信息清静周报-2021年第47周

宣布时间 2021-11-22

>本周清静态势综述


本周共收录清静误差67个 ,值得关注的是Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差;Google Chrome media内存过失引用代码执行误差;Lantronix PremierWave 2050 CVE-2021-21888下令注入误差;Adobe Media Encoder M4A缓冲区溢出误差;Apache ShenYu未授权会见误差 。


本周值得关注的网络清静事务是FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报;网信办宣布《网络数据清静治理条例(征求意见稿)》;Facebook发明SideCopy伪造Android应用市肆的攻击;Google宣布11月更新 ,修复Chrome中的多个误差;Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击 。


凭证以上综述 ,本周清静威胁为中 。


>主要清静误差列表


1. Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差


Advantech WebAccess HMI Designer项目文件处置惩罚保存堆溢出误差 ,允许远程攻击者可以使用误差提交特殊的文件请求 ,诱使用户剖析 ,可使应用程序瓦解或可以应用程序上下文执行恣意代码 。


https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01


2. Google Chrome media内存过失引用代码执行误差


Google Chrome media保存释放后使用误差 ,允许远程攻击者可以使用误差提交特殊的WEB页请求 ,诱使用户剖析 ,可使应用程序瓦解或可以应用程序上下文执行恣意代码 。


https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html


3. Lantronix PremierWave 2050 CVE-2021-21888下令注入误差


Lantronix PremierWave 2050处置惩罚HTTP请求验证保存清静误差 ,允许远程攻击者可以使用误差提交特殊的请求 ,可以应用程序上下文执行恣意下令 。


https://talosintelligence.com/vulnerability_reports/TALOS-2021-1332


4. Adobe Media Encoder M4A缓冲区溢出误差


Adobe Media Encoder M4A保存缓冲区溢出误差 ,允许远程攻击者可以使用误差提交特殊的文件请求 ,诱使用户剖析 ,可使应用程序瓦解或以应用程序上下文执行恣意代码 。


https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html


5. Apache ShenYu未授权会见误差


Apache ShenYu Admin ShenyuAdminBootstrap保存清静误差 ,允许远程攻击者可以使用误差提交特殊的请求 ,可绕过清静限制未授权会见 。


https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb


>主要清静事务综述


1、FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报


FBI邮件系统在11月13日遭到入侵 ,被用来发送数十万条虚伪的攻击警报 。这些邮件冒充领土清静部 (DHS) ,声称收件人遭到了来自Vinny Troia的链式攻击 。但此人是清静公司NightLion和Shadowbyte的认真人 ,研究职员推断此次运动旨在诋毁清静职员Troia 。Spamhaus公司体现 ,这些邮件都来自FBI执法企业门户(LEEP)的正外地点eims@ic.fbi.gov ,IP地点为153.31.119.142(mx-east-ic.fbi.gov) 。FBI称由于软件按设置过失 ,使得攻击者可以使用LEEP发送伪造的邮件 。


原文链接:

https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html


2、网信办宣布《网络数据清静治理条例(征求意见稿)》


国家网信办于11月14日宣布了《网络数据清静治理条例(征求意见稿)》的果真征求意见通知 。阻止今年6月 ,我国网民规模达10.11亿 ,由此爆发的网络数据量更是天文数字 。该条例规范网络数据处置惩罚运动 ,掩护小我私家、组织在网络空间的正当权益 ,维护国家清静和公共利益 。中国互联网协会法工委副秘书长胡钢指出 ,这是新时代规范互联网平台企业 ,强化反垄断和资源无序扩张的应有之义 ,也是维护国家清静、掩护社会公共利益的需要 。


原文链接:

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm


3、Facebook发明SideCopy伪造Android应用市肆的攻击


Facebook的清静团队在11月16日披露了巴基斯坦黑客团伙SideCopy新一轮的垂纶运动 。此次运动在今年4月至8月之间 ,建设并运营了一个伪造的Android应用市肆 。攻击者主要通常会冒充年轻女性来靠近目的 ,诱使其翻开用来用来网络信息的垂纶网站或者伪造的Android应用市肆 。然后通过伪装成谈天应用的恶意软件 ,分发PJobRAT和Mayhem等 。


原文链接:

https://therecord.media/pakistani-hackers-operated-a-fake-app-store-to-target-former-afghan-officials/


4、Google宣布11月更新 ,修复Chrome中的多个误差


11月16日 ,Google宣布了本月Chrome的清静更新 ,总计修复了25个误差 。其中 ,较为严重的是在媒体中的释放后使用误差(CVE-2021-38008)、V8中的类型混淆误差(CVE-2021-38007)和加载器中释放后使用误差(CVE-2021-38005)等 。别的 ,还修复了指纹识别中的堆缓冲区溢出误差(CVE-2021-38013)和Swiftshader中的越界写入(CVE-2021-38014)等误差 。


原文链接:

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html


5、Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击


美国网络清静公司Cloudflare在11月15日宣布其抵御了迄今为止遇到的最大攻击DDoS攻击 ,峰值略低于2 Tbps 。此次攻击运动是团结了DNS放大攻击和UDP泛洪的多向量攻击 ,整个历程只一连了一分钟 ,来自约15000个机械人组成的僵尸网络Mirai变种 。Cloudflare报告称第三季度网络层DDoS攻击运动比上一季度增添了44% ,该公司在8月抵御了每秒1720万次请求的DDoS攻击 ,微软在10月称其云服务Azure抵御了2.4 Tbps的DDoS攻击 。


原文链接:

https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html