2021年12月02日，360CERT监测发现 `Mozilla`    发布了 `Mozilla NSS 缓冲区堆溢出`    的风险通告，漏洞编号为 `CVE-2021-43527`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

绿盟科技威胁情报月报（2021年11月）

绿盟科技威胁情报周报（2021 11 22-2021 11 28）

本周收录安全热点 `25`   项，话题集中在 `恶意软件`   、 `漏洞信息`   方面，涉及的组织有： `马汉航空`   、 `GoDaddy `   、 `imunif360`   、 `Gmail`   、 `Instagram`   等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年11月29日，360CERT监测发现 `Linux Kernel TIPC 远程代码执行`    的 `POC`    已公开，漏洞编号为 `CVE-2021-43267`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

2021年11月29日，360CERT监测发现 `Linux Kernel TIPC 远程代码执行`    的 `POC`    已公开，漏洞编号为 `CVE-2021-43267`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

2021年11月25日，360CERT监测发现 `VMware`   发布了 `vCenter Server `   的安全更新，漏洞编号为 `CVE-2021-21980`    ，漏洞等级： `高危`   ，漏洞评分： `7.5`   。

2021年11月24日，360CERT监测发现 `Windows Installer`    权限提升漏洞的POC已公开，该漏洞为 `CVE-2021-41379`    补丁的绕过，目前暂无漏洞编号，漏洞等级： `高危`   ，漏洞评分： `7.8`   。

绿盟科技威胁情报周报（2021 11 15-2021 11 21）

2021年11月23日，360CERT监测发现Hadoop Yarn RPC未授权访问漏洞的 `poc`   与 `漏洞细节`   均已在互联网公开，并且该漏洞存在在野利用，漏洞等级： `高危`   ，漏洞评分： `7.8`   。本次通告更新了 `漏洞描述`   、 `安全建议`   与 `资产测绘数据`   。

2021年11月22日，360CERT监测发现 `Metabase 任意文件读取漏洞`   的 `poc`   已在互联网公开，漏洞编号为 `CVE-2021-41277`    ，漏洞等级： `严重`   ，漏洞评分： `9.9`   。

2021年11月22日，360CERT监测发现 `微软Exchange Server`    的 `poc`   已在互联网公开，漏洞编号为 `CVE-2021-42321`    ，漏洞等级： `严重`   ，漏洞评分： `8.8`   。

本周收录安全热点 `26`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `索尼`   、 `Mac`   、 `Cloudflare`   、 `FatPipe VPNs`   等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年11月17日，360CERT监测发现 `GitHub`    发布了 `npm`    的2个高危漏洞风险通告，这两个漏洞暂无cve编号，但均已修复，漏洞等级： `高危`   ，漏洞评分： `8.5`   。

2021年11月16日，360CERT监测发现 `Intel`    发布了 `Intel 处理器 BIOS固件`    的风险通告，漏洞编号包含 `CVE-2021-0157,CVE-2021-0158,CVE-2021-0146`    ，漏洞等级： `高危`   ，漏洞评分： `8.2`   。

2021年11月15日，360CERT监测发现Hadoop Yarn RPC未授权访问漏洞在野利用事件，该漏洞暂无cve编号并存在在野利用，漏洞等级： `高危`   ，漏洞评分： `7.8`   。

2021年11月15日，360CERT监测发现 `SonarQube 未授权访问漏洞`    出现在野利用，漏洞编号为 `CVE-2020-27986`    ，漏洞等级： `高危`   ，漏洞评分： `7.5`   。

绿盟科技威胁情报周报（2021 11 08-2021 11 14）

本周收录安全热点 `34`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `俄亥俄州医院`   、 `BlackBerry`   、 `Robinhood`   、 `Linux`   、 `FBI`   等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年11月11日，360CERT监测发现 `VMware 官方`    发布了 `vCenter Server 权限提升`    的风险通告，漏洞编号为 `CVE-2021-22048`    ，漏洞等级： `高危`   ，漏洞评分： `7.1`   。

