打开微信“扫一扫”,开启安全数字世界之旅
香港正版精选资料
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

威胁周报 | 关于F5 BIG-IP iControl REST存在身份认证绕过漏洞的安全公告
发布时间 :2022年05月11日
分享:

2-1.jpg

2-2.jpg

2-3.jpg


热门病毒通告


亚信安全热门病毒综述 -

Ransom.Win32.MAOLOA.THAAHBA


此勒索病毒由其它恶意软件释放,或者用户访问恶意网站不经意下载到达本机,其添加如下注册表自启动项目值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

WindowsUpdateCheck = {Executed Malware Directory}\rundll32.com


此勒索病毒避免加密文件名中包含以下字符串的文件:

  • windows

  • bootmgr

  • pagefile.sys

  • boot

  • ids.txt

  • NTUSER.DAT

  • PerfLogs


此勒索病毒避免加密如下扩展名文件:

  • .dll

  • .lnk

  • .ini

  • .sys


加密后的文件扩展名如下:

 {original filename}.{original extension}.Globeimposter-Alpha865qqz


对该病毒的防护可以从下述链接中获取最新版本的病毒码:17.533.60

https://console.zbox.filez.com/l/2n6wBS


2-4.jpg


微软5月补丁日安全漏洞风险通告

近日,亚信安全CERT监控到微软补丁日发布了74个漏洞的安全补丁,修复了.NET、Visual Studio Code、Microsoft Exchange Server、Microsoft Office、Microsoft Windows ALPC、Visual Studio、Windows Active Directory、Windows LDAP、 Remote Desktop Client、 Windows Network File System、 NTFS、Windows Print Spooler等产品中的漏洞。其中有7个漏洞评级为严重,66个被评为重要,1个被评为低危。



漏洞描述

近日,亚信安全CERT监控到F5厂商公布了BIG-IP iControl REST漏洞。攻击者利用该漏洞,可在未授权的情况下执行任意系统命令,创建或删除文件以及禁用服务。目前,漏洞利用细节已公开,厂商已发布补丁完成修复。


F5 BIG-IP是美国F5公司一款集成网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台(ADN)。F5 BIG-IP充分利用了F5的TMOS构架,改进了链路性能,同时提供较为灵活的状态检查功能。


漏洞编号及等级

CVE-2022-1388 高危


漏洞细节


漏洞细节

漏洞PoC

漏洞EXP

在野利用

公开

公开

公开

存在


受影响的版本

  • 16.x(16.1.0 - 16.1.2)

  • 15.x(15.1.0 - 15.1.5)

  • 14.x(14.1.0 - 14.1.4)

  • 13.x(13.1.0 - 13.1.4)

  • 12.x(12.1.0 - 12.1.6)(官方不提供补丁)

  • 11.x(11.6.1 - 11.6.5)(官方不提供补丁)


漏洞复现


漏洞修复


香港正版精选资料


※ F5公司已发布新版本修复该漏洞,亚信安全建议用户立即升级至最新版本。

※ 在未打补丁之前,可通过以下措施进行缓解:


1.通过自身IP地址阻止iControl REST访问。

您可以通过自有IP地址阻止对BIG-IP系统的iControl REST接口的所有访问。为此,您可以将系统中每个自身IP地址的端口锁定设置更改为允许无。如果您必须打开任何端口,您应该使用允许自定义选项,注意禁止访问iControl REST。默认情况下,iControl REST在单个NIC BIG-IP VE实例上侦听TCP端口443或TCP端口8443。如果您修改了默认端口,请确保您禁止访问您配置的备用端口。


2. 通过管理界面阻止iControl REST访问。

要缓解受影响的F5产品的此漏洞,您应该将管理访问权限限制为仅对安全网络上的受信任用户和设备进行。


3.修改BIG-IP httpd配置



除了通过自有IP地址和管理界面阻止访问之外,或者如果这些选项在您的环境中不可行,则作为阻止访问的替代方法,您可以修改BIG-IP httpd配置以缓解此问题。

BIG-IP 14.1.0及更高版本

程序的影响:执行以下程序不会对您的系统产生负面影响。

输入以下命令, 登录BIG-IP系统的 TMOS Shell ( tmsh ):

tmsh

通过输入以下命令,打开httpd配置进行编辑:

edit /sys httpd all-properties

找到以include none开头的行并将none替换为以下文本:

