配置4.3 IPS防护配置4.4 WAF防护配置4.5 TAM配置4.6 ESP-H配置阅读: 11一、综述当地时间12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。
【安全通告】Microsoft Exchange 远程代码执行漏洞(CVE-2020-17144)
文章目录综述受影响版本解决方案阅读: 1综述在微软最新发布的12月安全更新中公布了一个存在于 Microsoft Exchange Server 2010中的远程代码执行漏洞(CVE-2020-17144),官方定级 Important。漏洞是由程序未正确校验cmdlet参数引起。经过身份验证的攻击者利用该漏洞可实现远程代码执行。该漏洞和 CVE-2020-0688 类似,也需要登录后才能利用,不过在利用时无需明文密码,只要具备 NTHash 即可。除了常规邮件服务与 OWA外,EWS接口也提供了利用所需的方法。漏洞的功能点本身还具备持久化功能。
【安全通告】OpenSSL拒绝服务漏洞(CVE-2020-1971)
文章目录综述受影响版本不受影响版本解决方案阅读: 1综述当地时间12月8日,OpenSSL发布安全通告公布了一个空指针解引用漏洞(CVE-2020-1971),官方评级高危。漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中,GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例,以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时,将触发空指针解引用,造成程序崩溃最终导致拒绝服务。因此,如果攻击者可以控制被比较的两个参数则就有可能触发崩溃。例如,欺骗客户端或服务器,使其根据恶意CRL检查恶意证书。
【安全通告】Struts2 S2-061 远程代码执行漏洞 (CVE-2020-17530)
文章目录综述受影响产品不受影响版本解决方案阅读: 100综述12月8日,Struts官方发布安全通告,公布了一个潜在的远程代码执行漏洞S2-061(CVE-2020-17530)。漏洞缘于对输入验证不足,导致在计算原始用户输入时强制进行两次Object Graph Navigation Library(OGNL)计算。当在Struts标签属性中强制使用OGNL表达式并可被外部输入修改时,攻击者可构造恶意的OGNL表达式触发漏洞。漏洞已Struts 2.5.26版本中修复,建议受影响用户尽快升级进行防护。
【威胁通告】TCP/IP协议库漏洞 AMNESIA:33
文章目录综述受影响产品解决方案阅读: 0综述12月8日,Forescout研究实验室披露了四个开源TCP/IP软件库中共33个漏洞。这一系列漏洞被统称为 AMNESIA:33,受影响软件库分别是uIP(发现13个漏洞)、picoTCP(10个)、 FNET(5个)、和Nut/Net(5个)。这些漏洞预计影响150多家供应商和数百万设备,涉及嵌入式设备的操作系统、芯片系统、网络设备、OT设备以及大量企业级和消费级物联网设备。利用漏洞攻击者能够破坏设备、执行恶意代码、造成拒绝服务,此外还能窃取敏感信息。
网络安全公司“火眼”被黑 红队工具被盗
文章目录事件概述被盗工具简介识别检测方法需特别关注的CVE参考链接:阅读: 2事件概述当地时间12月8日,据FireEye博客公布,某高级组织盗取了FireEye红队工具。由于暂不能确定攻击者将自己使用被盗工具还是公开披露,所以FireEye率先在博客中发布对策,以使各组织够提前采取应对措施。被盗工具简介被盗红队工具的种类包括用于自动侦察的简单脚本到与CobaltStrike、Metasploit等技术类似的整体框架。其中许多工具已向社区或在其开源虚拟机CommandoVM中发布。这些工具中一些是经过修改以逃避基本安全检测机制的公开工具,另一些工具和框架则是由红队内部开发。
【安全通告】Drupal远程代码执行漏洞(CVE-2020-28948/CVE-2020-28949)
文章目录一、漏洞概述二、影响范围三、安全检测3.1 版本检查四、漏洞防护4.1 官方升级4.2 临时缓解措施阅读: 0一、漏洞概述近日,绿盟科技监测到 Drupal 官方发布安全公告修复了 Drupal 远程代码执行漏洞(CVE-2020-28949)与(CVE-2020-28949),请相关用户采取措施进行防护。Drupal远程代码执行漏洞(CVE-2020-28948):Durpal使用的PEAR Archive_Tar是一款用于在PHP中创建、提取和列出tar文件的工具类。
【安全通告】Cisco多个安全漏洞
文章目录综述漏洞概括:CVE-2020-3531CVE-2020-3586CVE-2020-3470解决方案阅读: 5综述当地时间 11 月18日 ,Cisco为多款产品发布了安全更新通告,修复了多个产品的安全漏洞,包括3个高危的漏洞:CVE-2020-3531,CVE-2020-3586,CVE-2020-3470。
【安全通告】Drupal远程代码执行漏洞(CVE-2020-13671 )
文章目录综述受影响产品版本不受影响版本解决方案阅读: 0综述北京时间11月19日,Drupal官方发布安全通告称修复了一个远程代码执行漏洞CVE-2020-13671。该漏洞源于Drupal Core没有正确的处理上传文件的文件名,导致后续处理中文件会被错误地解析为其他MIME类型,在特定的配置下,文件可能会被当做PHP解析,从而导致远程代码执行。
