2022年 第24周 微信公众号精选安全技术文章总览
洞见网安 2022-6-13
0x1 西门子工业网络管理系统中发现的十几个缺陷
黑猫安全 2022-06-19T22:44:40 鹏鹏同学
网络安全研究人员披露了西门子SINEC网络管理系统(NMS)中的15个安全漏洞,这些漏洞可能被攻击者利用以在受影响系统上实现远程代码执行。这些漏洞涉及拒绝服务攻击、凭据泄漏和远程代码执行等多种风险。西门子在2021年10月12日发布的版本V1.0 SP2 Update 1中修复了这些问题。其中,CVE-2021-33723允许权限升级至管理员帐户,而CVE-2021-33722是一个路径遍历缺陷,可远程执行代码。CVE-2021-33729涉及SQL注入,允许攻击者在本地数据库执行任意命令。SINEC作为网络拓扑的中心,管理网络中的设备,因此其安全性至关重要。攻击者若能控制SINEC,将能进行侦察、横向移动和特权提升等恶意活动。
远程代码执行 权限提升 路径遍历 SQL注入 凭据泄漏 拒绝服务攻击 工业控制系统安全 网络拓扑安全
0x2 温故知新|黑客攻击和入侵的八大常用手段
数据机器人 2022-06-19T11:08:17 专注欺骗的
0x3 unidbg|模拟执行so函数
逆向与采集 2022-06-18T13:05:01 ©
本文主要介绍了如何使用unidbg模拟执行Android设备上的SO函数。文章首先声明了内容仅供学习交流,并提醒读者不要用于商业用途。接着,作者通过下载样本app并抓包分析,定位到加密位置,并使用unidbg进行脱壳操作。文章详细介绍了如何搭建unidbg的执行环境,包括创建ARM模拟器、设置内存、加载SO库等步骤。在代码示例中,作者展示了如何调用SO中的函数,并使用Base64编码输出结果。此外,文章还提到了如何通过修改内存内容来绕过验证,并提供了相应的代码示例。最后,文章展示了执行过程中的调试信息,包括函数调用和结果输出。
移动应用安全 逆向工程 动态调试 加密解密 漏洞分析 漏洞利用
0x4 Zimbra Memcache 命令注入漏洞风险提示(CVE-2022-27924)
安恒信息CERT 2022-06-17T18:15:44
近日,Zimbra官方发布安全公告,修复了Zimbra Collaboration的一处命令注入漏洞(CVE-2022-27924)。该漏洞允许未经身份验证的攻击者注入任意Memcache命令,窃取明文凭据,可能导致敏感信息泄露。受影响版本包括Zimbra Collaboration (aka ZCS) < 8.8.15 P31.1和< 9.0.0 P24.1。官方已发布修复后的版本,建议用户尽快升级。安恒信息CERT监测显示,全球范围内均有Zimbra部署,国内也有一定数量的用户。漏洞允许攻击者窃取登录凭据,可能升级访问权限,访问内部服务,窃取敏感信息。官方建议升级至修复后的版本,并提供了升级路径。安恒信息的产品已集成漏洞防护能力,用户可通过升级策略包来防护该漏洞。
漏洞披露 命令注入 Memcache 电子邮件安全 安全更新 安全风险提示 开源软件安全 身份验证安全 信息泄露风险
0x5 Frida Stalker 是什么?
奋飞安全 2022-06-17T07:32:01 ©
本文主要探讨了网络安全领域中的逆向工程技巧,特别是针对移动应用程序中的代码跟踪和调试技术。文章首先介绍了Trace和Debug在分析代码时的常用手段,并指出一些应用程序可能通过检测关键代码来判断是否被调试,从而采取防御措施。为了绕过这些检测,文章推荐了Stalker工具,它通过动态重新编译代码来进行跟踪。接着,文章详细介绍了如何使用Stalker进行代码跟踪的步骤,并通过一个小说App的例子展示了其用法。此外,文章还介绍了如何使用sktrace工具来获取更详细的跟踪信息,并通过修改代码实现了类似IDA的跟踪效果。最后,文章总结了逆向工程中工具和技巧的重要性,并强调了安全研究者应该遵守法律法规,不应将技术用于非法目的。
0x6 思科安全电子邮件和 Web 管理器中的严重缺陷使攻击者能够绕过身份验证
黑猫安全 2022-06-16T22:54:34 鹏鹏同学
思科公司针对其电子邮件安全设备(ESA)和安全电子邮件与Web管理器中存在的严重安全漏洞发布了修复程序。该漏洞(CVE-2022-20798)允许未经身份验证的远程攻击者绕过身份验证,其严重性在CVSS评分系统中得到了9.8分的高分。该漏洞是由于设备在进行外部身份验证时,使用轻型目录访问协议(LDAP)进行身份验证检查不当所致。攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,从而未经授权访问受影响设备的基于Web的管理界面。受影响的设备包括运行易受攻击的AsyncOS软件版本11及更早版本,12,12.x,13,13.x,14和14.x的ESA和安全电子邮件与Web管理器。此外,思科还通报了影响其小型企业路由器RV110W,RV130,RV130W和RV215W的关键漏洞(CVE-2022-20825),该漏洞允许未经身份验证的远程攻击者执行任意代码或导致设备意外重启,形成拒绝服务(DoS)情况。然而,对于这些路由器的漏洞,思科表示不会发布软件更新或提供解决方法,因为这些产品已经达到其生命周期的终点。
身份验证绕过 CVE漏洞 LDAP安全问题 远程代码执行 拒绝服务攻击(DoS) 产品生命周期结束
