【ms明朝】明朝万达2021年网络安全月报（9月）

最近，明朝万达安院实验室于2021年发布了9期《安全通告》。

该份报告收录了今年9月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

01

网络安全前沿新闻

Microsoft发布近期旨在窃取凭据的钓鱼活动的警报

Microsoft 365 Defender威胁情报团队在8月26日发布近期旨在窃取凭据的钓鱼活动的警报。研究人员称，该活动利用电子邮件通信中的开放重定向链接作为载体，诱使用户访问恶意网站，同时绕过安全检测软件。微软表示它已经发现了至少350个网络钓鱼URL，并且它们均使用了令人信服的诱饵和精心设计的检测绕过技术。这不仅显示了此次攻击的规模，还表明了攻击者巨大的投入。

NFIB称2021年H1英国因网络犯罪损失高达13亿英镑

来自英国国家欺诈情报局(NFIB)的数据表明，2021年H1英国因网络犯罪损失高达13亿英镑。个人和组织在今年上半年因网络犯罪和欺诈而损失的资金是2020上半年（4.147亿英镑）的三倍。2020年H1只有39160案件，而2021年H1多达289437起。研究人员称，政府应采取更多措施来教育个人有关网络钓鱼的风险和网络安全的重要性，而组织应该尽力降低远程工作的风险。

CNNIC发布第48次《中国互联网络发展状况统计报告》

中国互联网络信息中心（CNNIC）于8月27日在京发布第48次《中国互联网络发展状况统计报告》。报告显示，截至今年6月，中国网民规模达10.11亿，较2020年12月增长2175万，互联网普及率达71.6%；互联网基础资源加速建设，截至6月，中国IPv6地址数量达62023块/32；中国农村网民规模为2.97亿，农村地区互联网普及率为59.2%，较2020年12月，城乡互联网普及率差异缩小4.8%。

新西兰互联网运营商Vocus遭到大规模DDoS攻击

新西兰第三大互联网运营商Vocus ISP称其在9月3日遭到大规模DDoS攻击，导致服务中断了约30分钟。Vocus在澳大利亚和新西兰提供零售、批发和企业电信服务。该公司称，由于目前全国大部分地区都在远程办公，因此此次攻击对客户产生了重大影响。之后，该公司迅速恢复了运营，并对给客户带来的不便表示歉意。

FortiGuard发布2021年H1全球威胁态势的分析报告

FortiGuard于8月份发布了2021年H1全球威胁态势的分析报告。报告指出，2021年6月平均每周勒索软件活动比一年前同期高出10.7倍。其中，电信行业是攻击者的首要的目标，其次是政府、托管安全服务提供商、汽车和制造行业。僵尸网络也有所增加，今年年初在35%的组织中检测到了僵尸网络活动，而这一比例在6个月后增加为51%。此外，攻击者更青睐于检测绕过技术和提权技术。

研究人员发现REvil团伙的数据泄露网站再度上线

研究人员发现REvil团伙的数据泄露网站（也称为 Happy Blog）在9月7日重新上线。7月2日，REvil利用Kaseya VSA中的漏洞攻击了大约60家MSP及其1500多个客户，并勒索7000万美元。之后，该组织引起了执法部门的注意，并在7月13关闭了所有的Tor服务器和基础设施。尚不清楚此次支付和数据泄露网站的重新上线，是否代表着该团伙要开始复出。

勒索攻击导致南非多个政府部门的IT系统中断

9月6日晚上的勒索攻击活动导致南非多个政府部门的IT系统中断，包括电子邮件系统和国家保释服务的系统。DOJCD官员在上周四（9月9日）透露，攻击活动加密了该部门所有的信息系统，使得内部的员工和外部的公民均无法使用。此外，司法部官员表示，他们不得不启动了手动流程来维持法庭的正常活动，但并未指明此次攻击背后的勒索运营团伙。上周一，南非国家航天局 (SANSA)曾披露其系统存在安全漏洞，导致学生个人信息泄露。