11月10日，绿盟科技CERT监测到微软发布11月安全更新补丁，修复了55个安全问题

2021年11月11日，360CERT监测发现 `Palo Alto 官方`    发布了 `PAN-OS: GlobalProtect 接口和网关接口内存破坏漏洞`    的风险通告，漏洞编号为 `CVE-2021-3064`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

2021年11月10日， `微软`    发布了 `11月份安全更新`   ，事件等级： `严重`   ，事件评分： `9.8`   。

11月5日开始，360反勒索服务收到大量感染Magniber勒索病毒的求助，同时360安全大脑也检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。经过360政企集团高级威胁研究分析中心分析追踪发现，这是一起挂马攻击团伙，利用CVE-2021-40444大肆传播勒索病毒的攻击事件，同时病毒在攻击过程中，还使用了PrintNightmare漏洞进行提权，更加深了其危害。从使用的技术，攻击手法可以看出，这是一个技术精良的黑客组织，同时由于此次挂马网站主要面向国内，对普通网民和政企用户都有重大影响，360安全大脑提醒广大用户，及时做好漏洞防护，保护数据安全。

绿盟科技威胁情报周报（2021 11 01-2021 11 07）

本周收录安全热点 `26`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `Chrome `   、 `多伦多地铁`   、 `DeFi`   、 `CISA`   等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年11月08日，360CERT监测发现 `Linux官方`    发布了 `Linux Kernel TIPC 远程代码执行`    的风险通告，漏洞编号为 `CVE-2021-43267`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

10月，绿盟科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，其中，Windows Update Assistant 权限提升0day漏洞和GitLab 命令执行漏洞（CVE-2021-22205）影响范围相对较大。

绿盟科技威胁情报周报（2021 10 25-2021 10 31）

本周收录安全热点 `27`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `Microsoft`   、 `Firefox `   、 `Graff `   、 `WordPress `   等。勒索软件大肆攻击各行各业。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年10月28日，360CERT监测发现 `Gitlab 远程命令执行漏洞 POC 已公开，并已有在野利用`   ，漏洞编号为 `CVE-2021-22205`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

近日，绿盟科技监测到有研究人员披露了GitLab 远程命令执行漏洞(CVE-2021-22205)的利用程序

Oracle全系产品10月重要补丁更新通告（CVE-2021-22931、CVE-2021-3711、CVE-2021-22926）

近期，360烽火实验室发现一起针对巴以地区攻击活动，攻击者使用了多种商业间谍软件，同时也基于开源代码构建了独有的间谍软件。通过分析，我们发现该攻击活动自2018年开始，并持续至今。根据攻击者使用的伪装对象，我们推测攻击目标可能为巴以地区。

本周收录安全热点 `29`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `Thingiverse`   、 `TikTok`   、 `Twitter`   、 `Thingiverse`   等。勒索软件大肆攻击国家关键设施。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年10月20日，绿盟科技监测发现Oracle官方发布了10月重要补丁更新公告CPU（Critical Patch Update），此次共修复了419个不同程度的漏洞

2021年10月20日，360CERT监测发现 `Oracle官方`    发布了 `2021年10月份`    的风险通告，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

绿盟科技威胁情报周报（2021 10 11-2021 10 17）

本周收录安全热点 `28`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `Olympus`   、 `Microsoft`   、 `Thingiverse`   、 `Quest`   等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年10月15日，360CERT监测发现 `Apache 官方`    发布了 `Apache Tomcat 拒绝服务漏洞`    的风险通告，漏洞编号为 `CVE-2021-42340`    ，漏洞等级： `高危`   ，漏洞评分： `7.8`   。

绿盟科技威胁情报周报（2021 10 04-2021 10 10）

10月13日，绿盟科技CERT监测到微软发布10月安全更新补丁，修复了81个安全问题

360安全大脑监测发现最新的NtpClient挖矿木马攻击。该木马利用Drupal、WebLogic、Confluence、MongoDB等众多流行框架漏洞进行传播，入侵机器后占用系统资源进行挖矿，严重影响主机上的正常业务运转。由于其最终投递的木马文件名为ntpclient，遂将其命名为NtpClient挖矿木马。

