信息清静周报-2021年第49周

宣布时间 2021-12-06

>本周清静态势综述


本周共收录清静误差58个,值得关注的是Dell Emc Streaming Data Platform sql注入误差 ;EFM ipTIME C200 IP Camera恣意下令执行误差 ;ohmyzsh rand-quote和hitokoto插件恣意下令执行误差 ;Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差 ;Sunnet eHRD会见控制代码执行误差 。


本周值得关注的网络清静事务是TP-Link修复其Wi-Fi 6路由器中的代码执行误差 ;IEEE宣布2022年及未来十年要害手艺的展望报告 ;日本电器公司松下确认长达4个月之久数据泄露事务 ;暗网市场Cannazon遭到大规模DDoS攻击后永世关闭 ;Kaspersky披露APT37使用Chinotto攻击韩国的运动 。


凭证以上综述,本周清静威胁为中 。


>主要清静误差列表


1. Dell Emc Streaming Data Platform sql注入误差


Dell Emc Streaming Data Platform保存sql注入误差,允许远程攻击者可以使用误差提交特殊的SQL请求,操作数据库,可获取敏感信息或执行恣意代码 。


https://www.dell.com/support/kbdoc/zh-cn/000193697/dsa-2021-205-dell-emc-streaming-data-platform-security-update-for-third-party-vulnerabilities


2. EFM ipTIME C200 IP Camera恣意下令执行误差


EFM ipTIME C200 IP Camera与ipTIME NAS同步时保存清静误差,允许远程攻击者可以使用误差提交特殊的请求,可以应用程序上下文执行恣意代码 。


http://iptime.com/iptime/?page_id=126&diffid=&dfsid=19&dftid=541


3. ohmyzsh rand-quote和hitokoto插件恣意下令执行误差


ohmyzsh rand-quote和hitokoto插件保存清静误差,允许远程攻击者可以使用误差提交特殊的请求,可以应用程序上下文执行恣意代码 。


https://github.com/ohmyzsh/ohmyzsh/commit/72928432


4. Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差


Open Solutions For Education openSIS GetStuListFnc.php保存sql注入误差,允许远程攻击者可以使用误差提交特殊的SQL请求,操作数据库,可获取敏感信息或执行恣意代码 。


https://github.com/OS4ED/openSIS-Classic/issues/202


5. Sunnet eHRD会见控制代码执行误差


Sunnet eHRD未准确限制来自未授权角色的资源会见,允许远程攻击者可以使用误差提交特殊的请求,可以应用程序上下文执行恣意代码 。


https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html


>主要清静事务综述


1、TP-Link修复其Wi-Fi 6路由器中的代码执行误差


Resecurity研究职员TP-Link的装备中保存远程代码执行误差 。受影响装备的型号为TL-XVR1800L,是企业级AX1800双频千兆Wi-Fi 6无线VPN路由器 。攻击者可使用该误差完全控制装备或窃取敏感数据,它可能还保存于统一系列的其他装备中 。Resecurity在10月上旬发明了针对该装备的攻击运动,并于11月19日通知了TP-Link,TP-Link在第二天确认了该误差并允许会在一周内宣布补丁 。


原文链接:

https://securityaffairs.co/wordpress/125016/hacking/0-day-tp-link-wi-fi-6.html


2、IEEE宣布2022年及未来十年要害手艺的展望报告


IEEE在近期宣布了未来要害手艺的展望报告 。报告视察了来自美国、英国、中国、印度和巴西的350位CTO、CIO和IT总监,展望了2022年最主要的手艺、来年受手艺影响最大的行业以及未来十年的手艺趋势 。21%的受访者以为人工智能和机械学习将成为明年最主要的手艺,其次为云盘算(20%)和5G(17%) ;25%的人以为制造业会是2022年受手艺影响最大的行业,其次为金融服务(19%)、医疗保健(16%)和能源(13%)行业 。


原文链接:

https://transmitter.ieee.org/impact-of-technology-2022/


3、日本电器公司松下确认长达4个月之久数据泄露事务


日本跨国公司松下Panasonic在上周五宣布声明,确认其部分数据已经泄露 。攻击爆发在6月22日,但直到11月11日才被发明 。经由内部视察确定,攻击者已在这4个月中会见了服务器上的部分数据 。该公司没有提供其它详细信息,但日本新闻网站Mainichi和NHK报道称,攻击者已经获得了公司手艺、相助同伴及公司员工等相关信息 。早在2020年11月,松下印度分公司曾因网络攻击泄露了财务等相关信息 。


原文链接:

https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/


4、暗网市场Cannazon遭到大规模DDoS攻击后永世关闭


2021年11月23日,暗网市场Cannazon的治理员宣布将永世关闭该网站 。据悉,该网站在11月初遭到了大规模DDoS攻击,治理员通过镌汰订单数目和关闭部分系统以缓解问题 。但这在社区中引起了惊动,用户担心这是一场退出圈套 。治理员在宣布关闭通告时,关于这种处置惩罚要领体现歉意,称没有果真攻击运动是为了� ;び没Ш蜕缜�,以避免供应商试图发动加密钱币退出圈套 。


原文链接:

https://www.bleepingcomputer.com/news/security/dark-web-market-cannazon-shuts-down-after-massive-ddos-attack/


5、Kaspersky披露APT37使用Chinotto攻击韩国的运动


Kaspersky在11月29日披露朝鲜黑客组织APT37(又称ScarCruft或Temp.Reaper)在近期的攻击运动 。ScarCruft从2012年最先活跃,主要针对韩国的官方机构或公司 。此次运动最先于2021年8月,初始熏染前言是鱼叉式垂纶运动,之后使用IE浏览器中的两个误差在韩国的网站中装置自界说恶意软件BLUELIGHT,提倡水坑攻击 � T硕故褂昧硕褚馊砑﨏hinotto,它具有针对PowerShell、Windows和Android的多个变体 。


原文链接:

https://securelist.com/scarcruft-surveilling-north-korean-defectors-and-human-rights-activists/105074/