Kaspersky发布2021年上半年ICS威胁态势的报告

Kaspersky在9月9日发布了2021年上半年ICS威胁态势的报告。报告指出，2021年上半年ICS计算机被攻击的占比为8%，比2020年下半年高0.4个百分点。其中，被攻击的ICS计算机占比最多的国家为阿尔及利亚（58.4%），其次为摩洛哥（52.4%） 、伊拉克（50.9%）和越南（50.6%）。此外，互联网、可移动媒体和电子邮件仍然是ICS计算机威胁的主要来源。

02

网络安全最新漏洞追踪

Cisco Enterprise NFVIS身份验证绕过漏洞 (CVE-2021-34746)

漏洞详情

2021年9月1日，Cisco发布安全公告，修复了其企业 NFV 基础设施软件 (NFVIS) 的 TACACS+认证、授权和计费 (AAA) 功能中的一个身份验证绕过漏洞（CVE-2021-34746），该漏洞的CVSSv3评分为9.8。

由于对传递给认证脚本的用户输入的验证不完整，远程攻击者可以通过在认证请求中注入参数来利用此漏洞。成功利用此漏洞的攻击者可以绕过认证，并以管理员身份登录受影响的设备。

思科产品安全事件响应团队表示，已有适用于此漏洞的PoC/EXP，目前暂未发现恶意利用。

影响范围

如果配置了TACACS外部认证方法，此漏洞会影响Cisco Enterprise NFVIS 版本4.5.1。

注：仅使用RADIUS或本地认证的配置不受影响。

安全建议

目前Cisco已经修复了此漏洞，建议受影响用户及时升级更新到Cisco Enterprise NFVIS 版本 4.6.1 或更高版本。

确定是否启用TACACS外部认证

1、要确定设备上是否启用了 TACACS 外部认证功能，请使用 show running-config tacacs-server 命令。以下示例显示了当TACACS外部认证被启用时，Cisco Enterprise NFVIS上show running-config tacacs-server命令的输出：

nfvis# show running-config tacacs-server

tacacs-server host 192.168.1.1

key 0

shared-secret "example!23"

admin-priv 15

oper-priv 1

!

nfvis#

如果show running-config tacacs-server 命令的输出为No entries found，则未启用 TACACS 外部认证功能。

2、通过GUI检查配置。选择配置 > 主机 > 安全 > 用户和角色。如果在外部认证下定义了TACACS+主机，那么该设备容易受到此漏洞的影响。

BrakTooth：蓝牙堆栈多个安全漏洞

漏洞概述

2021年9月2日，研究人员公开披露了商业蓝牙堆栈中统称为BrakTooth的多个安全漏洞，这些漏洞涉及英特尔、高通、德州仪器和赛普拉斯在内的十多家 SoC 供应商的 13 款蓝牙芯片组，使得全球数十亿台设备容易受到拒绝服务和任意代码执行的攻击风险。

漏洞详情

研究人员发现，这些漏洞至少存在于1,400 个嵌入式芯片组件使用的封闭商业 BT 堆栈中，甚至还可能影响了BT系统芯片（SoC）、BT模块或其它BT终端产品。受影响的产品包括智能手机、信息娱乐系统、笔记本电脑和台式机系统、音频设备（扬声器、耳机）、家庭娱乐系统、键盘、玩具和工业设备（如可编程逻辑控制器 - PLC）等类型的设备。受影响的产品列表总数如下所示：

