2021年 第49周 微信公众号精选安全技术文章总览

    洞见网安 2021-12-6

    0x1 VMware 多个产品 Log4j2 RCE(CVE-2021-44228)危级漏洞通告

    ADLab 2021-12-12T15:57:18 启明星辰

    Example Image


    本文针对VMware多个产品中存在的Log4j2远程代码执行漏洞(CVE-2021-44228)进行了详细分析。Apache Log4j2是一款广泛使用的Java日志记录工具,其漏洞一旦被利用,将导致严重的安全风险。VMware的众多产品,包括VMware Horizon、vCenter Server、NSX-T Data Center等,都受到了此漏洞的影响。启明星辰ADLab已经确认了这一漏洞,并提供了受影响产品的列表。目前VMware尚未发布针对该漏洞的安全补丁,但已提供了缓解措施。同时,文章简要介绍了启明星辰ADLab的背景和成就,强调其在网络安全领域的研究和贡献。

    漏洞分析 CVE-2021-44228 远程代码执行(RCE) VMware 日志框架 安全通告 应急响应 安全研究 Java安全

    0x2 警惕!Muhstik僵尸网络已武器化Apache Log4j 2 远程代码执行漏洞

    安恒信息CERT 2021-12-12T09:01:33 ©

    Example Image


    近日,安恒信息应急响应中心监测到Apache Log4j 2远程代码执行漏洞(CVE-2021-44228)被Muhstik僵尸网络利用。该漏洞主要影响2.0到2.15.0(或2.15.0-rc2)之前的版本。Muhstik僵尸网络通过利用此漏洞发起网络攻击和横向传播,支持多平台攻击,包括ARM、MIPS、x64和x86。恶意代码通过LDAP协议访问远程恶意文件,进而执行远程脚本。分析发现,恶意脚本具备root权限,修改系统命令,写入主控端SSH公钥,释放系统资源,清除其他恶意软件记录,配置定时任务,枚举SSH密钥,并通过Tor站点报告受害者信息。Muhstik僵尸网络组件通过crontab持久化,接收IRC服务器指令,包括DDoS攻击、扫描、横向移动等功能。文章还提供了漏洞加固的FAQ,包括快速防护措施、修改配置的方法、其他可能的修改方式以及漏洞检测方法。

    漏洞利用 僵尸网络 远程代码执行 Java安全 网络攻击 应急响应 安全加固 安全漏洞 安全工具

    0x3 android逆向|okhttp的执行流程

    逆向与采集 2021-12-12T09:00:00 ©

    Example Image


    本文详细分析了Android中使用OkHttp发送HTTPS请求的完整过程,从Java层到JNI层的流程。首先,OkHttpClient对象创建并配置拦截器链,包括应用拦截器、重试与重定向拦截器、内容拦截器、缓存拦截器、连接拦截器和请求服务拦截器。然后,通过RealInterceptorChain类的proceed方法,依次执行拦截器链中的每个拦截器,最终调用ConnectInterceptor拦截器建立与服务器的HTTPS连接。ConnectInterceptor拦截器内部调用findHealthyConnection方法获取健康的连接,并进行TCP+TLS握手,创建SSLSocket与服务器进行握手交互。OkHttp使用Okio库进行数据发送和接收,Okio库封装了Java的Socket操作,并将数据读取和写入操作委托给底层SSL库完成。在JNI层,OkHttp调用NativeCrypto库中的SSL_write函数发送数据,该函数内部调用SSL3_write_app_data函数进行SSL加密,并通过socket发送数据。接收数据时,OkHttp调用NativeCrypto库中的SSL_read函数读取数据,该函数内部调用SSL3_read_app_data函数读取SSL加密的数据。整个过程涉及多个关键类和方法的调用,包括OkHttpClient、RealInterceptorChain、ConnectInterceptor、Okio、ConscryptFileDescriptorSocket、SslWrapper等,展示了OkHttp发送HTTPS请求的复杂流程。

