安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 攻击者利用开源身份和访问管理软件公司ForgeRock中的RCE漏洞来破坏多个主机并部署恶意软件（7月12日）

澳大利亚和美国的网络安全机构警告称，攻击者利用ForgeRock的OpenAM访问管理解决方案中的一个远程代码执行漏洞（CVE-2021-35464）来破坏多个主机并部署额外的恶意软件和恶意工具。目前尚未透露该攻击的性质、广泛程度和攻击者的身份。

详细信息

该漏洞被追踪为CVE-2021-35464，与ForgeRock访问管理器身份和访问管理工具中的预身份验证远程代码执行 (RCE)漏洞有关，源于该软件使用的Jato框架中的不安全Java反序列化 (unsafe Java deserialization)。

利用该漏洞的攻击者将在当前用户的上下文中执行命令，而不是作为root用户。攻击者可以使用代码执行来提取凭据和证书，或者通过部署某种shell（例如常见的Cobalt Strike）在主机上获得进一步的立足点。

该漏洞影响Open AM的6.0.0.x 版本和6.5的所有版本，直到并包括6.5.3，并已在2021年6月29日发布的版本AM 7中得到解决。

参考链接：https://thehackernews.com/2021/07/critical-rce-flaw-in-forgerock-access.html?&web_view=true

2. SolarWinds 提供的 Serv-U 托管文件传输服务中的 RCE 漏洞正在黑客被利用（7月15日）

已有证据表明，SolarWinds的Serv-U托管文件传输服务中的RCE漏洞（CVE-2021-35211）正在被黑客利用，已有目标客户受到影响，但SolarWinds目前没有准确估计有多少客户可能受到该漏洞的影响。

详细信息

该漏洞影响Serv-U15.2.3 HF1及更早版本。该漏洞使攻击者能够安装恶意程序并查看、更改或删除重要数据。但是，该缺陷已在Serv-U版本15.2.3修补程序(HF)2中得到解决。该公司要求管理员注意通过SSH来自IP地址 98[.]176[.]196[.]89 和 68[.]235[.]178[.]32或 208[.]的任何潜在可疑连接。

SolarWinds 在其最近的公告中表示，发现的零日漏洞与 SUNBURST 供应链攻击毫无关系。此外，它不会影响任何其他产品，尤其是 Orion 平台。

参考链接： https://cyware.com/news/solarwinds-zero-day-vulnerability-under-active-attack-a7bc3a63