0x7 微软6月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2022-06-16T18:30:55
微软官方发布了6月安全更新公告,包含了对多个微软软件组件的安全更新补丁,涉及Microsoft Windows、Microsoft Office、SQL Server、Hyper-V等。公告特别指出,Windows 网络文件系统远程代码执行漏洞(CVE-2022-30136)、Windows Hyper-V 远程代码执行漏洞(CVE-2022-30163)、Windows Installer 特权提升漏洞(CVE-2022-30147)和Windows 高级本地过程调用特权提升漏洞(CVE-2022-30160)风险较大,建议用户尽快安装安全更新补丁或采取临时缓解措施。公告详细列出了受影响的Windows和服务器版本,并提供了更新指引和临时缓解措施,如禁用NFSV4.1以缓解CVE-2022-30136攻击。此外,公告还提供了6月安全公告列表的参考链接,包含其他多个漏洞的信息。
漏洞公告 CVE 远程代码执行 特权提升 微软产品 安全更新 Windows Office SQL Server Hyper-V
0x8 【安全公告】PHP多个远程代码执行漏洞风险预警
聚铭网络 2022-06-16T15:00:00 © 聚铭安全研究院
PHP官方于5月16日接到报告,指出PHP 8.1.6版本存在远程代码执行漏洞。经过确认,PHP官网于6月9日发布修复方案。涉及的两个高危漏洞CVE-2022-31625和CVE-2022-31626的POC已公开,CVSSv3评分高达9.83。漏洞影响包括未初始化数组导致的远程代码执行和内存复制溢出。官方已发布修复版本,包括PHP 8.1.7、PHP 8.0.20和PHP 7.4.30。CVE-2022-31625影响的PHP 5.x版本已停止维护,建议用户升级。聚铭网络脆弱性扫描系统支持该漏洞检测。本公告不提供任何保证或承诺,对信息传播或利用造成的后果不承担责任。
0x9 Codesys反序列化漏洞-CVE-2021-21867复现
安帝Andisec 2022-06-16T12:00:14 © VulEye-Snail
CODESYS Development System是德国3S-Smart Software Solutions公司开发的工业控制器编程工具,支持多种PLC编程语言。在3.5.16和3.5.17版本中,ObjectManager.plugin的ObjectStream.ProfileByteArray功能存在不安全的反序列化漏洞(CVE-2021-21867),允许攻击者执行任意命令。漏洞复现实验在Windows 10系统上进行,使用ysoserial.net工具生成恶意项目文件,并成功触发计算器弹出。漏洞分析通过dnspy工具进行,发现在反序列化过程中,通过TypeConfuseDelegate攻击向量,可以触发SortedSet
反序列化漏洞 CVE-2021-21867 工业控制系统安全 漏洞复现 漏洞分析 修复建议
0xa [翻译]Lyceum .NET DNS 后门
梦幻的彼岸 2022-06-14T09:41:58 梦幻的彼岸
Lyceum.NETDNSBackdoor是一种由Lyceum Group开发的基于.NET的DNS后门,该组织自2017年以来一直活跃,主要针对中东地区的能源和电信组织。这种后门利用了DNS劫持技术,通过攻击者控制的DNS服务器操纵DNS查询的响应,实现隐蔽的C2通信。攻击者通过伪装成新闻报道的Word文档传播恶意软件,一旦用户启用宏,恶意软件就会将自身复制到启动文件夹,实现持久化。该后门能够远程执行系统命令、上传/下载文件,并通过DNS协议与C2服务器通信。恶意软件利用开源工具DIG.net进行DNS查询,并自定义了部分代码以执行特定功能。攻击链分析显示,恶意软件通过DNS查询接收来自C2服务器的命令,并执行相应的操作,如下载文件、上传文件或执行系统命令。
0xb 伊朗黑客被发现在最近的攻击中使用新的DNS劫持恶意软件
黑猫安全 2022-06-13T14:52:45 鹏鹏同学
伊朗国家赞助的黑客组织Lyceum(也称为Hexane、Spirlin或Siamesekitten)被发现在针对中东的最新网络攻击中使用基于.NET的DNS Backdoor恶意软件。这种新的恶意软件是开源工具'DIG.net'的定制版本,利用DNS劫持技术,通过控制DNS服务器来操纵DNS查询响应,将用户重定向至攻击者控制的欺诈性页面。与缓存中毒不同,DNS劫持直接针对网站的DNS记录。Lyceum组织的攻击链开始于使用假冒自由欧洲电台/自由电台新闻报道的宏启用型Microsoft文档,一旦启用宏,恶意代码就会被植入,建立持久性。'DnsSystem'后门允许攻击者解析特定DNS服务器的响应,并执行恶意操作,包括上传下载文件和远程执行系统命令。该组织不断采用新的反分析技巧和恶意软件重新打包策略,以逃避安全检测。
0xc 使用流策略Traffic Policy进行内外网隔离
网络技术联盟站 2022-06-13T08:00:10 瑞哥
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