    0x4 android |使用 frida hook socket

    逆向与采集 2021-12-11T16:07:49 wyx weart

    Example Image


    这篇文章主要介绍了如何使用Frida来hook Android中的socket通信。通过编写Frida脚本,可以拦截Java层的关键函数如java.net.SocketInputStream的socketRead0和java.net.SocketOutputStream的socketWrite0,以及JNI层的关键函数如libc.so的recvfrom和sendto。文章还提供了一些实用的函数,如将数组转换成C++的byte[]并进行hexdump打印,以及获取socket的详细信息。这些函数可以帮助我们更好地理解和分析socket通信的过程。最后,文章给出了一个主函数,用于调用hookjava和hooklibc函数来完成实际的hook操作。

    网络流量分析 Frida Java JNI 数据转换 日志记录

    0x5 Apache Log4j2 高危漏洞应急响应处置方法汇总整理

    WalkingCloud 2021-12-11T13:07:29 ©

    Example Image


    本文详细介绍了Apache Log4j2高危漏洞的应急响应处置方法。2021年11月,Apache Log4j2被发现存在远程代码执行漏洞,攻击者可利用该漏洞执行恶意代码。文章首先介绍了漏洞的基本情况,包括漏洞发现时间、影响范围以及CVE编号。随后,提供了漏洞检测工具的使用方法,如微步在线和长亭科技的在线检测工具。文章还提出了漏洞修复建议,包括临时性缓解措施和彻底修复方案,如升级到最新版本或替换相关类文件。此外,还提供了应急处置方法,包括攻击识别、主机资产加固、限制受影响应用对外访问以及后期漏洞整改等。文章强调了安全工程师在应对此类漏洞时应采取的步骤,以确保系统安全。

    0x6 Apache Log4j 2远程代码执行漏洞风险紧急通告,猎安提供虚拟补丁解决方案,解你燃眉之急

    猎安云原生安全 2021-12-11T11:08:20 © 猎安云原生安全

    Example Image


    Apache Log4j 2是一个广泛使用的Java日志框架,近期爆出的远程代码执行漏洞影响到了2.15.0-rc1及以下版本。漏洞允许攻击者通过特定输入数据,在日志记录时执行远程代码。官方已发布安全更新log4j-2.15.0-rc2以解决此问题。受影响的应用和组件,如Apache Struts2、Apache Solr等,建议进行升级。猎安提供了漏洞检测和虚拟补丁解决方案,支持发现并防御log4j2 CVE-2021-44228漏洞,特别适用于无法立即升级的业务系统。

    远程代码执行 Java日志框架 安全更新 虚拟补丁 入侵防御 漏洞检测

    0x7 高危预警 || 海云安发布Apache Log4j2漏洞处置方案

    海云安 2021-12-11T11:02:30 专注于网络安全的

    Example Image


    0x8 分析Windows系统缺失的补丁及对应的漏洞情况

    天津恒御科技有限公司 2021-12-11T08:00:46

    Example Image


    u200b经常有很多人问我“我知道 Windows 系统上安装了哪些补丁 (KB),但我怎么知道它面临哪些风险?”。这是一个很好的问题,我相信还有更多的人有同样的疑问。

    0x9 【漏洞风险通告】Apache Log4j2任意代码执行漏洞

    电信云堤 2021-12-10T18:13:08 电信云堤

    Example Image


    Apache Log4j2任意代码执行漏洞近期引发广泛关注,该漏洞可能被攻击者利用,对业务系统造成严重危害。该漏洞无需特殊配置即可触发,影响范围广泛,包括Spring Boot、Apache Struts2、Apache Solr等多个知名应用。中国电信安全公司已推出相关产品和服务,包括漏洞扫描、IPS、IDS、WAF等,以帮助客户检测和防护该漏洞。同时,官方已发布修复版本,建议受影响用户尽快升级至安全版本。

