股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
威胁周报 | 关于F5 BIG-IP iControl REST存在身份认证绕过漏洞的安(ān)全公(gōng)告
发布时间 :2022年05月11日
类型 :勒索软件
分(fēn)享:
热门病毒通告
亚信安(ān)全热门病毒综述 -
Ransom.Win32.MAOLOA.THAAHBA
此勒索病毒由其它恶意软件释放,或者用(yòng)户访问恶意网站不经意下载到达本机,其添加如下注册表自启动项目值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
WindowsUpdateCheck = {Executed Malware Directory}\rundll32.com
此勒索病毒避免加密文(wén)件名(míng)中(zhōng)包含以下字符串的文(wén)件:
windows
bootmgr
pagefile.sys
boot
ids.txt
NTUSER.DAT
PerfLogs
此勒索病毒避免加密如下扩展名(míng)文(wén)件:
.dll
.lnk
.ini
.sys
加密后的文(wén)件扩展名(míng)如下:
{original filename}.{original extension}.Globeimposter-Alpha865qqz
对该病毒的防护可(kě)以从下述链接中(zhōng)获取最新(xīn)版本的病毒码:17.533.60
https://console.zbox.filez.com/l/2n6wBS
微软5月补丁日安(ān)全漏洞风险通告
近日,亚信安(ān)全CERT监控到微软补丁日发布了74个漏洞的安(ān)全补丁,修复了.NET、Visual Studio Code、Microsoft Exchange Server、Microsoft Office、Microsoft Windows ALPC、Visual Studio、Windows Active Directory、Windows LDAP、 Remote Desktop Client、 Windows Network File System、 NTFS、Windows Print Spooler等产(chǎn)品中(zhōng)的漏洞。其中(zhōng)有(yǒu)7个漏洞评级為(wèi)严重,66个被评為(wèi)重要,1个被评為(wèi)低危。
漏洞描述
近日,亚信安(ān)全CERT监控到F5厂商(shāng)公(gōng)布了BIG-IP iControl REST漏洞。攻击者利用(yòng)该漏洞,可(kě)在未授权的情况下执行任意系统命令,创建或删除文(wén)件以及禁用(yòng)服務(wù)。目前,漏洞利用(yòng)细节已公(gōng)开,厂商(shāng)已发布补丁完成修复。
F5 BIG-IP是美國(guó)F5公(gōng)司一款集成网络流量管理(lǐ)、应用(yòng)程序安(ān)全管理(lǐ)、负载均衡等功能(néng)的应用(yòng)交付平台(ADN)。F5 BIG-IP充分(fēn)利用(yòng)了F5的TMOS构架,改进了链路性能(néng),同时提供较為(wèi)灵活的状态检查功能(néng)。
漏洞编号及等级
CVE-2022-1388 高危
漏洞细节
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用(yòng) |
公(gōng)开 | 公(gōng)开 | 公(gōng)开 | 存在 |
受影响的版本
16.x(16.1.0 - 16.1.2)
15.x(15.1.0 - 15.1.5)
14.x(14.1.0 - 14.1.4)
13.x(13.1.0 - 13.1.4)
12.x(12.1.0 - 12.1.6)(官方不提供补丁)
11.x(11.6.1 - 11.6.5)(官方不提供补丁)
漏洞复现
漏洞修复
※ F5公(gōng)司已发布新(xīn)版本修复该漏洞,亚信安(ān)全建议用(yòng)户立即升级至最新(xīn)版本。
※ 在未打补丁之前,可(kě)通过以下措施进行缓解:
1.通过自身IP地址阻止iControl REST访问。
您可(kě)以通过自有(yǒu)IP地址阻止对BIG-IP系统的iControl REST接口的所有(yǒu)访问。為(wèi)此,您可(kě)以将系统中(zhōng)每个自身IP地址的端口锁定设置更改為(wèi)允许无。如果您必须打开任何端口,您应该使用(yòng)允许自定义选项,注意禁止访问iControl REST。默认情况下,iControl REST在单个NIC BIG-IP VE实例上侦听TCP端口443或TCP端口8443。如果您修改了默认端口,请确保您禁止访问您配置的备用(yòng)端口。
2. 通过管理(lǐ)界面阻止iControl REST访问。
要缓解受影响的F5产(chǎn)品的此漏洞,您应该将管理(lǐ)访问权限限制為(wèi)仅对安(ān)全网络上的受信任用(yòng)户和设备进行。
3.修改BIG-IP httpd配置
除了通过自有(yǒu)IP地址和管理(lǐ)界面阻止访问之外,或者如果这些选项在您的环境中(zhōng)不可(kě)行,则作(zuò)為(wèi)阻止访问的替代方法,您可(kě)以修改BIG-IP httpd配置以缓解此问题。
BIG-IP 14.1.0及更高版本
程序的影响:执行以下程序不会对您的系统产(chǎn)生负面影响。
输入以下命令, 登录BIG-IP系统的 TMOS Shell ( tmsh ):
tmsh
通过输入以下命令,打开httpd配置进行编辑:
edit /sys httpd all-properties
找到以include none开头的行并将none替换為(wèi)以下文(wén)本:
