内存安全周报第51期|攻击者利用ForgeRock中的RCE漏洞来破坏多个主机并部署恶意软件
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1. 攻击者利用开源身份和访问管理软件公司ForgeRock中的RCE漏洞来破坏多个主机并部署恶意软件(7月12日)
澳大利亚和美国的网络安全机构警告称,攻击者利用ForgeRock的OpenAM访问管理解决方案中的一个远程代码执行漏洞(CVE-2021-35464)来破坏多个主机并部署额外的恶意软件和恶意工具。目前尚未透露该攻击的性质、广泛程度和攻击者的身份。
详细信息
该漏洞被追踪为CVE-2021-35464,与ForgeRock访问管理器身份和访问管理工具中的预身份验证远程代码执行 (RCE)漏洞有关,源于该软件使用的Jato框架中的不安全Java反序列化 (unsafe Java deserialization)。
利用该漏洞的攻击者将在当前用户的上下文中执行命令,而不是作为root用户。攻击者可以使用代码执行来提取凭据和证书,或者通过部署某种shell(例如常见的Cobalt Strike)在主机上获得进一步的立足点。
该漏洞影响Open AM的6.0.0.x 版本和6.5的所有版本,直到并包括6.5.3,并已在2021年6月29日发布的版本AM 7中得到解决。
参考链接:https://thehackernews.com/2021/07/critical-rce-flaw-in-forgerock-access.html?&web_view=true
2. SolarWinds 提供的 Serv-U 托管文件传输服务中的 RCE 漏洞正在黑客被利用(7月15日)
已有证据表明,SolarWinds的Serv-U托管文件传输服务中的RCE漏洞(CVE-2021-35211)正在被黑客利用,已有目标客户受到影响,但SolarWinds目前没有准确估计有多少客户可能受到该漏洞的影响。
详细信息
该漏洞影响Serv-U15.2.3 HF1及更早版本。该漏洞使攻击者能够安装恶意程序并查看、更改或删除重要数据。但是,该缺陷已在Serv-U版本15.2.3修补程序(HF)2中得到解决。该公司要求管理员注意通过SSH来自IP地址 98[.]176[.]196[.]89 和 68[.]235[.]178[.]32或 208[.]的任何潜在可疑连接。
SolarWinds 在其最近的公告中表示,发现的零日漏洞与 SUNBURST 供应链攻击毫无关系。此外,它不会影响任何其他产品,尤其是 Orion 平台。
参考链接:
https://cyware.com/news/solarwinds-zero-day-vulnerability-under-active-attack-a7bc3a63