【安全通告】Citrix SD-WAN安全漏洞
文章目录综述漏洞概况受影响产品版本不受影响的版本解决方案参考链接:阅读: 0综述近日,Citrix SD-WAN发布安全通告称修复了SD-WAN中的3个安全漏洞:CVE-2020-8271,CVE-2020-8272,CVE-2020-8273。在可以访问SD-WAN Center网络的情况下,未授权的攻击者可以利用这些漏洞以root权限执行任意代码。目前已有相关漏洞的细节分析内容与CVE-2020-8271的POC。漏洞概况CVE漏洞影响利用条件CVE-2020-8271 未授权的远程代码执行。
【安全通告】Windows 网络文件系统漏洞(CVE-2020-17051、CVE-2020-17056)
文章目录综述二、受影响版本CVE-2020-17051CVE-2020-17056三、解决方案阅读: 32综述当地时间11月10日,微软最新的月度补丁更新中修复了两枚存在于Windows 网络文件系统(Network File System,NFS)中的漏洞,分别是 CVE-2020-17051和 CVE-2020-17056。CVE-2020-17051 是存在于nfssvr.sys驱动中的远程代码执行漏洞,据称复现时可导致蓝屏死机(BSOD)。CVE-2020-17056是一个存在于nfssvr.sys驱动中的远程越界读取漏洞,可导致ASLR(地址空间布局随机化)被绕过。
【安全通告】微软11月补丁修复112个安全问题
文章目录综述Critical & Important漏洞概述本次更新概括修复建议阅读: 0综述微软于本周二发布了11月安全更新补丁,修复了112个从简单的欺骗攻击到远程执行代码的安全问题。其中Critical级别漏洞17个,Important 级别漏洞93 个,Low级别漏洞2个。强烈建议所有用户尽快安装更新。
【安全通告】Adobe 11月安全更新
文章目录综述漏洞概述Adobe ConnectAdobe Reader Mobile解决方案阅读: 0综述当地时间11月10日,Adobe官方发布了11月安全更新,修复了Adobe Connect、Adobe Reader Mobile中的多个漏洞。官方通告地址:https://helpx.adobe.com/security.html漏洞概述Adobe ConnectAdobe发布的Adobe Connect安全更新,共修复了2个安全漏洞。Adobe 官方指定以下更新优先级为3级。(优先级定义见下文解决方案中 Adobe优先级评估系统)。
【安全通告】SaltStack多个高危漏洞
文章目录一、漏洞概述二、影响范围三、漏洞检测3.1 版本检测四、漏洞防护4.1 官方升级4.2 修复补丁阅读: 1一、漏洞概述近日,绿盟科技监测到SaltStack官方发布安全通告修复了以下3个高危漏洞:CVE-2020-16846:未经身份验证的攻击者通过构造恶意请求,利用Shell注入(shell injection)获取SSH连接,从而在Salt-API上执行任意命令。CVE-2020-17490:本地攻击者用低权限用户登录 salt 主机,可以从当前 salt 程序主机上读取到密钥内容,导致信息泄漏。
【防护方案】Weblogic Console CVE-2020-14882 补丁绕过
文章目录一、综述二、漏洞影响范围三、技术防护方案3.1 临时缓解措施3.2 绿盟科技检测防护建议3.2.1 绿盟科技检测类产品与服务3.2.1.1 检测产品升级包/
【防护方案】Weblogic Console HTTP 协议远程代码执行漏洞(CVE-2020-14882)
文章目录一、综述二、漏洞影响范围三、技术防护方案3.1 官方修复方案3.2 绿盟科技检测防护建议3.2.1 绿盟科技检测类产品与服务3.2.1.1 检测产品升级包/规则版本号3.2.2 绿盟科技防护类产品3.2.2.1 防护产品升级包/规则版本号3.2.3 安全平台四、产品使用指南4.1 UTS检测配置4.2 IPS防护配置4.3 WAF防护配置4.4 NF防护配置阅读: 29一、综述在Oracle官方发布的2020年10月关键补丁更新公告CPU(Critical Patch Update)中,包含一个存在于Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882。
【安全通告】VMware ESXi 远程代码执行漏洞(CVE-2020-3992)
文章目录一、漏洞概述二、影响范围三、漏洞防护3.1 官方升级3.2 其它防护措施阅读: 0一、漏洞概述10月21日,绿盟科技监测到VMware官方发布安全通告修复了一个VMware ESXi 远程代码执行漏洞(CVE-2020-3992)。漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free,从而导致远程代码执行。CVSS评分为 9.8,请相关用户采取措施进行防护。
【安全通告】Weblogic多个远程代码执行漏洞通告
文章目录一、漏洞概述二、影响范围三、漏洞检测3.1 本地检测3.2 T3协议探测四、漏洞防护4.1 补丁更新4.2 临时缓解措施4.2.1 限制T3协议访问4.2.2 禁用IIOP协议附录:Weblogic服务恢复阅读: 0一、漏洞概述10月21日,绿盟科技监测到Oracle官方发布2020年10月关键补丁更新(Critical Patch Update),修复了402个危害程度不同的安全漏洞。
