本月漏洞补丁处理完毕。许多国际制造商,如微软,周二发布了他们的产品安全补丁,如Adob??e、Android、Cisco、Citrix、Intel、Linux发行版OracleLinux、RedHat、SUSE、Samba、SAP、SchneiderElectric、Siemens等。本月,微软针对其产品中的55个漏洞发布补丁,包括MicrosoftWindows和Windows组件、Azure、AzureRTOS、AzureSphere、MicrosoftDynamics、MicrosoftEdge(基于Chromium)、ExchangeServer、MicrosoftOffice和Office组件、WindowsHyper-V等,包括对Excel和ExchangeServer中两个被积极利用的零日漏洞的修复。可能被滥用来控制受影响的系统。从历史上看,微软今年11月的补丁55个是一个相对较低的数字。CheckPoint最新的2021年10月全球威胁指数显示,模块化僵尸网络和银行木马Trickbot仍位居最流行恶意软件榜首,影响了全球4%的样本组织,而ApacheHTTP服务器目录遍历已进入被利用漏洞的前十名.据透露,本月全球受攻击最严重的行业是教育/研究。这与国内一些统计数据显示的结果是一致的。究其原因,一是被黑客关注,二是自我保护措施差(能力、管理、技术共同决定)。Trickbot五次位居CheckPoint恶意软件榜首,可以窃取财务详细信息、账户凭证和个人身份信息,还可以在网络中横向传播并提供勒索软件。今年1月Emotet被根除后,Trickbot就位居恶意软件榜首。它还不断更新新的功能、特性和分发工具,使其成为一种灵活且可定制的恶意软件,可以实现其多用途活动交付。新漏洞ApacheHTTPServerDirectoryTraversal进入10月份漏洞排行榜前十,排名第十。首次发现时,Apache开发人员在ApacheHTTPServer2.4.50中发布了针对CVE-2021-41773的修复,但使用Apache的单元修复补丁不够活跃,因此修复并不完善,ApacheHTTPServer目录中仍然存在Traverse漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。据CheckPoint称,在全球范围内,每61个组织中就有一个每周都会受到勒索软件的影响。许多攻击都是从一封简单的电子邮件开始的,因此教育用户如何识别潜在威胁是组织可以部署的最重要的防御措施之一。记住,教育培训永远是新鲜事,需要持之以恒地进行。分级保护也有这方面的要求。毕竟,我们的分级保护是吸收国际先进经验和成果的再创新。教育培训怎么能没有要求呢?.据CheckPoint称,教育/研究是全球受攻击最严重的行业,其次是通信和政府/军事。Web服务器恶意URL目录遍历是被利用最多的漏洞,影响了全球60%的样本组织,其次是Web服务器暴露的Git存储库的信息泄露,影响了全球55%的样本组织。HTTPHeadersRemoteCodeExecution排名第三,全球样本影响为54%。2021年10月“十恶不赦”*箭头表示与上个月相比的排名变化。Trickbot是本月最流行的恶意软件,影响了全球4%的样本组织,其次是XMRig和Remcos,分别影响了全球3%和2%的样本组织。↑Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新的功能、特性和分发工具,使Trickbot成为一种灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。↑XMRig–XMRig是一款用于挖掘Monero加密货币的开源CPU挖矿软件,于2017年5月首次出现在野外。↑Remcos–Remcos是一种RAT,于2016年首次出现在野外。Remcos通过附加到垃圾邮件的恶意MicrosoftOffice文档进行自我分发,旨在绕过MicrosoftWindowsUAC安全并以高级权限执行恶意软件。↑Glupteba–Glupteba是一个已经发展成为僵尸网络的后门。截至2019年,功能包括公共比特币列表的C&C地址更新机制、集成的浏览器窃取功能和路由器漏洞利用。↑Tofsee–Tofsee是一种后门木马,至少从2013年开始运行。Tofsee是一种多用途工具,可以进行DDoS攻击、发送垃圾邮件、加密货币挖掘等。↑Ramnit-Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。↓AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监控和收集受害者击键、系统击键、屏幕截图,并将凭证泄露到各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)).↑Ursnif–Ursnif是Windows平台的特洛伊木马。通常通过漏洞利用工具包传播,包括当时的Angler和Rig。