?注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有(yǒu)的双引号字符 ( " ) 内。
Bash
"<If\"%{HTTP:connection} =~ /close/i \">
RequestHeader set connection close
</If>
<ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">
RequestHeader set connection keep-alive
RequestHeader set connection close
"
更新(xīn)include语句后,使用(yòng)ESC键退出编辑器交互模式,然后输入以下命令保存更改:
:wq
在保存更改 (y/n/e)提示下,选择y以保存更改。
通过输入以下命令保存 BIG-IP 配置:
save /sys config
BIG-IP 14.0.0及更早版本
程序的影响:执行以下程序不会对您的系统产(chǎn)生负面影响。
通过输入以下命令,登录到BIG-IP系统的tmsh:
tmsh
通过输入以下命令,打开httpd配置进行编辑:
edit /sys httpd all-properties
找到以include none开头的行并将none替换為(wèi)以下文(wén)本:
?注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有(yǒu)的双引号字符 ( " ) 内。
"RequestHeader set connection close"
更新(xīn)include语句后,使用(yòng)ESC键退出编辑器交互模式,然后输入以下命令保存更改:
:wq
在保存更改 (y/n/e)提示下,选择y以保存更改。
通过输入以下命令保存 BIG-IP 配置:
save /sys config
韩國(guó)正式加入北约网络防御中(zhōng)心
5月5日,韩國(guó)國(guó)家情报院宣布作(zuò)為(wèi)正式会员加入北大西洋公(gōng)约组织(NATO)合作(zuò)网络防御卓越中(zhōng)心(CCDCOE)。由此,韩國(guó)成為(wèi)首个加入该机构的亚洲國(guó)家。韩國(guó)加入该机构后,正式会员國(guó)增至32个,包括北约27个成员國(guó)和其他(tā)5个非成员國(guó)。
美國(guó)能(néng)源供应商(shāng)遭到黑客入侵导致客户信息泄露
近日,美國(guó)能(néng)源供应商(shāng)Riviera Utilities发表声明称其部分(fēn)员工(gōng)電(diàn)子邮件账户遭到入侵,攻击者获得了这些账户的临时访问权限,其中(zhōng)包括姓名(míng)、社会安(ān)全号码、驾驶执照或州身份证号码、护照号码、医(yī)疗信息、健康保险信息、信用(yòng)卡或借记卡号码、卡到期日期等信息。
截至目前,Riviera Utilities证实没有(yǒu)任何个人信息因该事件而被滥用(yòng)。但是,出于谨慎考虑,该公(gōng)司通知了可(kě)能(néng)受影响的个人,并且考虑向社会安(ān)全号码受影响的个人提供免费的信用(yòng)监控服務(wù)。
澳大利亚交通局遭到网络攻击,数据隐私安(ān)全受到影响
近日,澳大利亚新(xīn)南威尔士州的交通局被曝遭到网络攻击,攻击者在其在線(xiàn)授权检查计划(AIS)应用(yòng)程序中(zhōng)未经授权入侵了部分(fēn)用(yòng)户帐户,导致用(yòng)户数据隐私安(ān)全受到影响。由于 AIS 授权检查计划要求用(yòng)户提交在線(xiàn)申请时填写填写个人详细信息,包括他(tā)们的全名(míng)、地址、電(diàn)话号码、電(diàn)子邮件地址、出生日期和驾驶执照号码,新(xīn)南威尔士州交通局网络攻击事件可(kě)能(néng)导致客户隐私数据发生泄露。
间谍软件瞄准西班牙首相和國(guó)防部長(cháng)设备展开攻击
西班牙政府官员于近日在新(xīn)闻发布会上表示,西班牙首相和國(guó)防部長(cháng)使用(yòng)的手机感染了Pegasus间谍软件。2021年5月Pegasus间谍软件入侵了总理(lǐ)的手机,继而6月國(guó)防部長(cháng)的手机成為(wèi)攻击目标。Pegasus间谍软件通过访问電(diàn)话、消息、媒體(tǐ)、電(diàn)子邮件、麦克风和摄像头来监视目标的電(diàn)话。据The Citizen Lab上个月发布的研究显示,针对欧洲议会官员和加泰罗尼亚总统、立法者、法學(xué)家和民(mín)间社会组织的成员的65个间谍软件攻击事例,其中(zhōng)63个使用(yòng)了Pegasus间谍软件。
Pegasus间谍软件是以色列NSO Group臭名(míng)昭著的间谍工(gōng)具(jù)。多(duō)年来,Pegasus被各國(guó)政府和人权组织所标记,列入黑名(míng)单。由于该公(gōng)司宣传该软件是政府监控犯罪活动和恐怖主义的一种手段,旨在监控、侵犯人权行為(wèi),遭到部分(fēn)國(guó)家的联合抵制。
Hive0117组织冒充俄罗斯政府机构攻击電(diàn)信公(gōng)司
Hive0117是出于经济动机的网络犯罪组织,该组织自2022年2月起,冒充俄罗斯机构针对东欧國(guó)家实體(tǐ)发起网络钓鱼活动。该活动伪装(zhuāng)成俄罗斯政府联邦法警局的官方通讯,向立陶宛、爱沙尼亚和俄罗斯電(diàn)信、電(diàn)子和工(gōng)业部门的用(yòng)户发送俄语電(diàn)子邮件,旨在提供名(míng)為(wèi)DarkWatchman的无文(wén)件恶意软件变种。研究人员认為(wèi),Hive0117不属于俄罗斯APT组织,也不属于國(guó)家资助的执行网络间谍和网络战行动的集群的一部分(fēn)。
分(fēn)享到微信
X