据 Object First 调查称，由于 40% 的消费者对企业组织的数据保护能力心存怀疑，因此 75% 的消费者会在其遭到勒索软件攻击后转向其他品牌。 这项调查强调了对可靠的备份、保护和恢复策略不断变化的关注和需求，其结果表明了一个预先及有效的备份和恢复计划的必要性，以规避复杂、耗时和昂贵的恢复过程，这些过程可能会破坏消费者对企业的信任并危及长期业务增长。 Object First 首席执行官David Bennett表示：”数据在当今世界起到不可或缺的作用，随着企业组织生成和消耗比以往更多的数据，消费者寻求更好的保护也就不足为奇了。随着勒索软件威胁不断升级，数据保护必须成为每个企业的核心关注点。虽然防止勒索软件攻击是理想的情况，但并不总是可行。企业组织必须优先考虑保护消费者数据免受现代威胁。这可以通过将不可变的数据弹性作为网络安全战略的核心来实现。“ 调查结果 81% 的消费者表示，他们的数据被不能够有效抵御勒索软件的企业组织所掌握，对此感到“非常害怕或担心”。遭受攻击后，三分之一的消费者需要弹性备份和恢复策略的证据，30% 的消费者对公司的数据保护计划失去信心。 如果企业遭受勒索软件攻击，75% 的消费者准备转向竞争对手。此外，二次攻击将导致 61% 的消费者重新评估他们对数据保护和恢复实践的负面看法。 虽然 37% 的 Z 世代能够接受企业在遭受勒索软件攻击后的道歉，但更老一辈的消费者则不那么宽容，其中74% 的人认为，在遭受不止一次勒索软件攻击后，他们对企业的信任将受到不可挽回的损害，而在 Z 世代中这一比例仅有34%。 调查还显示，55% 的消费者更青睐那些提供了全面的数据保护措施的企业，例如可靠的备份和恢复、密码保护以及身份和访问管理策略。     转自Freebuf，原文链接：https://www.freebuf.com/news/371269.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 6月初，微软的一些服务遭遇严重中断，包括Outlook、OneDrive和云计算基础设施Azure。 一个名为Anonymous Sudan(又名Storm-1359)的组织宣称对破坏该公司服务的DDoS攻击负责。 该组织自2023年1月起便活跃于人们的视野中，并宣言“针对任何反对苏丹的国家”。然而，一些安全研究人员认为，Anonymous Sudan实际上是亲俄威胁组织Killnet的一个分支。 攻击者依赖于虚拟专用服务器(VPS)以及租用的云基础设施、开放代理和DDoS工具进行攻击。 最初，微软并没有提供攻击的细节，但后来在一份题为“微软对第7层分布式拒绝服务(DDoS)攻击的响应”的报告中证实，他们受到了DDoS攻击。 “从2023年6月初开始，微软就发现了一些服务流量的激增，以及部分服务的可用性暂时受到影响，于是立刻展开了调查。随即，微软便跟踪正在进行的DDoS活动，并将其追踪为Storm-1359。“该公司发布的报告写道。 微软指出，他们没有发现任何证据表明客户数据被访问或泄露。 相反地，Anonymous Sudan声明已经窃取了3000万客户账户的信任证书。 该组织于2023年7月2日在其Telegram频道上发布的消息中写道：”我们宣布，我们已经成功入侵了微软，并进入了一个包含3000多万微软账户、电子邮件和密码的大型数据库。完整数据库交易的价格为50000美元。”   Anonymous Sudan分享了被盗数据的样本，并以5万美元的价格出售该数据库的完整版。 目前，微软尚未对所谓的”数据泄露“发表公开评论。BleepingComputer要求该公司公开否认任何数据泄露。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站消息，欧洲刑警组织近期宣布拆除了 EncroChat 加密移动通信平台。至此，该事件导致 6600 多人被捕，引出 9.79 亿美元非法资金。 EncroChat 运行的是一种特殊的、经过强化的Android版本，承诺向用户提供牢不可破的匿名和无可追踪性加密通信服务。此外，EncroChat 还宣称提供信息自毁功能，恐慌性设备擦除，防篡改启动，以及一个防暴力的 FIPS140-2 认证硬件加密引擎。 EncroChat 的功能很快就被网络犯罪分子盯上了，数万人支付了 1500 欧元（1635 美元）购买了为期六个月的订阅，获得全球覆盖和全天候支持。 秘密监控通信 2020 年，欧洲各国成立的联合执法队伍悄悄渗透到 EncroChat 平台，成功破解加密算法后，分析出其用户之间共享的数百万条消息。此后，法国和荷兰的警察部队与其它国家的同行合作，逮捕了 6558 名EncroChat 用户，其中包括 197 名“高价值目标”。 从后续披露的信息来看，此次行动如此轻松便能成功的原因要归功于警方对该平台约 6 万名用户之间 1.15 亿次对话的分析， 利用这些数据，警方成功找到并缴获了 270 吨毒品、971 辆汽车、271 处财产、923 件武器、68 件爆炸物、40 架飞机和 83 艘船只，执法人员冻结了  7.4 亿欧元（8.07亿美元）的现金，以及其它 1.54 亿欧元（1.68 亿美元）。 自 2020 年 EncroChat 被捣毁以来查获的资产（欧洲刑警组织） 欧洲刑警组织表示大多数 EncroChat 用户要么是有组织犯罪的成员（34.8%），要么从事贩毒（33.3%），其余的人主要从事洗钱（14%），谋杀（11.5%），和枪支贩运（6.4%）等犯罪活动。 EncroChat 用户的类型（欧洲刑警组织） 值得一提的是，虽然被捕的 EncroChat 还没有全部都被判刑，但用户判处刑期总额已经达到了 7134 年监禁。 EncroChat 被捣毁后，其许多用户迁移到一个名为“Sky ECC”的替代服务（该服务是以合法实体的形式运作）。欧洲刑警组织和来自欧洲各网络警察单位调查人员已经成功破解 Sky ECC 的加密，监控大约 7 万名用户之间的通信。 2021 年 3 月 9 日，比利时和荷兰的警察同时对“高价值目标”的住宅进行了突击检查，逮捕许多人并扣押大量资产。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370515.html 封面来源于网络，如有侵权请联系删除

