【a1明朝】明朝万达 2021年网络安全月报（8月）

最近，明朝万达安院实验室于2021年发布了8期《安全通告》。

该份报告收录了今年8月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

▣ 黑客公开电子艺界 EA 的数据，包括 FIFA 21 游戏源码

7 月 26 日星期一，黑客在暗网公开电子艺界 EA 的数据，包括 FIFA 21 游戏源码、FrostBite 游戏引擎和调试工具源代码等信息。该事件最初于 6 月 10 日披露，当时黑客声称窃取了该公司 780GB 的数据，并愿意以 2800 万美元的价格出售。但因为被盗数据大多是源代码对网络犯罪团伙来说没有任何价值，因此并未找到买家。之后黑客试图勒索EA，在 7 月 14 日发布了 1.3GB 的 FIFA 源代码作为样本，并在 2 周后公开了全部数据。

▣ 研究团队称 DarkSide 或以 BlackMatter 之名重新回归

研究团队称勒索团伙DarkSide可能已重新命名为新的BlackMatter重新回归。

DarkSide在攻击美国最大的燃料管道 Colonial Pipeline 后，于今年 5 月突然关闭。上周，研究人员发现新的勒索软件 BlackMatter。分析发现，二者使用的加密程序几乎相同，包括 DarkSide所特有的自定义 Salsa20 矩阵。此外，二者都使用了 DarkSide 独有的 RSA-1024 实现、采用了相同的加密算法并且数据泄露网站都使用了类似的语言。

▣ RansomEXX 团伙声称已窃取奢侈品牌 Zegna 超过 20GB 数据

勒索团伙 RansomEXX 近期声称已窃取奢侈品牌 Zegna 超过 20GB 数据。

Zegna 是意大利最著名的奢侈时装品牌之一，是全球收入最高的男装品牌。RansomEXX 称已从该公司窃取了 20.74GB 的数据，并发布了 43 个文件（42 个 500MB 的文件和 1 个 239.54MB 的文件）作为样本。近期，RansomEXX 团伙曾感染了意大利拉齐奥大区的系统，并攻击了中国台湾的计算机硬件制造商技嘉（GIGABYTE）。

▣ Kaspersky 发布 2021 年 Q2 垃圾邮件和钓鱼活动的报告

Kaspersky发布了有关2021年Q2垃圾邮件和钓鱼活动的分析报告。2021年Q2，企业账户仍然是攻击者的主要目标之一。

为了增加钓鱼邮件中链接的可信度，攻击者伪装称来自云服务的邮件，例如MicrosoftTeams会议的通知等。垃圾邮件数量的占比在3月份触底（45.10%）后，在4月份小幅上升（45.29%），到6月（48.03%）与2020年Q4相当。垃圾邮件来源最多的国家为俄罗斯（26.07%），其次是德国（13.97%）和美国（11.24%）。最常见的恶意附件是Badun家族（7.09%）。

▣ 新加坡房地产公司OrangeTee遭到ALTDOS的勒索攻击

8月6日，新加坡房地产公司OrangeTeeGroup在其官网上发布声明称其遭到了攻击。

8月12日，黑客团伙ALTDOS声称它们自2021年6月以来，一直在窃取该公司的数据，现已获得了来自ACSystem、NewOrangeTee、OT_Analytics、OT_Leave和ProjInfoListing的969个数据库。

同日，OrangeTee公司表示其不会支付赎金。

▣ CISA发布近期与重大自然灾害有关攻击活动的警报

CISA发布了有关近期与重大自然灾害有关攻击活动的警报。该警报指出，在重大自然灾害之后，包含恶意链接或附件欺诈性电子邮件通常会很常见。组织和个人在处理带有与飓风相关主题、附件或超链接的电子邮件时需要小心谨慎。此外，还要警惕与恶劣天气事件相关的社交媒体请求、文本或线下活动。

