访问安全
上网行为管理AC SSL VPN 硬件VPN云安全
信服云盾 信服云眼 重构入云业务安全边界边界安全
下一代防火墙AF WAF终端安全
终端检测响应平台EDR 企业移动管理EMM身份安全
EasyConnct 行为感知系统BA威胁检测
安全感知平台SIP病毒防护
网络防病毒等级保护
等保2.0安全审计与运营
数据库安全审计DAS云服务
私有云 公有云 云杀毒 云监控 混合云 云搬迁微软云
微软云介绍 微软云优势 微软云解决方案 微软云案例阿里云
阿里云介绍 阿里云产品 阿里云解决方案 阿里云案例钉钉
钉钉简介 钉钉定制开发推荐视频
发布者:上海IT外包来源:http://www.lanmon.net点击数:2861
安全焦点
新蠕虫病毒将Windows、Linux服务器变成了门罗币(Monero,XMR)矿工
自12月初,这种基于Go语言、可自传播的新恶意软件一直在windows和linux服务器上积极投放XMRig加密货币矿工。该恶意软件也有蠕虫的能力,可通过暴力破解某些面向公众服务(如MySQL、Tomcat、Jenkins和WebLogic)的弱密码来传播到其它系统。
美国财政部警告COVID-19疫苗研究受到勒索软件攻击
美国财政部金融犯罪执法网络(FinCEN)要求金融机构对疫苗交付操作以及生产疫苗所需供应链的勒索软件保持警惕。
网络比15年前更慢错误更多?开发者加载了100万个网站实测
目前业内有个大部分人都赞同的观点:网络相比较 15 年前速度更慢,而且错误更多。由于不断增加的 JavaScript、框架、Webfonts 和 polyfills,已经抵消了更快的计算性能、网络和协议带来的优势。
安全风险
黑客利用一个新的SolarWinds漏洞安装SuperNova恶意软件
攻击者可能已将SolarWinds Orion软件中的一个身份验证绕过漏洞作为0-day漏洞,在目标环境中部署SuperNova恶意软件。根据美国CERT/CC 12月26日发布的一则安全公告,用于与所有其他Orion系统监控和管理产品连接的SolarWinds Orion API存在一个安全漏洞(CVE-2020-10148),远程攻击者可利用该漏洞执行未经身份验证的API命令,从而入侵SolarWinds实例。该公告指出,通过在发给该API的URI的Request.PathInfo部分包含特定的参数,可绕过该API的身份验证。特别是,如果攻击者将‘WebResource.adx’,‘ScriptResource.adx’,‘i18n.ashx’或‘Skipi18n’的PathInfo参数附加到发给SolarWinds Orion服务器的请求,SolarWinds会设置SkipAuthorization标识,这可能会导致在不需要身份验证的情况下处理该API请求。SolarWinds 12月24日更新了此前的安全公告,指出攻击者可通过利用Orion Platform中的一个漏洞部署恶意软件。但是该漏洞的详细信息仍未完全披露。
当前厂商提供的SolarWinds Orion Platform相关版本的更新包括:
2019.4 HF 6(2020年12月14日发布)
2020.2.1 HF 2(2020年12月15日发布)
2019.2 SUPERNOVA Patch(2020年12月23日发布)
2018.4 SUPERNOVA Patch(2020年12月23日发布)
2018.2 SUPERNOVA Patch(2020年12月23日发布)
升级到2020.2.1 HF 2版本或2019.4 HF 6版本的客户已经修复了SunBurst和SuperNova漏洞,无需采取进一步措施。
Google研究人员公开Microsoft此前未完全修复的Windows 0-day漏洞Exp
Microsoft今年6月为Windows操作系统发布了一个漏洞补丁,攻击者可利用该漏洞在遭受入侵的计算机上将其权限提升至内核级别。该补丁并未完全修复该漏洞。该漏洞在今年5月被高级黑客当作0-day武器利用。安全研究人员12月23日公开该漏洞的PoC代码,用另一种方法证明该漏洞仍可被利用。
Google Project Zero团队的安全研究人员Maddie Stone发现,Microsoft六月发布的补丁未修复最初的漏洞(CVE-2020-0986),通过一些调整,该漏洞仍可被利用。2020年5月,该漏洞被在野攻击用于提升权限,遭到利用的还有一个可导致远程代码执行的Internet Explorer漏洞。在Kaspersky(卡巴斯基实验室)发现该攻击时,这两个漏洞都是0-day状态。Stone称,攻击者不发送指针,而是通过发送一个偏移,依然可以触发CVE-2020-0986,进而将权限提升至内核级别。该名研究人员在Twitter上详细地指出,最初的漏洞是一个任意指针逆向引用漏洞,允许攻击者控制指向memcpy函数的“src”和“dest”指针。
Microsoft对该漏洞的修复不妥当,它将指针改成偏移,因此该函数的参数仍可被控制。
企业安全
安全信息和事件管理(四)
智能决策的下一步便是安全编排与自动化响应(SOAR)。SOAR的核心部分是剧本(Playbook),这方面需要有较好的前端交互界面和灵活的脚本语言。大部分SOAR产品选择的脚本语言都是Python,如Phantom的Playbook脚本。StackStorm是开源的SOAR产品,它集成了160个安全产品和6000多个执行模块。另一款开源安全运营编排产品为PatrOwl,它提供了丰富的第三方调用接口,很容易实现资产管理功能。其他相关的开源产品还有在Elasticsearch基础上建立的开源SIEM产品MozDef,全称为Mozilla防御平台(MozillaDefensePlatform)。Mozilla防御平台旨在实现安全事件处理流程的自动化,并便于实时处理安全事件活动,目前其整体界面还比较简陋,功能还在不断完善中。最后,安全大脑需要能够处理涉及多个实体相互作用且关联的复杂安全事件,为此必须综合运用知识图谱、图计算、数据语义化、机器学习等技术才能产生比较好的效果,另外还需要和外部的各种系统(如身份管理和威胁情报等方面的系统)对接,当然还需要安全专家的不断优化和研发团队的不断改进。
文/上海蓝盟 IT外包专家
分享到:
中文
电话咨询
微信咨询
公众号