到目前为止，已经有20个漏洞分配了CVE编号，有4个漏洞正在等待英特尔和高通为其分配 CVE。BrakTooth漏洞列表如下：

研究人员发现了漏洞的三种主要攻击场景，其中最严重的漏洞会导致物联网 (IoT) 设备上的任意代码执行。

l 智能家居设备的任意代码执行

BrakTooth漏洞中，最严重的漏洞为CVE-2021-28139，影响了乐鑫ESP32 SoC，这是一系列低成本、低功耗的 SoC 微控制器，集成了 Wi-Fi 和双模蓝牙，常用于工业自动化、智能家居设备、个人健身小工具等物联网设备中。由于ESP32 BT库中缺乏越界检查，导致攻击者可以在扩展功能页表的范围之外注入8个字节的任意数据。

l 笔记本电脑和智能手机中的DoS

研究人员发现英特尔的 AX200 SoC 和高通的 WCN3990 SoC 上运行的设备在收到格式错误数据包时容易触发 DoS。

l BT音频产品崩溃

各种 BT音箱容易受到一系列漏洞的影响（CVE-2021-31609和CVE-2021-31612-发送超大的LMP数据包时失败；CVE-2021-31613-截断的数据包；CVE-2021-31611-启动程序失败；以及CVE-2021-28135、CVE-2021-28155和CVE-2021-31717-功能响应泛滥）。成功利用这些漏洞可导致程序崩溃，用户需手动打开无响应的设备。

目前Espressif（乐鑫）、Infineon (Cypress)（英飞凌（赛普拉斯）和Bluetrum Technology（蓝讯科技）已发布补丁修复其产品中的漏洞，但Intel（英特尔）、Qualcomm（高通）和Zhuhai Jieli Technology（珠海杰利科技）正在调查漏洞或开发补丁。

此外，研究人员已经为生产 BT SoC、模块和产品的供应商发布了 BrakTooth 漏洞的PoC ，以供其检查设备中的漏洞。

影响范围

受影响的厂商、芯片组和设备：

安全建议

目前部分供应商已经修复了其产品中的漏洞，部分供应商正在开发补丁，但德州仪器（Texas Instruments）拒绝修复漏洞。建议受影响用户参考厂商发布的补丁及时更新。

tar & @npmcli/arborist 9月多个安全漏洞

漏洞概述

2021年9月8日，GitHub安全团队公开披露了在npm CLI 使用的 npm 包tar和@npmcli/arborist中发现的7个安全漏洞，攻击者可以利用这些漏洞覆盖任意文件、创建任意文件或执行任意代码。

漏洞详情

tar是npm的一个核心依赖，用于提取和安装npm包。@npmcli/arborist是npm CLI的一个核心依赖项，用于管理node_modules树。

当tar被用来提取不受信任的tar文件或当npm CLI在某些文件系统条件下被用来安装不受信任的npm包时，这些漏洞可能会由于文件覆盖或创建而导致任意代码执行。本次披露的7个漏洞如下：

l CVE-2021-32803：由于目录缓存中毒，可以通过不充分的符号链接保护来实现任意文件创建/覆盖，该漏洞的CVSSv3评分为8.1。

l CVE-2021-32804：由于绝对路径清理不足而导致任意文件创建/覆盖，该漏洞的CVSSv3评分为8.1。

l CVE-2021-37701：由于使用符号链接的目录缓存中毒，导致符号链接保护不足，从而导致任意文件创建/覆盖，该漏洞的CVSSv3评分为8.2。

l CVE-2021-37712：由于使用符号链接的目录缓存中毒，导致符号链接保护不足，从而导致任意文件创建/覆盖，该漏洞的CVSSv3评分为8.2。

l CVE-2021-37713：通过不充分的相对路径清理在Windows上创建/覆盖任意文件，该漏洞的CVSSv3评分为8.2。

l CVE-2021-39134：@npmcli/arborist中的UNIX符号链接（Symlink），该漏洞的CVSSv3评分为7.8。

l CVE-2021-39135：@npmcli/arborist中的UNIX符号链接（Symlink），该漏洞的CVSSv3评分为7.8。

在处理恶意或不受信任的npm包安装，CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135会影响npm CLI，其中一些漏洞可能会导致任意代码执行。