▣ CiscoTalos发布2021年Q2事件响应的威胁报告

CiscoTalos发布了2021年Q2事件响应的威胁报告。报告指出，上一季度，勒索软件首次不再占据主要位置，推测这可能是由MicrosoftExchange漏洞利用活动的大幅增加导致的。之后，勒索软件攻击在本季度激增，占所有事件的近一半（46%），又成为最大的威胁。其中，主要的勒索软件包括REvil、Conti、WastedLocker和Darkside等。此外，与上一季度相比，本季度的安全检测绕过技术的使用有所增加。

▣ 微软PowerApps网站因配置错误泄露3800万条记录

UpGuardResearch于8月23日本周一称微软的PowerApps门户网站因配置错误泄露47个组织的3800万条记录。

PowerApps是一系列应用、服务、连接器和数据平台，可提供快速的应用开发环境。UpGuard称，数据泄露与PowerApps平台如何使用开放数据协议(OData)及其APIs有关。此次事件涉及了印第安纳州、马里兰州和纽约市等政府的组织,以及美国航空公司、JBHunt和微软等公司。

▣ Area1Security发布2021年电子邮件威胁态势的报告

Area1Security发布了2021年电子邮件威胁态势的分析报告。该报告分析了跨多个组织和行业的超过3100万个威胁，发现近9%的攻击使用了身份欺骗策略；被冒充最多的品牌包括世界卫生组织(WHO)、谷歌和微软；BEC攻击的占比很低(1.3%），但是造成的经济损失最大，平均损失为150万美元；超过92%的用户报告的钓鱼邮件属于误报的良性邮件，导致IT团队需要处理大量的误报。

▣ Unit42发布有关4个新的勒索运营团伙的分析报告

Unit42在2021年8月24日发布了有关4个新的勒索运营团伙的分析报告。这四个勒索团伙分别为6月下旬开始运营的AvosLockerRaaS，主要针对美国、英国、阿联酋、比利时、西班牙和黎巴嫩，赎金从50000美元到75000美元不等；6月开始的Hive Ransomware，已攻击了28个组织；7月开始活跃的Linux版本HelloKitty，其首选目标为VMware的ESXi管理程序；以及在6月经过改造的LockBi，已经攻击了52个组织。

网络安全最新漏洞追踪

❖ 微软 8 月份月度安全漏洞预警

近日，微软发布 2021 年 8 月份安全补丁更新，共披露了 44 个安全漏洞，其中 7 个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、TCP/IP 、Remote Desktop Client、Microsoft Office等组件。

漏洞级别：【严重】

说明：漏洞级别共四级：一般、重要、严重、紧急

影响范围

Microsoft Windows、TCP/IP 、Remote Desktop Client、Microsoft Office 等产品。

重要漏洞说明详情

安全建议

1、可通过 Windows Update 自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：

2、为确保数据安全，建议重要业务数据进行异地备份。

❖ Apache OFBiz 任意文件上传漏洞预警 (CVE-2021-37608)

近日，华为云关注到 Apache OFBiz 官方发布安全公告，披露在 17.12.08 之前的版本中存在任意文件上传漏洞（CVE-2021-37608），由于 OFBiz 图像管理模块（Image Management）对文件扩展名校验的不严谨导致远程攻击者通过发送特制的请求包，利用漏洞上传恶意脚本，进而实现在目标系统上执行任意代码。

Apache OFBiz 是一个开源的企业资源计划（ERP）系统，华为云提醒使用 Apache OFBiz的用户及时安排自检并做好安全加固。

威胁级别：【严重】

漏洞影响范围

影响版本：Apache OFBiz < 17.12.08

安全版本：Apache OFBiz 17.12.08

漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户及时升级至安全版本：下载地址：

或下载补丁进行修复：

❖ SonicWall Analytics 远程代码执行漏洞预警

近日，华为云关注到 SonicWall 官方发布 SonicWall Analytics 远程代码执行漏洞（CVE-2021-20032）安全公告。在特定版本的SonicWall Analytics 2.5 On-Prem中，由于JDWP服务端口的安全配置错误，导致未经身份验证的攻击者利用漏洞可远程在目标系统上执行任意代码。

SonicWall Analytics 是一种功能强大的智能驱动分析服务。华为云提醒使用 SonicWall Analytics 的用户及时安排自检并做好安全加固以降低安全风险。

