安全资讯报告

REvil勒索软件的关联公司在全球范围内被抓捕

罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人，这对历史上最多产的网络犯罪团伙之一造成了沉重打击。

据欧洲刑警组织称，据信嫌疑人策划了5,000多次勒索软件攻击，并向受害者勒索了近600,000美元。这些逮捕发生在11月4日，是一项名为GoldDust的协调行动的一部分，该行动导致自2021年2月以来在科威特和韩国逮捕了另外三名REvil附属公司和两名与GandCrab有关联的嫌疑人。

据称，与这两个勒索软件家族有关的7名嫌疑人总共针对约7,000名受害者，同时要求支付超过2亿欧元的数字赎金。

据华盛顿邮报报道，在美国网络司令部与外国政府合作破坏其Tor基础设施，迫使其网站下线后，该犯罪集团上个月再次关闭了其业务。罗马尼亚网络安全公司Bitdefender此后提供了一个免费的通用解密器，REvil受害者可以使用它来恢复他们的文件并从2021年7月13日之前进行的攻击中恢复。

获得澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国和美国，以及欧洲刑警组织、欧洲司法组织和国际刑警组织的支持。

新闻来源： 

https://thehackernews.com/2021/11/suspected-revil-ransomware-affiliates.html

德国医疗软件公司敦促在勒索软件攻击后重置密码

Medatixx是一家德国医疗软件供应商，其产品在21,000多家医疗机构中使用，它敦促客户在勒索软件攻击严重损害其整个运营后更改其应用程序密码。该公司澄清说，影响尚未到达客户，仅限于他们的内部IT系统，不应影响他们的任何PVS（实践管理系统）。

由于未知在攻击过程中窃取了哪些数据，威胁行为者可能已经获取了Medatixx客户的密码。Medatixx建议客户尽快更改密码以确保安全。

据Heise Online称，德国大约25%的医疗中心使用了Mediatixx解决方案，这可能是有史以来对该国医疗系统发起的最大网络攻击。此外，德国新闻媒体推测攻击者可能会从远程维护系统中窃取用户凭据。

这起事件发生在最糟糕的时刻，因为德国正在处理创纪录的COVID-19病例数。大流行已经给该国的医院带来了压力，他们最不需要的就是无法访问基本的支持软件工具或执行系统范围的重置。

新闻来源： 

https://www.bleepingcomputer.com/news/security/medical-software-firm-urges-password-resets-after-ransomware-attack/

微软：Windows 10 2004将于12月终止服务

微软今天提醒用户，所有版本的Windows 10 2004版和Windows Server 2004版（也称为Windows 10May 2020更新）将于2021年12月14日终止服务。

对于终止支持的产品，Redmond将停止为新发现的漏洞提供技术支持、质量更新和安全修复。

微软建议仍在使用终止服务软件的客户尽快升级到最新版本的Windows 10（21H1，也就是2021年5月更新）或Windows 11（如果他们有符合条件的设备），以确保系统安全。

新闻来源： 

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-2004-reaches-end-of-service-next-month/

物联网变得越来越大，但安全性仍然落后

五分之四的物联网（IOT）设备制造商的东西，可以在网络攻击和侵犯隐私的风险可能把用户设备的，由不为人们提供公开的安全漏洞在他们的产品的方式失败的基本网络安全的做法。

通过物联网安全基础研究（IoTSF）-一个高科技产业集团，其目的是帮助鼓励确保物联网-分析数百种流行的物联网产品制造商和发现，仅仅只过了五分之一的广告公共频道在报告安全漏洞以便修复它们。

尽管包括英国、美国、新加坡、印度和澳大利亚在内的世界各国以及欧盟都试图强调物联网设备网络安全的重要性以及能够披露漏洞的能力。

报告指出，漏洞披露政策的一些缺失可能是由于“非传统IT企业”首次进入物联网市场，例如时尚供应商推出互联产品或厨房电器制造商为其产品添加智能功能。

物联网设备越来越成为家庭和办公室的固定装置。虽然许多家庭品牌确实确保他们的产品配备了良好的安全措施——报告引用了包括索尼、松下、三星、LG、谷歌、微软、戴尔、联想、亚马逊、罗技和苹果在内的科技公司——但消费者通常会购买不太注重安全性的更便宜的替代品。

这意味着如果发现安全漏洞并且无法通知制造商，则可能会使用户处于危险之中。对于似乎已经关闭的公司来说尤其如此——报告指出，有些公司已经这样做了——这意味着即使有办法报告漏洞，也不太可能得到修复。

新闻来源： 

https://www.zdnet.com/article/these-cybersecurity-vulnerabilities-could-leave-millions-of-connected-medical-devices-open-to-attack

安全漏洞威胁

Sitecore XP平台的关键漏洞被攻击者利用

澳大利亚网络安全中心(ACSC)警告说，攻击者已开始瞄准Sitecore XP平台(Sitecore XP)中的一个关键远程代码执行漏洞。跟踪为CVE-2021-42237的安全漏洞最初于10月8日详细说明，当时Sitecore为使用其企业内容管理系统(CMS)的组织提供了缓解措施。

该漏洞被描述为一个远程代码执行错误，“该漏洞适用于所有运行受影响版本的Sitecore系统，包括单实例和多实例环境、托管云环境以及所有暴露的Sitecore服务器角色（内容交付、内容编辑、报告、处理等）到互联网，”该公司解释说。

安全研究人员发布了有关该漏洞的详细信息以及概念验证(POC)代码，基本上允许攻击者创建漏洞并开始瞄准易受攻击的网站。

新闻来源：  

https://www.securityweek.com/critical-flaw-sitecore-experience-platform-exploited-attacks

