本周安全態(tài)勢(shì)綜述

　　本周共收錄安全漏洞58個(gè)，值得關(guān)注的是Adobe RoboHelp Server目錄遍歷代碼執(zhí)行漏洞；ServiceTonic Helpdesk software未授權(quán)訪問(wèn)漏洞；Microsoft Windows Active Directory CVE-2021-42278權(quán)限提升漏洞；Microsoft Windows Remote Desktop Client代碼執(zhí)行漏洞；Siemens SIMATIC PCS 7目錄遍歷漏洞。

　　本周值得關(guān)注的網(wǎng)絡(luò)安全事件是研究人員發(fā)現(xiàn)冒充安全公司Proofpoint的釣魚(yú)活動(dòng)；統(tǒng)稱為NUCLEUS:13的多個(gè)漏洞影響西門(mén)子RTOS；BusyBox中14個(gè)新漏洞影響數(shù)百萬(wàn)基于Unix的設(shè)備；微軟發(fā)布11月更新，修復(fù)6個(gè)0day在內(nèi)的55個(gè)漏洞；ESET發(fā)現(xiàn)Lazarus利用盜版的IDA Pro分發(fā)惡意軟件。

　　根據(jù)以上綜述，本周安全威脅為中。

　　重要安全漏洞列表

　　1. Adobe RoboHelp Server目錄遍歷代碼執(zhí)行漏洞

　　Adobe RoboHelp Server存在目錄遍歷漏洞，允許遠(yuǎn)程攻擊者可以利用漏洞提交特殊的請(qǐng)求，可以應(yīng)用程序上下文執(zhí)行任意代碼。

　　https://www.zerodayinitiative.com/advisories/ZDI-21-1305/

　　2. ServiceTonic Helpdesk software未授權(quán)訪問(wèn)漏洞

　　ServiceTonic Helpdesk software存在授權(quán)機(jī)制漏洞，允許遠(yuǎn)程攻擊者可以利用漏洞提交特殊的請(qǐng)求，可不使用密碼未授權(quán)訪問(wèn)系統(tǒng)。

　　https://www.srlabs.de/bites/chaining-three-zero-day-exploits-in-itsm-software-servicetonic-for-remote-code-execution

　　3. Microsoft Windows Active Directory CVE-2021-42278權(quán)限提升漏洞

　　Microsoft Windows Active Directory存在安全漏洞，允許遠(yuǎn)程攻擊者可以利用漏洞提交特殊的請(qǐng)求，可以提升特權(quán)。

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278

　　4. Microsoft Windows Remote Desktop Client代碼執(zhí)行漏洞

　　Microsoft Windows Remote Desktop Client存在未明安全漏洞，允許遠(yuǎn)程攻擊者可以利用漏洞提交特殊的請(qǐng)求，可以系統(tǒng)上下文執(zhí)行任意代碼。

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38666

　　5. Siemens SIMATIC PCS 7目錄遍歷漏洞

　　Siemens SIMATIC PCS 7存在目錄遍歷漏洞，允許遠(yuǎn)程攻擊者可以利用漏洞提交特殊的請(qǐng)求，可以應(yīng)用程序上下文執(zhí)行任意代碼。

　　https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf

　　重要安全事件綜述

　　1、研究人員發(fā)現(xiàn)冒充安全公司Proofpoint的釣魚(yú)活動(dòng)

　　Armorblox的研究團(tuán)隊(duì)于11月4日披露了冒充網(wǎng)絡(luò)安全公司Proofpoint的釣魚(yú)活動(dòng)。這些釣魚(yú)郵件的主題為“Re：Payoff Request”，聲稱包含一份通過(guò)Proofpoint發(fā)送的抵押貸款相關(guān)文件，旨在竊取目標(biāo)的Microsoft Office 365和Google Gmail憑據(jù)。該郵件是從被盜的個(gè)人帳戶發(fā)送的，發(fā)件人的域名域?yàn)椤皊dis34[.]fr”，這是法國(guó)南部的一個(gè)消防救援部門(mén)，而釣魚(yú)頁(yè)面托管在greenleafproperties[.]co[.]uk域。