【安全通告】Oracle全系产品2020年10月关键补丁
文章目录一、概述二、修复漏洞总结三、漏洞防护附录:受影响产品及补丁信息阅读: 4一、概述2020年10月21日,绿盟科技监测到Oracle官方发布了2020年10月关键补丁更新公告(Critical Patch Update),此次更新修复了402个不同程度的漏洞,其中271个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。各产品受影响情况及可用补丁请见附录。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
【安全通告】微软10月安全更新多个产品高危漏洞
文章目录一、漏洞概述二、重点漏洞简述三、影响范围四、漏洞防护4.1 补丁更新附录:漏洞列表阅读: 0一、漏洞概述北京时间10月14日,微软发布10月安全更新补丁,修复了87个安全问题,涉及Microsoft Windows、Microsoft Office、Microsoft Exchange Server、Visual Studio、.NET Framework等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。
【安全通告】Windows TCP/IP远程代码执行漏洞
文章目录漏洞概述受影响产品版本解决方案禁用ICMPv6 RDNSS阅读: 0当地时间10月13日,微软最新的月度补丁更新中修复了一枚存在于Windows TCP/IP堆栈中的Critical级别漏洞(CVE-2020-16898,代号“Bad Neighbor”)。攻击者通过发送恶意制作的ICMPv6 Router Advertisement数据包,有可能在远程系统上执行任意代码。McAfee 表示,MAPP(Microsoft Active Protection)计划成员共享的概念验证代码既简单又可靠,可导致蓝屏死机。
【安全通告】Apache Solr ConfigSet API 上传功能漏洞 (CVE-2020-13957)
文章目录漏洞概述受影响产品版本不受影响产品版本解决方案阅读: 85近日,Apache Solr修复了ConfigSet API上传功能中的一个漏洞 (CVE-2020-13957)。攻击者可能通过组合使用其 UPLOAD/CREATE 功能来进行未授权操作,最终可能导致命令执行。Apache Solr 是一个是基于 Lucene 的企业级搜索应用服务器。漏洞概述用户在SolrCloud模式下运行Solr时,可借助Configsets API创建、删除和以其他方式管理ConfigSets。
突发!Windows XP 系统和 Windows Server 2003系统源代码遭泄露
文章目录文件内容潜在影响总结阅读: 1北京时间2020年9月25日,有匿名用户在4channel网站上放出了Windows XP和Windows Server 2003系统源代码被泄露的消息 ,在后续跟帖中出现了资源的下载地址 。资源下载页面根据torrent文件作者的描述 ,Windows XP和Windows Server 2003的代码是他在4channel的/g/和其他板块中找到的,并声称这些文件已经在黑客之间传播了很多年,他推测公布的原因是泄露者尝试破解其中一个加密的rar文件,其被认为包含了Windows XP系统的源代码。
发布时间:2020-09-26 01:35 |
阅读:93781 | 评论:0 |
标签:威胁通告 Windows Server 2003 Windows XP xbox 数据泄露 源码泄露 泄露 window
【防护方案】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148)
文章目录一、综述二、影响范围三、防护方案3.1 官方修复3.2 绿盟科技检测防护3.2.1 绿盟科技检测类产品与服务3.2.1.1 检测产品升级包/规则版本号3.2.2 绿盟科技防护类产品3.2.2.1 防护产品升级包/规则版本号四、附录 产品/平台使用指南4.1 RSAS扫描配置4.2 WVSS扫描配置4.3 UTS检测配置4.4 IPS防护配置4.5 NF防护配置4.6 WAF防护配置阅读: 11一、综述近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。
【安全通告】IBM Spectrum Protect Plus任意代码执行漏洞(CVE-2020-4703)
文章目录一、综述二、影响范围受影响产品版本不受影响产品版本三、解决方案阅读: 0一、综述近日,IBM 发布安全公告,公布了存在于IBM Spectrum Protect Plus 中的任意代码执行漏洞(CVE-2020-4703)。该漏洞允许经过身份验证的攻击者上传任意文件,这些文件可在易受攻击的服务器上执行任意代码。CVE-2020-4703是由于对先前6月披露的CVE-2020-4470不完整修复造成的。一同公布的还有目录遍历漏洞CVE-2020-4711,利用该漏洞,攻击者通过发送包含序列(如下图所示)的特殊URL请求可以查看到系统中的任意文件。官方已发布了临时修订版本。
公告
❤人人都能成为掌握黑客技术的英雄⛄️