    漏洞通告 Apache Log4j2 任意代码执行 Java日志框架 应急响应 安全产品 漏洞修复 网络安全风险

    0xa 【漏洞风险通告】Apache Log4j2任意代码执行漏洞

    电信云堤 2021-12-10T18:13:08 电信云堤

    Example Image


    近日,Apache Log4j2日志记录工具出现严重漏洞,攻击者可利用该漏洞直接构造恶意请求,触发远程代码执行,对系统造成严重危害。该漏洞无需特殊配置即可被利用,已存在在野利用。受影响的应用包括Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr等。中国电信安全公司已提供相应的检测和防护措施,并建议受影响客户尽快升级到最新版本以修复漏洞。

    远程代码执行 日志记录工具漏洞 高危漏洞 紧急响应 官方修复

    0xb 【快速排查与加固方案】Apache Log4j2 远程代码执行漏洞安全通告

    非凡安全 2021-12-10T16:55:04

    Example Image


    OKcheck(安全有效性验证平台)、OKSOP(服务平台)、OKscan(漏扫)均已在第一时间加入了受影响资产的测绘与漏扫规则,请将产品升级到最新版本后进行受影响资产排查。

    0xc 【漏洞分析】关于Log4j2远程代码执行漏洞的解决方案

    安博通 2021-12-10T16:20:34 © 安博通

    Example Image


    0xd 关于Apache Log4j2 远程代码执行漏洞安全风险通告

    安信天行 2021-12-10T16:11:40

    Example Image


    漏洞安全风险及时了解,安全隐患及时解决。

    0xe Apache Log4j 2远程代码执行漏洞风险提示【二次通告】

    安恒信息CERT 2021-12-10T15:59:11 ©

    Example Image


    近日,安恒信息应急响应中心发现Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求在目标服务器上执行任意代码。此漏洞影响Apache Log4j 2版本2.0至log4j-2.15.0-rc1。为缓解风险,建议用户升级至安全版本log4j-2.15.0-rc2,并升级受影响的应用和组件。同时,提供了多种临时解决方案,包括设置JVM参数、配置log4j2.component.properties文件等。文章还提供了漏洞检测方案和产品侧解决方案,如AiLPHA大数据平台、APT攻击预警平台、Web应用防火墙以及安恒信息明鉴系列产品等,帮助用户检测和防御此漏洞。

    远程代码执行漏洞 Apache Log4j 2 日志记录工具 Java应用安全 漏洞修复 应急响应 漏洞影响范围 安全最佳实践

    0xf Apache Log4j 远程代码执行漏洞

    斗象科技 2021-12-10T14:58:12

    Example Image


    2021年12月,Apache Log4j发布紧急安全更新,修复了远程代码执行漏洞。该漏洞存在于Log4j 2.x <= 2.15.0-rc1版本中,攻击者可通过构造特定数据请求触发。漏洞被发现后,Apache官方发布了修复版本log4j-2.15.0-rc2,并建议用户升级至该版本以避免风险。此外,还提到了应急响应团队的活动、漏洞的时间线、影响范围、修复方案以及临时缓解措施,包括升级相关应用、使用特定的JVM参数和系统环境变量设置等。