一项新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。 GitHub上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。 Aqua Security的研究人员在本周的一份报告中说，这个问题与GitHub如何处理依赖关系有关，当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时，容易受到重新劫持。 改名的风险 为了避免破坏代码的依赖性，GitHub在原 repo 名称和新名称之间建立了一个链接，因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而，如果一个组织未能充分保护旧的用户名，攻击者可以简单地重新使用它来创建一个原始仓库的木马版本，这样任何依赖该存储库的项目将重新开始从该存储库下载。 Aqua公司的研究人员在本周的博客中说：当版本库所有者改变他们的用户名时，对于任何从旧版本库下载依赖项的人来说，在旧名称和新名称之间会产生一个链接。然而，任何人都有可能创建旧的用户名并破坏这个链接。 普遍性问题 Aqua发现了两个问题：一是，GitHub上有数百万个这样的软件库，包括属于谷歌和Lyft等公司的软件库；二是，攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent，这个工具对GitHub上的所有公共事件（如提交和请求）进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库，并向任何使用该存储库的项目传输恶意软件。 任何直接引用GitHub存储库的项目，如果存储库的所有者改变或删除了他们存储库的用户名，就会受到攻击。 因此，组织不应假定他们的旧名称不会被披露，而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370289.html 封面来源于网络，如有侵权请联系删除

原题：使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者：知道创宇404实验室   一．摘要 在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。 二．概述 ZoomEye [1] 是一款网络空间搜索引擎，通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测，构建互联网安全基础态势测绘地图，为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开，可以在网页页面中直接编写代码和运行代码，代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档，可在同一个页面中直接编写，便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境，是Jupyter Notebook的下一代产品，可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说，JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文，我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器，并通过Web浏览器访问其中的代码和文档。 三．Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook，以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式，参考其官方网站 [6]。只需要在命令行下输入一句话命令即可，简单方便。 pip install notebook 正常启动Jupyter Notebook的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将Jupyter Notebook服务暴露在互联网IP上，并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下，在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况下，网页标题内容是：“Home Page – Select or create a notebook”。 ① 网页标题内容是：Home Page – Select or create a notebook 3.2 JupyterLab 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab，以及对应的Web浏览访问的效果。 JupyterLab的安装方式，参考其官方网站 [7]。只需要在命令行下输入一句话命令即可，简单方便。 pip install jupyterlab 正常启动JupyterLab的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用JupyterLab的产品功能。 网页标题内容是：JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将JupyterLab服务暴露在互联网IP上，并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓JupyterLab服务所在互联网IP的前提下，在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况的网页标题内容是：“JupyterLab”。 ① 网页标题内容是：JupyterLab 四．