微软发布2021年11月安全更新，修复2个高危漏洞

11月10日，微软如期发布了11月例行安全更新，修复Windows、Office等系列产品和组件中至少55个安全漏洞。本月安全更新修复了6个0day，55个漏洞中有6个被评为“严重”，重要级49个。按漏洞类型分，含远程代码执行漏洞15个，权限提升20个，信息泄露漏洞10个，拒绝服务3个，安全功能绕过2个。

被积极利用的漏洞针对Microsoft Exchange和Excel。腾讯安全专家建议所有用户尽快升级安装补丁，推荐采用Windows更新、或腾讯电脑管家、腾讯零信任iOA的漏洞扫描修复功能安装补丁。

以下三个高危漏洞须重点关注：

• CVE-2021-42292：

  Microsoft Excel安全功能绕过漏洞

CVSS评分7.8，重要级，该漏洞被Microsoft威胁情报中心发现被用于野外恶意攻击。漏洞影响Office2013、2016、2019、2021、Office365的各个版本。

• CVE-2021-42321：

  Microsoft Exchange Server远程代码执行漏洞

该漏洞是一个经过身份验证的远程代码执行漏洞，在上个月的天府杯黑客大赛中被披露，漏洞影响ExchangeServer2016、2019版本。

CVSS评分：8.8，为严重级，漏洞EXP已公开，已检测到野外利用。

• CVE-2021-42298：

  Microsoft Defender远程代码执行漏洞

该漏洞CVSS评分7.8，严重级，利用评估为“更有可能被利用”。用户通过Windows安全更新可自动修复该漏洞。

新闻来源：  

https://mp.weixin.qq.com/s/cL_KShagfFvVh-6X98cNCQ

网络安全漏洞可能会使数百万连接的医疗设备受到攻击

医院网络中使用的数百万个连接设备中的关键漏洞可能使攻击者能够破坏医疗设备和患者监护仪，以及控制整个设施的系统和设备（例如照明和通风系统）的物联网设备。易受攻击的TCP/IP堆栈——连接设备中常用的通信协议——也部署在其他行业，包括工业部门和汽车行业。

Forescout和Medigate的网络安全研究人员详细介绍了Nucleus NetT CP/IP堆栈中新披露的13个漏洞。这些漏洞可能存在于基于Nucleus TCP/IP堆栈的数百万设备中，并可能允许攻击者进行远程代码执行、拒绝服务攻击甚至泄漏数据——研究人员不能肯定漏洞已被积极利用。

Nucleus TCP/IP堆栈最初于1993年发布，至今仍广泛用于关键安全设备，特别是在医院和医疗保健行业，它们用于麻醉机、患者监护仪和其他设备，以及至于控制照明和通风的楼宇自动化系统。

在研究人员确定的三个关键漏洞中，CVE-2021-31886构成的威胁最大，通用漏洞评分系统(CVSS)得分为10分（满分10分）。这是（文件传输协议）FTP服务器中的一个漏洞，它没有正确验证用户命令的长度，导致基于堆栈的缓冲区溢出，可用于拒绝服务和远程代码执行。

其余两个关键漏洞的CVSS得分均为9.9。CVE-2021-31887是FTP服务器中未正确验证PWD或XPWDFTP服务器命令长度的漏洞，而CVE-2021-31888是当FTP服务器未正确验证长度时发生的漏洞MKD或XMKDFTP命令。两者都可能导致基于堆栈的缓冲区溢出，从而允许攻击者开始拒绝服务攻击或远程启动代码。

新闻来源：  

https://www.zdnet.com/article/these-cybersecurity-vulnerabilities-could-leave-millions-of-connected-medical-devices-open-to-attack

Clop gang在勒索软件攻击中利用Solar WindsServ-U漏洞

Clop勒索软件团伙（也称为TA505和FIN11）正在利用SolarWinds Serv-U漏洞破坏企业网络并最终对其设备进行加密。

Serv-U托管文件传输和Serv-U安全FTP远程代码执行漏洞（编号为CVE-2021-35211）允许远程威胁参与者以提升的权限在易受攻击的服务器上执行命令。SolarWinds于2021年7月发布了紧急安全更新。

在NCC发现的新攻击中，攻击者利用Serv-U生成一个由攻击者控制的子进程，从而使他们能够在目标系统上运行命令。这为恶意软件部署、网络侦察和横向移动开辟了道路，基本上为勒索软件攻击奠定了基础。

此漏洞被利用的一个典型标志是Serv-U日志中的异常错误，这是在利用该漏洞时引起的。

新闻来源：  

https://www.bleepingcomputer.com/news/security/clop-gang-exploiting-solarwinds-serv-u-flaw-in-ransomware-attacks/

微软敦促Exchange管理员修补高危漏洞

微软今天警告管理员立即修补一个高严重性的Exchange Server漏洞，该漏洞可能允许经过身份验证的攻击者在易受攻击的服务器上远程执行代码。

被追踪为CVE-2021-42321的安全漏洞影响Exchange Server 2016和Exchange Server 2019，这是由于根据雷德蒙德的安全公告对cmdlet参数的验证不当造成的。

CVE-2021-42321仅影响本地Microsoft Exchange服务器，包括客户在Exchange混合模式下使用的服务器（Exchange Online客户受到保护，免遭攻击尝试，无需采取任何进一步措施）。

微软解释说：“我们知道使用其中一个漏洞(CVE-2021-42321)进行的有限针对性攻击，这是Exchange 2016和2019中的一个身份验证后漏洞。”微软建议立即安装这些更新以保护系统。

新闻来源：  

https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-patch-bug-exploited-in-the-wild/