影响范围

安全建议

目前这些漏洞已经修复，建议及时升级更新。

l 如果直接安装或打包npm CLI，请更新npm CLI 到6.14.15、7.21.0 或更高版本。（只有CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135影响npm CLI）。

l 如果依赖 Node.js 进行 npm 安装，请更新到最新版本的 Node.js v12.22.6、v14.17.6 、v16.8.0 （截至2021 年 8 月 31 日）或更高版本，它们包含CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135 的补丁。

l 如果项目依赖于tar：将依赖项更新到 4.4.19、5.0.11、6.1.10 或更高版本。（详见CVE-2021-32804、CVE-2021-32803、CVE-2021-37701、CVE-2021-37712和CVE-2021-37713链接。）

l tar的v3分支已经被废弃，建议更新到v6。

Microsoft 9月多个安全漏洞

漏洞概述

2021年9月14日，Microsoft发布了9月份的安全更新，本次发布的安全更新修复了包括2个0 day漏洞在内的60个安全漏洞（包括Microsoft Edge 为86个漏洞），其中有3个漏洞评级为严重，56个漏洞评级为高危，1个漏洞评级为中危。

漏洞详情

本次发布的安全更新涉及Azure、Microsoft Edge、Microsoft Office、Microsoft Windows DNS、Visual Studio、Windows Installer、Windows SMB、Windows Kernel和Windows update等多个产品和组件。

在86个漏洞中（包括Microsoft Edge），27个为权限提升漏洞，2个为安全功能绕过漏洞，16个为远程代码执行漏洞，11个为信息泄露漏洞，1个为拒绝服务漏洞，以及8个欺骗漏洞。

Microsoft本次修复的2个0 day漏洞包括：

l Windows DNS 权限提升漏洞（CVE-2021-36968）

该漏洞的CVSSv3评分为7.8，攻击复杂度和所需权限低，且无需用户交互即可被本地利用。目前此漏洞已公开披露，但未被积极利用。

l Microsoft MSHTML 远程代码执行漏洞（CVE-2021-40444）

该漏洞为MSHTML (Internet Explorer 和 Office 使用的组件） 中影响Microsoft Windows 的远程代码执行漏洞，该漏洞已检测到在野利用，目前已被修复。Microsoft已于9月7日提前发布公告，详情请参考Microsoft官方公告或VSRC发布的安全通告。

3个评级为严重的漏洞包括：

l Azure Open Management Infrastructure远程代码执行漏洞（CVE-2021-38647）

该漏洞的CVSSv3评分为9.8，无需用户交互即可远程利用。Microsoft的可利用性评估将其评估为不太可能被利用。

l Windows 脚本引擎内存损坏漏洞（CVE-2021-26435）

该漏洞可导致Windows 脚本引擎中的远程代码执行，但利用此漏洞需要攻击者诱使用户单击链接，然后打开恶意文件，该漏洞的CVSSv3 评分为8.8。

l Windows WLAN AutoConfig 服务远程代码执行漏洞（CVE-2021-36965）

该漏洞无需用户交互，且攻击复杂度低，其CVSSv3评分为 8.8。

此外，本次修复的关键漏洞（应优先修复）还包括：

l Windows Common Log File System Driver权限提升漏洞（CVE-2021-38633、 CVE-2021-36963）

这2个漏洞的CVSSv3评分均为 7.8，且无需用户交互即可被本地利用，攻击者可以利用这些漏洞来提升权限并更改目标系统。Microsoft的可利用性评估将这2个漏洞评估为更有可能被利用。

l Windows Print Spooler 权限提升漏洞（CVE-2021-38671）

该漏洞的CVSSv3评分为 7.8，无需用户交互即可被本地利用。Microsoft的可利用性评估将其评估为更有可能被利用。

安全建议

目前Microsoft已发布相关安全更新，鉴于漏洞的严重性，建议受影响的用户尽快修复。

（一） Windows update更新

自动更新：

Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二） 手动安装更新

Microsoft官方下载相应补丁进行更新。

VMware vCenter Server 文件上传漏洞（CVE-2021-22005）

漏洞详情

2021年9月21日，VMware发布安全公告，公开披露了vCenter Server中的19个安全漏洞，这些漏洞的CVSSv3评分范围为4.3-9.8。

其中，最为严重的漏洞为vCenter Server 中的任意文件上传漏洞(CVE-2021-22005)，该漏洞存在于vCenter Server的分析服务中，其CVSSv3评分为 9.8。能够网络访问vCenter Server 上的 443 端口的攻击者可以通过上传恶意文件在 vCenter Server 上远程执行代码。该漏洞无需经过身份验证即可远程利用，攻击复杂度低，且无需用户交互。