查找未启用身份验证的Jupyter服务器 如上一章节所述，未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”，未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口，总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为：title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口，总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为：title:”JupyterLab” ② 总计1597 条结果 五．Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候，未启用身份验证，虽然方便了日常使用，无需输入密码；但同时也相当于将自己的代码和文档公开在互联网上，供其他用户任意访问查看，其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用，可能会造成数据泄露和资产损失。 示例一： 如下图所示，该Jupyter服务器中的代码泄露了：bitFlyer加密货币交易所的用户API的key和secret，Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret，可以在交易所中创建交易、取消交易等操作，可能会造成资产损失；利用Gmail邮箱的用户名和口令，可以登录Gmail邮箱，可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二： 如下图所示，该Jupyter服务器中的代码泄露了：亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY，可以获取亚马逊AWS的该账号权限，上传文件至亚马逊S3云存储空间，甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六．结语 在使用Jupyter的时候，尽量不要将其Web服务公开在互联网上，而是开放在局域网中使用，避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上，则必须设置通过token或者Password登录，而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客：Please don’t disable authentication in Jupyter servers [8]。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6

作者：知道创宇404实验室 原文链接：https://paper.seebug.org/2053/   一．摘要 在实现网络攻击的过程中，C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据，我们发现 9247 个 Cobalt Strike[2]控制端服务器中，有 6.53% 曾对外提供目录浏览和文件下载服务，涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据，我们针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 在研究过程中，我们还发现存在遍历下载黑客“工作机”所有文件的行为，推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 二．概述 黑客在控制他人电脑窃取他人文件的同时，也会成为他人攻击的重点对象。例如，黑客下载被他人嵌入恶意木马的扫描工具，运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文，我们将从黑客开启的 Web 服务器入手，通过使用 ZoomEye 网络空间搜索引擎，成为黑客背后的“猎人”。 黑客攻击者在进行攻击时，会遇到各类环境，为保证攻击成功，会使用较常用的方式下发恶意样本。例如开启 Web 服务器，然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候，也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能，例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server，然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输，却给了其他人可趁之机。其他人若找到黑客使用的“工作机”，便可以获取其攻击工具，了解其攻击手法，甚至直接获取其窃取的数据。 三．利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外，我们还需要指定黑客“工作机”中经常出现的关键词特征，才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe，用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例：黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器，在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天（2023 年 2 月 15 日），创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为，并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日，服务器上新增了名为 fscan64.exe的工具 2023年2月15日，创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例：黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”，该文件出现在“工作机”上的时间为 