    远程代码执行漏洞 Apache Log4j 安全补丁 漏洞时间线 影响范围 漏洞复现 应急响应 安全最佳实践

    0x10 9款WiFi路由器226个漏洞影响数百万设备

    信息安全最新论文技术交流 2021-12-10T12:11:00

    Example Image


    9款WiFi路由器226个漏洞影响数百万设备。

    0x11 【漏洞通告】Eltima SDK 12月多个漏洞

    金瀚信安 2021-12-10T10:59:44

    Example Image


    0x00 漏洞概述2021年12月7日,SentinelLabs的研究人员公开披露了在 Eltima SDK

    0x12 Apache Log4j2 远程代码执行漏洞

    安全周 2021-12-10T10:03:40

    Example Image


    Apache Log4j2远程代码执行漏洞于12月9日被披露,影响版本为Apache Log4j2.x<=2.14.1。该漏洞允许未经身份验证的攻击者通过发送特殊构造的数据请求包在目标服务器上执行任意代码。Apache Log4j2是一款广泛使用的Java日志框架,漏洞影响范围广泛。检测方法包括检查Java程序包路径、Maven和Gradle配置文件中的版本号。攻击者可能使用dnslog方式探测,可通过特定错误日志关键字或数据包内容进行排查。临时防护措施包括设置JVM参数、添加配置文件、升级JDK版本以及限制对外网访问和检测dnslog域名。

    远程代码执行漏洞 Apache Log4j2 Java日志框架 安全检测 漏洞复现 防护措施 dnslog探测 版本控制

    0x13 Apache Log4j 2远程代码执行漏洞风险提示

    安恒信息CERT 2021-12-09T23:53:14

    Example Image


    近日,安恒信息应急响应中心发现Apache Log4j 2存在远程代码执行漏洞,该漏洞可能允许攻击者在目标服务器上执行任意代码,从而控制服务器。此漏洞影响Apache Log4j 2的版本范围在2.0至2.14.1之间。由于Apache Log4j 2被广泛应用,该漏洞的风险较高。应急响应中心已验证了该漏洞的可利用性。为了缓解风险,建议用户尽快升级至最新的安全版本2.15.0-rc1,并提供了升级的下载链接。这一漏洞的发现和响应对于使用Apache Log4j 2组件的用户来说是一个重要的安全提醒,需要立即采取行动以保护系统安全。

    远程代码执行漏洞 Apache Log4j 2 日志记录工具安全 Java应用安全 应急响应 安全更新和补丁

    0x14 Go免杀初探

    Linux网络安全 2021-12-08T11:47:00

    Example Image


    文章探讨了使用Go语言进行免杀技术的开发,特别是针对Windows平台上的后门程序。传统的C/C++和Python编写的恶意软件容易被安全软件检测到,因此作者尝试用较为小众的Go语言来编写以逃避检测。文中提到Go语言的优势在于其执行效率高、安全性强,并且支持跨平台编译。作者基于Cobalt Strike生成的.C文件作为基础,进行了免杀测试。通过加载并混淆shellcode,利用异或加密、添加随机字符等手段对原始shellcode进行了加密处理,然后在运行时解密并执行。为了进一步减少被检测的风险,作者还实现了去除垃圾代码和延迟执行等功能,以躲避静态分析。最终生成的exe文件体积较小,并经过UPX压缩优化。该程序能够绕过Windows Defender、火绒和360等国内主流杀毒软件的查杀,在VirusTotal上的检测率也相对较低。文章最后提及了Go编译后的程序会弹出命令行窗口的问题,并给出了可能的解决方案。

    Go语言安全 免杀技术 后门技术 跨平台开发 逆向工程 Windows系统安全 杀软绕过 安全测试

    0x15 Grafana未授权任意文件读取漏洞

    Y1X1n安全 2021-12-08T00:17:04 © srn7sec

    Example Image


    Grafana是一款跨平台、开源的数据可视化平台,近日爆出未授权任意文件读取漏洞。该漏洞存在于Grafana解析插件路由时,由于未对输入进行有效过滤,攻击者可构造数据包拼接路径和文件名,从而读取服务器上的任意文件。受影响的版本为Grafana 8.x至8.3.0。漏洞复现表明,攻击者可以通过特定插件路径读取系统文件,如/etc/passwd,甚至数据库文件。目前官方尚未提供修复方案,用户需注意防范,避免未经授权的访问。