参考链接：

威胁级别：【严重】

漏洞影响范围

影响版本：SonicWall Analytics On-Prem <= 2.5.2518

安全版本：SonicWall Analytics on-prem >= 2.5.2519

安全建议

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本。下载地址：

如果受影响的用户无法及时升级，可参考 SonicWall 官方提供的建议，在受影响版本的 JDWP 服务默认端口 9000/TCP 上配置安全组访问。

❖ 关于 Xstream 多个高危漏洞预警

近日，华为云关注到 Xstream 官方发布安全更新公告，披露在 1.4.18 之前的版本中存在多处高危漏洞。远程攻击者利用漏洞可造成任意代码执行、拒绝服务攻击、SSRF 跨站请求伪造等危害。

XStream 是 Java 类库，用来将对象序列化成 XML（JSON）或反序列化为对象。华为云提醒使用 XStream 的用户及时安排自检并做好安全加固。

参考链接：

CVE-2021-39139 XStream 易受任意代码执行攻击

CVE-2021-39140 XStream 易受拒绝服务攻击

CVE-2021-39141 XStream 易受任意代码执行攻击

CVE-2021-39144 XStream 易受远程命令执行攻击

CVE-2021-39145 XStream 易受任意代码执行攻击

CVE-2021-39146 XStream 易受任意代码执行攻击

CVE-2021-39147 XStream 易受任意代码执行攻击

CVE-2021-39148 XStream 易受任意代码执行攻击

CVE-2021-39149 XStream 易受任意代码执行攻击

CVE-2021-39150 可以使用 XStream 激活服务器端伪造请求，以从引用内部网或本地主机中资源的任意 URL 访问数据流

CVE-2021-39151 XStream 易受任意代码执行攻击

CVE-2021-39152 可以使用 XStream 激活服务器端伪造请求，以从引用内部网或本地

主机中资源的任意 URL 访问数据流

CVE-2021-39153 XStream 易受任意代码执行攻击

CVE-2021-39154 XStream 易受任意代码执行攻击

威胁级别：【严重】

漏洞影响范围

影响版本：

XStream < 1.4.18

安全版本：

XStream 1.4.18

安全建议

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

❖ OpenSSL 缓冲区溢出漏洞预警（CVE-2021-3711）

近日，华为云关注到 OpenSSL 官方发布安全公告，披露在特定版本中存在两处缓冲区溢出漏洞（CVE-2021-3711、CVE-2021-3712）。其中 CVE-2021-3711 高危，远程攻击者通过发送特制的 SM2 内容，可能会改变应用程序行为或导致应用程序崩溃。

OpenSSL 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。华为云提醒使用 OpenSSL 的用户及时安排自检并做好安全加固。

参考链接：

威胁级别：【严重】

漏洞影响范围

影响版本：

CVE-2021-3711：

OpenSSL <= 1.1.1k

CVE-2021-3712：

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

安全版本：

CVE-2021-3711：

OpenSSL >= 1.1.1l

CVE-2021-3712：

OpenSSL >= 1.1.1l

OpenSSL >= 1.0.2za

安全建议

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

❖ Atlassian Confluence 远程代码执行漏洞预警（CVE-2021-26084）

近日，华为云关注到 Atlassian 官方发布安全公告，披露旗下产品 Confluence Server、Confluence Data Center 在特定版本中存在一处远程代码执行漏洞（CVE-2021-26084）。经过身份验证的攻击者（在某些情况下未经身份验证的攻击者）通过构造恶意请求，造成OGNL 注入，实现远程代码执行。

Atlassian Confluence 是一个专业的企业知识管理与协同软件，可用于构建企业 wiki。华为云提醒使用 Atlassian Confluence 的用户及时安排自检并做好安全加固。

参考链接：

威胁级别：【严重】

漏洞影响范围

影响版本：

Atlassian Confluence Server/Data Center < 6.13.23

Atlassian Confluence Server/Data Center < 7.4.11

Atlassian Confluence Server/Data Center < 7.11.6

Atlassian Confluence Server/Data Center < 7.12.5

Atlassian Confluence Server/Data Center < 7.13.0

安全版本：

Atlassian Confluence Server/Data Center 6.13.23