2023 年 1 月 31 日；然后将其上传到 Virustotal 平台上进行验证，显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日，服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测，被识别为恶意 3.3 示例：我们可获取黑客使用的攻击工具 我们在黑客“工作机”上，可以获取黑客所使用的攻击工具， 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例：我们可获取黑客的工作结果 我们在黑客“工作机”上，可以获取黑客的工作成果，例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名，使用FFUF工具进行Web Fuzz的结果 四．测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果，2020年1月1日至2023年2月16日，一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务，占比 6.53%。我们根据探测到的文件名等信息进行判断，绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中，我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试，针对这30个B段IP地址的 3 个端口（8000、8080、8888）进行了持续 72 个小时的高频测绘，检测其是否对外提供目录浏览和文件下载服务，以及是否为黑客“工作机”。 结果是，在 72 个小时内，30 个 B 段的 196 万 IP 地址中，我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务， 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间，这 176 个 IP 地址 中，有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此，我们可以推断，与通过网空搜索引擎进行查询相比，针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 五．探寻互联网上已经存在的“猎人” 通过这种方式，作为黑客背后的“猎人”，可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”，我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件，我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中，我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日，遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级，发现该 IP 地址已被标记为恶意 IP 地址，标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等，且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP，因此我们推断它是一个“猎人 IP”。当然，它的目标可能不仅仅是针对黑客“工作机”，也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中，存在 3 个与 34.140.*.* 行为一样的 IP 地址，我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例，我们有理由推断，在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 六．结语 黑客攻击者可能是一个人单打独斗，缺点是技术能力和实战经验有限，无法关注到方方面面的细节；也可能是团队合作，人员分工明确，各自负责编写工具、实施攻击、分析结果等，缺点是各自只关注自身负责的工作，未明确到位的工作或风险便无人关注。正是由于这些原因，使得我们通过 ZoomEye 网络空间搜索引擎，可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守，也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客，还是成为黑客背后的猎人，这是攻防对抗的升级，也是从上帝视角测绘网络空间的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/

微软宣布旗下的 BUG 悬赏项目新增覆盖 3 个产品，分别为 Exchange, SharePoint 和 Skype for Business。和 BUG 悬赏项目中的其他产品一样，针对这 3 个产品的 BUG 悬赏金额从 500 美元起步，根据 BUG 的危险等级最高上限为 3 万美元。 微软解释道：“Microsoft 365 和 Microsoft Office Servers 是我们工作和生活中的生产力解决方案，旨在通过创新的 Office 应用程序、智能云服务和世界级的安全来帮助您实现更多目标。Microsoft Applications 和 On-Premises Servers Bounty Program 邀请全球研究人员识别特定微软应用程序和企业内部服务器中的漏洞，并与我们的团队分享这些漏洞。符合条件的提交者有资格获得 500 美元至 30,000 美元的赏金奖励”。 当然，微软为远程代码执行缺陷提供最大的奖励。如果它们被评为关键缺陷，并与高质量的报告一起被送到微软，它们可能价值 20,000 美元。另一方面，如果你遇到的是特权提升，也被评为关键性缺陷，当高质量的报告也被发送时，赏金就会降到 8000 美元。然而，微软表示，它也可以提供更高的奖励，这取决于你的发现。 微软表示：“赏金奖励范围从 500 美元到 30,000 美元。根据漏洞的严重性和影响以及提交的质量，微软有可能提供更高的奖励，由微软全权决定。如果研究人员提交的材料不符合赏金奖励的条件，但如果他们提交的材料修复了漏洞，他们仍有资格获得公开承认，并在我们的研究人员表彰计划中获得积分”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255865.htm 封面来源于网络，如有侵权请联系删除