2021年09月15日， `微软`   发布了 `10月份安全更新`  ，事件等级： `严重`  ，事件评分： `9.8`  。

2019年8月13日，微软发布了8月例行补丁更新列表，其中包含四个威胁评级为严重的RDP（远程桌面服务）远程代码执行漏洞。攻击者可以通过构造恶意特殊的RDP请求触发漏洞，获取在目标系统上的远程代码执行权限。需要注意的是从微软公告中来看，该漏洞为预身份验证，即无需用户交互（即利用的要求可能较低），这意味着该漏洞有可能被蠕虫所利用，其中漏洞CVE-2019-1181/CVE-2019-1182是微软在升级加固远程桌面服务期间所发现。目前，没有证据表明任何第三方都知道这两个漏洞的存在，但随着漏洞补丁的发布技术细节极有可能被包括攻击者在内的第三方所分析了解。,pdfFile:/uploads/2019/08/14/2eb0b039ae30474195ec9eced5bcd9b8.pdf

本周收录安全热点 `18`   项，话题集中在 `恶意软件`   、 `数据泄露`   方面，涉及的组织有： `E.M.I.T.`   、 `Syniverse`   、 `Fimmik`   、 `BrewDog`   等。勒索软件袭击多个商业巨头。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2021年10月11日，360CERT监测发现 `Apache 官方`    发布了 `Apache HTTP Server 路径穿越`    的风险通告，漏洞编号为 `CVE-2021-42013`    ，漏洞等级： `严重`   ，漏洞评分： `9.8`   。

绿盟科技威胁情报周报（2021 09 27-2021 10 03）

本周收录安全热点 `28`   项，话题集中在 `恶意软件`   、 `网络攻击`   方面，涉及的组织有： `WhatsApp`   、 `Steam`   、 `GiantPay`   、 `Coinbase`   等。恶意软件猖獗，各厂商注意防护。对此，360CERT建议使用 `360安全卫士`   进行病毒检测、使用 `360安全分析响应平台`   进行威胁流量检测，使用 `360城市级网络安全监测服务QUAKE`   进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

2020年7月14日，在微软每月的例行补丁日当天，修复了一个Window DNS Server中的严重远程代码执行漏洞，该漏洞由于Windows DNS Server未能正确处理特定畸形数据交互，从而导致远程无需验证的攻击者通过利用在本地系统账户下执行任意代码。该漏洞在微软的通告中被定级为可蠕虫化级别，此类型的漏洞在被利用后，往往会导致严重的安全威胁，类似之前被利用来传播WannaCry蠕虫的永恒之蓝漏洞。

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，基于所得到的技术细节，该漏洞是由于Windows DNS Server处理畸形回应数据时存在的整数溢出问题，目前红雨滴团队已经验证了此漏洞可被攻击者完全操控触发，存在被大范围攻击利用的可能性。而且漏洞影响从Windows Server 2008到2019的操作系统，几乎涵盖所有相关的Windows服务器。因此，奇安信威胁情报中心提醒启用了Windows DNS Server相关功能的用户及时安装该漏洞的补丁。

2020年4月3日，Mozilla在其安全通告中批露其修复了两个针对Firefox浏览器的在野0day漏洞（CVE-2020-6819、CVE-2020-6820）。
奇安信威胁情报中心红雨滴团队第一时间跟进了这两个漏洞，从Mozilla发送的公告中可知，
CVE-2020-6819是浏览器在处理nsDocShell析构函数时，由于竞争条件问题导致的UAF漏洞，而CVE-2020-6820则是浏览器在处理ReadableStream时由于竞争条件导致的UAF漏洞。值得注意的是，这两个漏洞Mozilla都提示发现了相关针对性的在野利用攻击，在漏洞被利用时极可能为0day状态，随着补丁的发布，相关的技术细节可能被研究并导致更大范围的攻击。

