系统存在0day、nday漏洞,而且无法避免。而在漏洞暴露前根本没补丁、或有些系统不能打补丁、或不能及时打补丁,这都会导致风险的发生,攻击代码仍然可以在内存中执行。
安芯网盾内存安全周报专栏,帮助企业更好的理解和认识到内存安全问题,希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁,通过普及内存保护技术,帮助用户实现在未打补丁情况下,也能够极大减少因漏洞攻击而遭受到风险。
1、Rocke Group的恶意软件变体具有蠕虫功能,针对具有加密劫持攻击的云基础架构(1月28日)
网络犯罪团伙Rocke Group更新恶意软件Pro-Ocean,现已增强了“蠕虫”功能和rootkit逃避检测功能,其目标是针对具有加密劫持攻击的云基础架构。详细信息Pro-Ocean使用各种已知的漏洞来锁定云应用程序,其中包括Apache ActiveMQ(CVE-2016-3088)中的严重漏洞和Oracle WebLogic(CVE-2017-10271)中的高严重性漏洞。该恶意软件会尝试删除其他恶意软件和加密矿工,包括Luoxk,BillGates,XMRig和Hashfish。然后,它会杀死大量使用CPU的进程,这样它的XMRig miner就可以100%的利用播种Monero所需的CPU资源。Pro-Ocean恶意软件还添加了mew rootkit功能,以掩盖其恶意活动。 新闻来源:https://threatpost.com/rocke-groups-malware-now-has-worm-capabilities/163463/ 2、Sudo曝严重堆缓冲区溢出漏洞CVE-2021-3156,攻击者可利用获取特权提升(1月26日)1月26日,著名的Linux安全工具sudo被曝严重堆缓冲区溢出漏洞,该漏洞被研究人员称为“Baron Samedit”,并被分配命名为CVE-2021-3156,危险等级评分为7.8分。详细信息据了解,该漏洞已于2011年7月就被添加到sudo源代码中,直到本月初才被发现,在大多数Unix和Linux操作系统中都可以找到。任何可以执行sudo命令的本地用户都可以利用此漏洞而无需进行身份验证,本地攻击者可能导致内存破坏,从而导致崩溃或特权升级,对数据机密性和完整性、系统可用性造成威胁。 要测试您的sudo版本是否容易受到攻击,可以使用以下命令:sudoedit -s ‘\’ `perl -e ‘print “A” x 65536’` 如果收到使用情况或错误消息,则sudo不会受到攻击;如果结果是Segmentation Fault,则sudo容易受到攻击。 基于堆的缓冲区溢出漏洞存在于sudo旧版(1.8.2至1.8.31p2)和所有稳定版本(1.9.0至1.9.5p1)中,目前sudo已经发布了Sudo 1.9.5p2版本以解决该漏洞。主要的Linux / Unix发行版也发布了相关补丁来修复该漏洞。
相关链接
Sodo:
https://www.sudo.ws/alerts/unescape_overflow.html
Rad Hat:
https://access.redhat.com/security/cve/CVE-2021-3156
Debian:
https://www.debian.org/security/2021/dsa-4839
SUSE:
https://www.suse.com/security/cve/CVE-2021-3156/
Ubuntu:
https://ubuntu.com/security/CVE-2021-3156
Slackware:
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2021&m=slackware-security.461226
专家点评
#内存安全资深专家 xhbuming Pro-Ocean这种针对云的恶意软件具有蠕虫和rootkit功能并不常见,可以预见的是未来对云的复杂攻击将继续保持增长的趋势。基于堆的缓冲区溢出漏洞,系统管理员可以首先与产品供应商联系,以确认其Linux系统是否受到影响以及补丁程序的可用性,如果确认受到影响应及时应用补丁程序或遵循产品供应商提供的建议来减轻风险。在面对这类威胁时,用户需要经常更新软件版本、安装系统补丁、并将安全软件病毒升级到最新;也可以安装安芯神甲智能内存保护系统,防范漏洞攻击和基于内存的攻击。
来源:freebuf.com 2021-02-09 14:21:46 by: 安芯网盾
请登录后发表评论
注册