上星期，我们以“创宇资讯”角度发布了2021年最受关注的十大网络安全事件。 以下为创宇资讯整理并总结出的2021年十大安全漏洞，希望以此为网络安全建设提供参考。 （转载本文请注明出处：https://hackernews.cc/archives/37322）   一．Apache Log4j2 远程代码执行漏洞   Apache Log4j2是一个基于Java的日志记录工具，该日志框架被大量用于业务系统开发，用来记录日志信息。 Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷，就可以实现目标服务器任意命令执行，获取目标服务器权限。 由于日志记录存在的普遍性，所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见，未来数月甚至数年该漏洞才能得到比较全面的修补。 漏洞涉及CVE编号： CVE-2021-44228 漏洞影响版本： Apache log4j2 2.0 至 2.14.1 版本   二．QNAP NAS Roon Server套件认证绕过、命令注入漏洞   威联通科技股份有限公司(QNAP Systems, Inc.)，是极少数以商用服务器获得世界认同的中国台湾省跨国企业，致力于研发并提供高质量网络储存设备及专业网络监控录像设备 给家庭、SOHO 族、以及中小企业用戶。 2021年6月11日，CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞（CVE-2021-28810）和命令注入漏洞（CVE-2021-28811）相关的细节，并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中，QNAP官方于2021年6月4日重新发布修复后的应用。 在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。 勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是第一个也不会是最后一个。 漏洞涉及CVE编号：CVE-2021-28810、CVE-2021-28811   三．Microsoft Exchange高危攻击链   2021年3月3日微软紧急发布了Exchange更新补丁，披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用，其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证，可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下： CVE-2021-26855 服务端请求伪造漏洞，可以绕过Exchange Server的身份验证。 CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞，需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。 漏洞涉及CVE编号：CVE-2021-26855、CVE-2021-26858、CVE-2021-27065   四．VMware vCenter Server 未授权远程命令执行漏洞   Vmware vCenter Server是ESXi的控制中心，可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。 2021年5 月 25 日，VMware 官方发布安全公告，修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞（CVE-2021-21985）和身份验证漏洞（CVE-2021-21986）。其中 CVE-2021-21985 漏洞攻击复杂度低，且不需要用户交互，攻击者可利用该漏洞在目标系统上执行任意命令，从而获得目标系统的管理权限。 漏洞涉及CVE编号：CVE-2021-21985 漏洞影响版本： Vmware vCenter Server 7.0 系列 < 7.0.U2b Vmware vCenter Server 6.7系列 < 6.7.U3n Vmware vCenter Server 6.5 系列 < 6.5.U3p Vmware Cloud Foundation 4.x 系列 < 4.2.1 Vmware Cloud Foundation 3.x 系列 < 3.10.2.1   五．Zyxel NAS FTP 服务未授权远程命令执行漏洞   Zyxel(合勤科技)是国际知名品牌的网络宽带系统及解决方案的供应商。 2020 年，Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞（CVE-2020-9054 ），该漏洞被用于地下黑市售卖，其价值高达 20000 美元，漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞，未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。 经过验证，Zyxel官方只修复了漏洞的入口点，对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复，这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。 