?注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有的双引号字符 ( " ) 内。


Bash

"<If\"%{HTTP:connection} =~ /close/i \">

RequestHeader set connection close

</If>

<ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">

RequestHeader set connection keep-alive

    RequestHeader set connection close

"

更新include语句后,使用ESC键退出编辑器交互模式,然后输入以下命令保存更改:

:wq

在保存更改 (y/n/e)提示下,选择y以保存更改。

通过输入以下命令保存 BIG-IP 配置:

save /sys config


BIG-IP 14.0.0及更早版本

程序的影响:执行以下程序不会对您的系统产生负面影响。

通过输入以下命令,登录到BIG-IP系统的tmsh:

tmsh

通过输入以下命令,打开httpd配置进行编辑:

edit /sys httpd all-properties

找到以include none开头的行并将none替换为以下文本:

?注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有的双引号字符 ( " ) 内。

"RequestHeader set connection close"

更新include语句后,使用ESC键退出编辑器交互模式,然后输入以下命令保存更改:

:wq

在保存更改 (y/n/e)提示下,选择y以保存更改。

通过输入以下命令保存 BIG-IP 配置:

save /sys config


2-6.jpg



韩国正式加入北约网络防御中心


5月5日,韩国国家情报院宣布作为正式会员加入北大西洋公约组织(NATO)合作网络防御卓越中心(CCDCOE)。由此,韩国成为首个加入该机构的亚洲国家。韩国加入该机构后,正式会员国增至32个,包括北约27个成员国和其他5个非成员国。

美国能源供应商遭到黑客入侵导致客户信息泄露

近日,美国能源供应商Riviera Utilities发表声明称其部分员工电子邮件账户遭到入侵,攻击者获得了这些账户的临时访问权限,其中包括姓名、社会安全号码、驾驶执照或州身份证号码、护照号码、医疗信息、健康保险信息、信用卡或借记卡号码、卡到期日期等信息。


截至目前,Riviera Utilities证实没有任何个人信息因该事件而被滥用。但是,出于谨慎考虑,该公司通知了可能受影响的个人,并且考虑向社会安全号码受影响的个人提供免费的信用监控服务。

澳大利亚交通局遭到网络攻击,数据隐私安全受到影响

近日,澳大利亚新南威尔士州的交通局被曝遭到网络攻击,攻击者在其在线授权检查计划(AIS)应用程序中未经授权入侵了部分用户帐户,导致用户数据隐私安全受到影响。由于 AIS 授权检查计划要求用户提交在线申请时填写填写个人详细信息,包括他们的全名、地址、电话号码、电子邮件地址、出生日期和驾驶执照号码,新南威尔士州交通局网络攻击事件可能导致客户隐私数据发生泄露。

间谍软件瞄准西班牙首相和国防部长设备展开攻击

西班牙政府官员于近日在新闻发布会上表示,西班牙首相和国防部长使用的手机感染了Pegasus间谍软件。2021年5月Pegasus间谍软件入侵了总理的手机,继而6月国防部长的手机成为攻击目标。Pegasus间谍软件通过访问电话、消息、媒体、电子邮件、麦克风和摄像头来监视目标的电话。据The Citizen Lab上个月发布的研究显示,针对欧洲议会官员和加泰罗尼亚总统、立法者、法学家和民间社会组织的成员的65个间谍软件攻击事例,其中63个使用了Pegasus间谍软件。


Pegasus间谍软件是以色列NSO Group臭名昭著的间谍工具。多年来,Pegasus被各国政府和人权组织所标记,列入黑名单。由于该公司宣传该软件是政府监控犯罪活动和恐怖主义的一种手段,旨在监控、侵犯人权行为,遭到部分国家的联合抵制。

Hive0117组织冒充俄罗斯政府机构攻击电信公司

Hive0117是出于经济动机的网络犯罪组织,该组织自2022年2月起,冒充俄罗斯机构针对东欧国家实体发起网络钓鱼活动。该活动伪装成俄罗斯政府联邦法警局的官方通讯,向立陶宛、爱沙尼亚和俄罗斯电信、电子和工业部门的用户发送俄语电子邮件,旨在提供名为DarkWatchman的无文件恶意软件变种。研究人员认为,Hive0117不属于俄罗斯APT组织,也不属于国家资助的执行网络间谍和网络战行动的集群的一部分。


分享到微信
X