2020年3月24日，微软官方发布了一个非例行的预警通告。通告描述有两个漏洞存在于Windows Adobe Type Manager库处理Adobe Type 1 PostScript字体模块中，可能导致代码执行，有意思的是2015年Hacking Team泄露的工具中其中一个漏洞也是出于该模块。从通告中可知该漏洞已经被用于有限的在野攻击中，攻击者可以通过多种方式利用此漏洞：例如诱导用户打开特制文档或通过在Windows预览窗格中查看来执行漏洞攻击。由于微软会在稍后四月的补丁日才对该漏洞进行修复，所以奇安信威胁情报中心发布该通告提醒用户通过适当的缓解措施做好提前防范。

2020年3月11日，某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述，其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞（CVE-2020-0796），攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码，从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备，理论上存在蠕虫化的可能性。

由于漏洞存在的信息已经扩散，有迹象表明黑客团伙正在积极地研究漏洞细节尝试利用，构成潜在的安全威胁。奇安信息威胁情报中心红雨滴团队已经确认漏洞的存在，2020年3月12日微软发布了相应的安全补丁，强烈建议用户立即安装补丁以免受此漏洞导致的风险。

2020年1月17日，在微软的每月的例行补丁日两天之后，发布了编号为ADV200001的例行外安全公告，该公告的披露涉及一个野外发现的0day漏洞CVE-2020-0674，被用于执行小范围针对性的攻击。目前还未有相应的针对此漏洞的补丁，微软方面正在积极修复，可能在2月的例行补丁包中修复此漏洞。

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，基于所得到的技术细节，该漏洞是微软IE浏览器的JavaScript组件中的一处内存破坏漏洞，成功利用将使攻击者以当前用户的上下文执行任意代码。系统存在此漏洞的受影响的用户，如果访问Office文档、邮件或其他来源的恶意链接可能导致机器被控制，在漏洞补修复之前强烈建议用户按本通告给出的临时缓解措施处理以减轻被攻击的风险。

2020 年1月15日，微软例行公布了1月的补丁更新列表，在其中存在一个位于CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过相关的漏洞，同时紧随其后的是美国NSA发布的相关漏洞预警通告，其中通告显示，该漏洞为NSA独立发现，并汇报给微软。这对于专门挖掘微软漏洞进行利用(例如“永恒之蓝”系列)的NSA来说，实属罕见。

2019年9月23日，微软紧急官方发布安全更新，修复了一个存在于Windows平台的Internet Explorer 9/10/11 版本中的远程代码执行漏洞，由Google威胁分析小组的安全研究员ClémentLecigne发现此漏洞。攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而获得对用户系统的控制。,pdfFile:/uploads/2019/09/25/30a94a0d30c83ff700f16dfd54c8de36.pdf

2019年05月15日，微软公布了5月的补丁更新列表，在其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞，攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码，从而获取机器的完全控制。此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统，涉及系统在国内依然有大量的使用，所以此漏洞的影响面巨大，到2019年9月7日，奇安信全球鹰系统评估互联网上国内可被直接攻击的受影响RDP服务器还有10万量级。由于漏洞利用无需用户交互的特性结合巨大的影响面，意味着该漏洞极有可能被蠕虫所利用，如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。,pdfFile:/uploads/2019/09/09/de6769e32fb3a5caa261bcf229ffedf3.pdf

mt

近日，火狐浏览器官方发布安全更新，修复了一个存在于 Firefox 全平台所有版本中的远程代码执行漏洞，火狐开发人员称此漏洞已经被用于野外攻击。该火狐以及其企业版浏览器0day 漏洞是由谷歌 Project Zero 团队的研究员 Samuel Groß和Coinbase 安全团队发现，攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而获得对用户系统的控制。,pdfFile:/uploads/2019/06/19/19b9f60e2fcb4ad7513c936538f6afb1.pdf

绿盟科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告