漏洞涉及CVE编号：CVE-2020-9054 补丁绕过   六．Windows Print Spooler 远程代码执行漏洞   Windows Print Spooler 是 Windows 的打印机后台处理程序，广泛的应用于各种内网 中。 2021年6 月 29 日，有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp，也被称为PrintNightmare。后经过验证，微软为该漏洞分配了一个新的CVE编号：CVE-2021-34527。利用该exp，攻击者 能够以 SYSTEM 权限控制域控主机，微软在7月7日紧急修复了该漏洞。 攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证，并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到 DC 中的 Spooler 服务，并利用该漏洞在 DC 中安装恶意的驱动程序，完整的控制整个域环境。 漏洞涉及CVE编号：CVE-2021-34527   七．Apache HTTPd 路径穿越和远程命令执行漏洞   2021年9 月 29 日，国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773)，官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。 2021年10 月 5 日，Github 上开始出现漏洞 CVE-2021-41773 的 POC，经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取，甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过，于是 10 月 7 日，Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。 漏洞涉及CVE编号：CVE-2021-41773，CVE-2021-42013   八．Confluence Webwork OGNL表达式注入漏洞   Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。 2021年8月25日，Confluence发布漏洞公告，Confluence Webwork OGNL 存在表达式注入漏洞，编号为：CVE-2021-26084。 经过分析，2021年9月1日，国外安全研究人员公开了该漏洞细节，未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证，无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题，这也使得该漏洞的影响面和危害进一步扩大。 漏洞涉及CVE编号：CVE-2021-26084 漏洞影响版本： Confluence Server & Confluence Data Center < 6.13.23 Confluence Server & Confluence Data Center < 7.11.6 Confluence Server & Confluence Data Center < 7.12.5 Confluence Server & Confluence Data Center < 7.4.11   九．锐捷网关未授权远程命令执行漏洞   锐捷⽹络成⽴于2000年1⽉，是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇，⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入，直接拼接到命令执行，未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。 该漏洞影响范围比较广，通过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录（数据查询日期：2021年1月19日），主要分布在中国。   十．GitLab未授权远程命令执行漏洞   GitLab是由GitLab Inc.开发，一款基于Git的完全集成的软件开发平台。 2021年4⽉14⽇，GitLab 官⽅发布安全通告，GitLab CE/EE 中存在认证 RCE 漏洞，并分配漏洞编号CVE-2021-22205，随后也有相关的POC公布，但由于需要认证，该漏洞影响范围有限。 2021年10月25日，HN Security 发文称，有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞，并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低，带来的是漏洞影响范围的扩大，影响有限的漏洞也能发挥出惊人的破坏力。 漏洞涉及CVE编号：CVE-2021-22205

2021年CVE回顾： 时间飞逝，转眼间来到了2022年。新的一年即将开始，让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5，2020年CVSSV3平均值为6.1，同比去年下降0.6。 通过平均值的对比，我们可以清楚的看到各大厂商在2021年对物联网安全的重视性越来越高，产品也越来越安全。 物联网与我们的生活息息相关，看到物联网的安全性的不断的提高，作为用户对我们自己的隐私等有了更安全的保证。 我们作为一家专注于物联网安全的公司，统计了以下品牌部分评分较高的CVE编号以及描述等。 思科： CVE-2021-34770 1.CVSSV3评分7.2，Cisco IOS XE CAPWAP 数据包的堆溢出，用于 Cisco Catalyst 9000 系列无线控制器的 Cisco IOS XE 软件的无线接入点控制和配置 (CAPWAP) 协议处理中存在一个漏洞，该漏洞可以允许未经身份验证的远程攻击者以管理权限执行任意代码或导致拒绝服务 (DoS)  受影响设备的状况。