根据Shodan的搜索结果，数以千计的vCenter Server可通过互联网访问并受到攻击 。目前已经检测到攻击者正在扫描和攻击存在漏洞的VMware vCenter 服务器。

除CVE-2021-22005之外，VMware还修复了vCenter Server中的其它18个安全漏洞：

l CVE-2021-21991：vCenter Server 本地提权漏洞（CVSSv3评分8.8）

l CVE-2021-22006：vCenter Server 反向代理绕过漏洞（CVSSv3评分8.3）

l CVE-2021-22011：vCenter Server未经身份验证的 API 端点漏洞（CVSSv3评分8.1）

l CVE-2021-22015：vCenter Server 本地提权漏洞（CVSSv3评分7.8）

l CVE-2021-22012：vCenter Server 未经身份验证的 API 信息泄露漏洞（CVSSv3评分7.5）

l CVE-2021-22013：vCenter Server 路径遍历漏洞（CVSSv3评分7.5）

l CVE-2021-22016：vCenter Server 反射型 XSS 漏洞（CVSSv3评分7.5）

l CVE-2021-22017：vCenter Server rhttpproxy 绕过漏洞（CVSSv3评分7.3）

l CVE-2021-22014：vCenter Server 身份验证代码执行漏洞（CVSSv3评分7.2）

l CVE-2021-22018：vCenter Server 文件删除漏洞（CVSSv3评分6.5）

l CVE-2021-21992：vCenter Server XML 解析拒绝服务漏洞（CVSSv3评分6.5）

l CVE-2021-22007：vCenter Server 本地信息泄露漏洞（CVSSv3评分5.5）

l CVE-2021-22019：vCenter Server 拒绝服务漏洞（CVSSv3评分5.3）

l CVE-2021-22009：vCenter Server VAPI 拒绝服务漏洞（CVSSv3评分5.3）

l CVE-2021-22010：vCenter Server VPXD 拒绝服务漏洞（CVSSv3评分5.3）

l CVE-2021-22008：vCenter Server 信息泄露漏洞（CVSSv3评分5.3）

l CVE-2021-22020：vCenter Server Analytics 服务拒绝服务漏洞（CVSSv3评分5.0）

l CVE-2021-21993：vCenter Server SSRF 漏洞（CVSSv3评分4.3）

影响范围

CVE-2021-22005：

VMware vCenter Server 7.0

VMware vCenter Server 6.7

注：CVE-2021-22005会影响所有默认配置的 vCenter Server 6.7 和 7.0 部署，不会影响 vCenter Server 6.5。其它18个漏洞的影响范围请参见VMware官方公告。

安全建议

目前VMware已经发布了相关漏洞的补丁，建议受影响的用户参考VMware官方公告及时升级更新。

SonicWall SMA 100系列任意文件删除漏洞（CVE-2021-20034）

漏洞详情

2021年9月24日，SonicWall发布安全公告，修复了SMA 100 系列设备（包括 SMA 200、210、400、410 和 500v）中的一个任意文件删除漏洞（CVE-2021-20034），该漏洞的CVSSv3评分为9.1。

由于对文件路径限制不当，未经身份验证的远程攻击者可以绕过路径遍历检查并从SMA 100系列设备上删除任意文件，最终攻击者能够获得对该设备的管理员权限，或导致设备重新启动到出厂默认设置。

安全建议

目前该漏洞已经修复，建议受影响的用户及时升级更新到修复版本。

【持续关注网络安全，更多相关资讯敬请关注“明朝万达”】