　　原文鏈接：

　　https://www.armorblox.com/blog/proofpoint-credential-phishing/

　　2、統(tǒng)稱為NUCLEUS:13的多個(gè)漏洞影響西門(mén)子RTOS

　　Forescout和Medigate的研究人員在11月9日披露了Nucleus中13個(gè)漏洞的細(xì)節(jié)。Nucleus是西門(mén)子的實(shí)時(shí)操作系統(tǒng)（RTOS），通常運(yùn)行在醫(yī)療設(shè)備、汽車(chē)、智能手機(jī)、物聯(lián)網(wǎng)設(shè)備、工業(yè)plc等設(shè)備的片上系統(tǒng)（SoC）。這些漏洞統(tǒng)稱為NUCLEUS:13，影響了Nucleus TCP/IP堆棧。其中，最嚴(yán)重的是影響了FTP服務(wù)器組件的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-31886），CVSS評(píng)分為9.8，是由于對(duì)USER命令長(zhǎng)度的驗(yàn)證不正確導(dǎo)致的。

　　原文鏈接：

　　https://therecord.media/nucleus13-vulnerabilities-impact-siemens-medical-industrial-equipment/

　　3、BusyBox中14個(gè)新漏洞影響數(shù)百萬(wàn)基于Unix的設(shè)備

　　軟件開(kāi)發(fā)公司JFrog和安全公司Claroty在11月9日聯(lián)合披露了BusyBox中14個(gè)漏洞的細(xì)節(jié)。BusyBox被稱為嵌入式Linux的“瑞士軍刀”，可將各種常見(jiàn)的Unix應(yīng)用或小程序（例如cp、ls、grep）組合成一個(gè)可執(zhí)行文件。這些漏洞存在于BusyBox 1.16到1.33.1的多個(gè)版本，影響了數(shù)百萬(wàn)基于Unix的設(shè)備。其中較為嚴(yán)重的是awk中的DoS漏洞CVE-2021-42383、CVE-2021-42384和CVE-2021-42385等。

　　原文鏈接：

　　https://securityaffairs.co/wordpress/124429/hacking/busybox-vulnerabilities.html

　　4、微軟發(fā)布11月更新，修復(fù)6個(gè)0day在內(nèi)的55個(gè)漏洞

　　微軟在11月9日發(fā)布了本月的周二補(bǔ)丁，總計(jì)修復(fù)了55個(gè)漏洞。此次修復(fù)了6個(gè)0 day，包括Excel中安全功能繞過(guò)漏洞（CVE-2021-42292）、Exchange Server中RCE（CVE-2021-42321），RDP中信息泄露漏洞（CVE-2021-38631和CVE-2021-41371），以及3D中查看器RCE（CVE-2021-43208和CVE-2021-43209）。其中，CVE-2021-42292和CVE-2021-42321已被用于惡意攻擊活動(dòng)。

　　原文鏈接：

　　https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2021-patch-tuesday-fixes-6-zero-days-55-flaws/

　　5、ESET發(fā)現(xiàn)Lazarus利用盜版的IDA Pro分發(fā)惡意軟件

　　ESET團(tuán)隊(duì)于11月10日發(fā)現(xiàn)朝鮮黑客團(tuán)伙L(fēng)azarus利用盜版IDA Pro攻擊安全研究人員的活動(dòng)。研究人員通常使用逆向工程應(yīng)用IDA Pro來(lái)分析漏洞和惡意軟件，而此次發(fā)現(xiàn)的IDA Pro 7.5版本包含了兩個(gè)名為idahelp.dll和win_fw.dll的惡意DLL。其中，win_fw.dll將在Windows任務(wù)調(diào)度程序中創(chuàng)建一個(gè)新任務(wù)，該任務(wù)將啟動(dòng)idahelper.dll，然后idahelper.dll將連接到devguardmap[.]org網(wǎng)站并下載遠(yuǎn)程訪問(wèn)木馬NukeSped的payload。

　　原文鏈接：　　

https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/