该漏洞是由于验证 CAPWAP 数据包过程中发生的逻辑错误造成的。攻击者可以通过向受影响的设备发送精心制作的 CAPWAP 数据包来利用此漏洞。成功的利用可以允许攻击者以管理权限执行任意代码或导致受影响的设备崩溃并重新加载，从而导致 DoS 。（NVD发布日期：2021-09-22）   CVE-2021-34727 2.CVSSV3评分9.8， Cisco IOS XE SD-WAN 软件中 vDaemon 进程中的漏洞可以允许未经身份验证的远程攻击者在受影响的设备上造成缓冲区溢出。此漏洞是由于受影响的设备处理流量时边界检查不足造成的。攻击者可以通过向设备发送精心设计的流量来利用此漏洞。成功的利用可以允许攻击者导致缓冲区溢出并可以使用 root 级权限执行任意命令，或导致设备重新加载，这可以导致拒绝服务。（NVD发布日期：2021-09-22）   CVE-2021-1619 3.CVSSV3评分9.1，Cisco IOS XE软件的AAA (authentication, authorization, and accounting)功能存在一个漏洞，可以允许未经认证的远程攻击者绕过NETCONF或RESTCONF认证，执行以下任意一种操作:安装、操作或删除受影响设备的配置导致内存损坏，导致受影响设备上拒绝服务(DoS)。该漏洞是由于一个未初始化的变量造成的。攻击者可以通过向受影响的设备发送一系列NETCONF或RESTCONF请求来利用这个漏洞。一个成功的攻击可以允许攻击者使用NETCONF或RESTCONF来安装、操作或删除网络设备的配置，或破坏设备上的内存，从而导致DoS。（NVD发布日期：2021-09-22）   CVE-2021-1609 4. CVSSV3评分9.8，Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中的多个漏洞可以允许攻击者执行以下操作：执行任意代码导致拒绝服务 (DoS) 、执行任意命令。 （NVD发布日期：2021-08-04）   CVE-2021-1610 5.CVSSV3评分8.8，Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中的多个漏洞可以允许攻击者执行以下操作：执行任意代码导致拒绝服务 (DoS)、执行任意命令。（NVD发布日期：2021-08-04）   CVE-2021-34730 6.CVSSV3评分9.8，Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的通用即插即用 (UPnP) 服务中存在一个漏洞，该漏洞可以允许未经身份验证的远程攻击者执行任意代码或导致受影响的设备意外重启，从而导致拒绝服务 (DoS) 。此漏洞是由于对传入 UPnP 流量的验证不当造成的。攻击者可以通过向受影响的设备发送精心设计的 UPnP 请求来利用此漏洞。成功的利用可以允许攻击者以 root 用户身份在底层操作系统上执行任意代码或导致设备重新加载，从而导致 DoS 。（NVD发布日期：2021-08-18）   TP-Link： CVE-2021-27246 1.CVSSV3评分8.0，TP-LINK Archer A7 AC1750 tdpServer Endpoint 内存损坏，此漏洞允许邻近网络的攻击者在受影响的 TP-Link Archer A7 AC1750 1.0.15 路由器安装上执行任意代码。利用此漏洞不需要身份验证。该漏洞存在于 tdpServer 端点处理 MAC 地址的过程中。精心设计的 TCP 消息可以将堆栈指针写入堆栈。攻击者可以利用此漏洞在 root 用户的上下文中执行代码。（NVD发布日期：2021-04-15）   CVE-2020-35576 2.CVSSV3评分8.8，TP-Link TL-WR841N V13 Traceroute 权限升级，固件版本低于 201216 的TP-Link TL-WR841N V13 (JP) 上的 traceroute 功能中的命令注入允许经过身份验证的用户通过 shell 元字符以 root 身份执行任意代码，这是与 CVE-2018-12577 不同的漏洞。（NVD发布日期：2021-01-27）   CVE-2021-41450 3.CVSSV3评分7.5，v1_211117 之前的 TP-Link AX10v1 中的 HTTP 请求走私攻击允许未经身份验证的远程攻击者通过发送特定的 HTTP 数据包对 Web 应用程序进行 DoS。（NVD发布日期：2021-12-08） CVE-2021-27245 4.CVSSV3评分8.1， TP-LINK Archer A7/Archer C7 IPv6 SSH 权限升级，此漏洞允许在 Archer C7(US)_V5_210125 和 Archer A7(US)_V5_200220 AC1750 路由器之前的受影响安装的 TP-Link Archer A7 上绕过防火墙。利用此漏洞不需要身份验证。该漏洞存在于 IPv6 连接的处理中。该问题是由于缺乏对 IPv6 SSH 连接的适当过滤造成的。攻击者可以结合其他漏洞利用此漏洞在 root 上下文中执行代码。（NVD发布日期：2021-03-29） CVE-2021-41653 5.CVSSV3评分9.8， TL-WR840N(EU)_V5_171211 固件的 TP-Link TL-WR840N EU v5 路由器上的 PING 功能很容易受到通过IP地址输入字段中设计的有效负载执行远程代码的攻击。（NVD发布日期：2021-11-13）  Juniper ： CVE-2021-31372 1.CVSSV3评分8.8，Juniper Networks Junos OS 的 J-Web 中的不正确输入验证漏洞允许经过本地身份验证的 J-Web 攻击者将其权限提升为目标设备的 root权限。（NVD发布日期：2021-10-19）   CVE-2021-31349 2.CVSSV3评分9.8，Juniper 128 Technology Session Smart Router HTTP Header 弱身份验证，使用内部 HTTP 标头创建的身份验证绕过漏洞 (CWE-287)，允许攻击者查看内部文件、更改设置、操纵服务和执行任意代码。