    文件读取漏洞 未授权访问 Grafana漏洞 网络安全 漏洞复现 修复方案

    0x16 Grafana任意文件读取漏洞风险提示

    安恒信息CERT 2021-12-07T21:55:26

    Example Image


    近日,安恒信息应急响应中心发现Grafana数据可视化平台存在一个严重的安全漏洞。该漏洞允许未经身份验证的攻击者读取目标服务器上的任意文件,可能导致敏感信息泄露。受影响的版本包括Grafana 8.x系列,其中最新的8.2.26版本也未能幸免。尽管Grafana官方尚未发布修复补丁,用户应采取临时缓解措施,如配置访问控制策略,限制对Grafana资产的访问,以降低风险。安恒信息建议用户密切关注Grafana官方发布的升级公告,并及时更新到安全版本。

    漏洞分析 文件读取漏洞 Grafana安全 数据可视化 开源软件安全 应急响应

    0x17 海康威视因自身漏洞被黑客利用而遭受攻击

    软件评测中心 2021-12-07T18:30:00

    Example Image


    本文报道了海康威视因自身漏洞CVE-2021-36260被黑客利用而遭受攻击的事件。该漏洞存在于海康威视部分产品的web模块中,由于输入参数校验不足,攻击者可以发送恶意命令,导致命令注入攻击。研究人员在9月18日披露了这一漏洞,并迅速发布了补丁。FortiGuard Labs开发了IPS签名来解决这个问题。攻击者利用该漏洞传播了恶意软件,其中一种有效载荷试图删除名为“macHelper”的文件,并下载执行Moobot僵尸网络。Moobot是基于Mirai开发的,且具有零日漏洞利用的能力。文章详细描述了攻击者如何利用该漏洞传播恶意软件,以及Moobot的下载和执行过程。此外,文章还提到了Syn-Flood DDoS攻击和Satori僵尸网络的元素。最后,文章强调了用户应关注DDoS攻击,并对易受攻击的设备应用补丁。

    漏洞利用 命令注入 远程代码执行 僵尸网络 DDoS攻击 恶意软件分析 补丁更新 安全公告

    0x18 查找与整数处理相关的溢出、截断等漏洞

    天津恒御科技有限公司 2021-12-07T08:00:00

    Example Image


    u200b整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。

    0x19 实战|应急响应之某公司的粗心导致网站被恶意篡改

    Linux网络安全 2021-12-06T18:37:00

    Example Image


    本文详细描述了一起网络安全事件,某公司网站因管理员粗心大意被恶意篡改。事件始于监管单位通报违规内容,通过现场调查发现网站首页关键字标签被修改。分析现场情况得知,网站部署在虚拟空间,无服务器登录权限,维护通过FTP进行。篡改时间与最早后门文件上传时间相差不久,结合日志分析,确定了攻击者IP和攻击流程。攻击者利用密码重置脚本修改管理员密码,通过后台文件管理器上传后门文件,形成多个层级后门。事件揭示了运维管理的重要性,提醒网络安全防范需重视细节。

    应急响应 网站安全 后门攻击 密码安全 日志分析 安全防护 网络安全意识

    0x1a 【涨知识】 利用DoH技术加密传输的DNS隧道流量检测分析

    北京观成科技 2021-12-06T17:12:47

    Example Image


    本文深入探讨了DNS over HTTPS(DoH)技术在加密传输DNS隧道流量中的应用及其检测分析。文章首先介绍了DoH技术的背景和目的,包括提高用户隐私和DNS服务安全性。接着,分析了DoH技术在恶意DNS隧道流量中的利用情况,指出其隐蔽性增强给检测带来的挑战。文章详细阐述了恶意DoH流量的检测方法,包括数据搜集、特征工程、模型训练和实际测试等环节。数据搜集部分介绍了公开数据集和自建环境搜集的方法。特征工程部分重点介绍了针对加密数据会话过程的特征设计。模型训练和测试部分对比了多种算法,最终选择了随机森林算法。最后,文章展示了基于DoH恶意流量检测的产品检出截图,并简要介绍了相关的研究背景和应用。

    DNS安全 加密技术 恶意流量检测 网络安全隐私 机器学习 数据收集与分析

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。