Ursnif窃取与Verifone销售点(POS)支付软件相关的信息。联系远程服务器上传收集到的信息并接收指令。此外,下载并执行受感染系统上的文件。↓Formbook–Formbook是一个信息窃取程序,可以从各种网络浏览器获取凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C命令下载和执行文件。↑Nanocore——NanoCore是一种远程访问木马,于2013年首次在野外被发现,主要针对Windows操作系统用户。RAT的所有版本都有基本的插件和功能,例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话窃取。10月Top10漏洞本月Web服务器恶意URL目录遍历是最常被利用的漏洞,影响全球60%的样本组织,其次是Web服务器暴露的Git仓库信息泄露,影响全球55%的样本组织.HTTPHeadersRemoteCodeExecution排名第三,全球样本影响为54%。↑Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254.CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260-是各种Web服务器上的目录遍历漏洞,由Web服务器中的输入验证错误引起,该错误未正确清理目录遍历模式的URL,允许未经身份验证的远程攻击者披露或访问易受攻击的服务器↓WebServerExposedGitRepositoryInformationDisclosure-AnGit存储库中报告的信息泄露漏洞可能会无意中泄露帐户信息。?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头让客户端和服务器通过HTTP请求传递附加信息,可能使用易受攻击的HTTP标头在受害者上运行任意代码^DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞,可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。?MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞,远程攻击者可以通过精心设计的请求在受影响的路由器中执行任意代码。↑ApacheStruts2Content-TypeRemoteCodeExecution(CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-ApacheStruts2使用Jakartamultipart解析器存在远程代码执行漏洞,攻击者可以发送Exploitation将该漏洞与无效内容类型一起作为文件上传请求的一部分,可能会导致在受影响的系统上执行任意代码。↓HTTP命令注入(CVE-2013-6719、CVE-2013-6720)——报告了一个HTTP命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题,从而允许攻击者在目标机器上执行任意代码。↑D-LINK多产品远程代码执行(CVE-2015-2051)–多个D-Link产品中报告了一个远程代码执行漏洞,该漏洞可能导致在易受攻击的设备上执行任意代码。↓OpenSSLTLSDTLS心跳信息泄露(CVE-2014-0160、CVE-2014-0346)——OpenSSL中存在信息泄露漏洞。该漏洞也称为Heartbleed,是由TLS/DTLS心跳数据包处理过程中的错误引起的,可被利用来泄露连接的客户端或服务器的内存内容。↑ApacheHTTPServer目录遍历(CVE-2021-41773,CVE-2021-42013)–ApacheHTTPServer中存在一个目录遍历漏洞,可能允许攻击者访问受影响系统上的任意文件。热门移动恶意软件本月xHelper仍然是排名第一的最流行的移动恶意软件,其次是AlienBot和XLoader。xHelper–自2019年3月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序和显示广告,应用程序能够对用户隐藏自己,甚至在卸载后重新安装。AlienBot–AlienBot恶意软件系列是一种针对Android设备的恶意软件即服务(MaaS),允许远程攻击者将恶意代码注入合法的金融应用程序作为第一步。攻击者可以获得对受害者帐户的访问权限,并最终完全控制他们的设备。XLoader–XLoader是一种Android间谍软件和银行木马。该恶意软件使用DNS欺骗来分发受感染的Android应用程序以收集个人和财务信息。CheckPoint认为它是由一个名为“延边帮”的中国黑客组织开发的,具体的开发团队有待进一步确认。本文转载自微信公众号《齐吟说新安》,作者何伟峰。转载本文请联系齐银说新安公众号。