（NVD发布日期：2021-10-19）   CVE-2021-0249 3.CVSSV3评分9.8，在配置了UTM服务的SRX系列设备上，Juniper Networks Junos OS的数据包转发引擎（PFE）中存在缓冲区溢出漏洞，攻击者可通过向设备发送精心编制的数据包，在目标上执行任意代码或命令。（NVD发布日期：2021-04-22）   CVE-2021-0277 4.CVSSV3评分8.8，Juniper Networks Junos OS 和 Junos OS Evolved 的第 2 层控制协议守护进程 (l2cpd) 在处理特制 LLDP 帧时存在越界读取漏洞，可以允许攻击者导致拒绝服务 (DoS)，或导致远程代码执行 (RCE)。继续接收和处理从本地广播域发送的这些帧，将反复使 l2cpd 进程崩溃造成拒绝服务 (DoS) 。（NVD发布日期：2021-07-15）   CVE-2021-31384 5.CVSSV3评分10.0，Juniper Junos OS J-Web Web Administrative Interface 权限升级，由于在特定设备配置中缺少授权和访问控制力度不足，在SRX系列上的Juniper Networks Junos系统存在一个漏洞，攻击者可以通过该漏洞从任何设备接口成功访问J-Web管理界面，而不考虑web管理配置和过滤规则，这些规则会保护对J-Web的访问。（NVD发布日期：2021-10-19）  Netgear ： CVE-2021-45612 1.CVSSV3评分9.6，某些 NETGEAR 设备会受到未经身份验证的攻击者命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45616 2.CVSSV3评分9.8，某些 NETGEAR 设备会受到未经身份验证的攻击者命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45620 3.CVSSV3评分9.8，某些NETGEAR设备会受到未经认证的攻击者的命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45622 4.CNA评分9.6，某些NETGEAR设备会受到未经认证的攻击者的命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-40867 5.CVSSV3评分7.1，Netgear GC108P HTTP Authentication 弱身份验证，某些 NETGEAR 智能交换机受到身份验证劫持竞争条件漏洞的影响，该漏洞由未经身份验证的攻击者在登录过程中使用与管理员相同的源 IP 地址（例如,在同一个NAT设备,或者已经拥有立足管理的机器上）。发生这种情况是因为多步骤 HTTP 身份验证过程仅与源 IP 地址有效绑定。（NVD发布日期：2021-09-13）  F5 BIG-IP： CVE-2021-22986 1.CVSSV3评分9.8，在 16.0.1.1 之前的 BIG-IP 版本 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x 和 12.1.5.3 之前的 12.1.x 和 BIG-IQ 7.1.0.x 7.1.0.3 之前和 7.0.0.x 7.0.0.2 之前，iControl REST 接口存在未经身份验证的远程命令执行漏洞。(NVD发布日期：2021-3-31)   CVE-2021-22987 2.CVSSV3评分9.9，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3 在设备模式下运行时，流量管理用户界面 (TMUI)，在未公开的页面中存在一个经过身份验证的远程命令执行漏洞(NVD发布日期：2021-3-31) CVE-2021-22988 3.CVSSV3评分8.8，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3、TMUI，也称为配置实用程序，在未公开的页面中存在一个经过身份验证的远程命令执行漏洞。（NVD发布日期：2021-3-31）   CVE-2021-23031 4.CVSSV3评分9.9，在 16.0.1.2 之前的版本 16.0.x、15.1.3 之前的 15.1.x、14.1.4.1 之前的 14.1.x、13.1.4 之前的 13.1.x、12.1.6 之前的 12.1.x 和 11.6.6.5.131 之前的 11.6.x ，经过身份验证的用户可以在 BIG-IP 高级 WAF 和 ASM 配置实用程序上执行权限提升。（NVD发布日期：2021-09-14）   CVE-2021-22992 5.CVSSV3评分9.8，F5 BIG-IP/BIG-IP Virtual Edition 信息公开，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3 对策略中配置了登录页面的高级 WAF/BIG-IP ASM 虚拟服务器的恶意 HTTP 响应会触发缓冲区溢出，从而导致 DoS 攻击。在某些情况下，它可以允许远程代码执行 (RCE)，从而导致系统完全受损。注意：不评估已达到软件开发结束 (EoSD) 的软件版本。（NVD发布日期：2021-03-31）   CVE-2021-22989 6.CVSSV3评分9.1，经身份验证的远程命令执行，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3，当在配置了高级 WAF 或 BIG-IP ASM 的设备模式下运行时，TMUI在未公开的页面中存在一个经过身份验证的远程命令执行漏洞。（NVD发布日期：2021-03-31）   ASUS： CVE-2021-41435 1.CVSSV3评分9.8 ，允许远程攻击者通过发送特定的 HTTP 请求尝试任意次数的登录尝试。（NVD发布日期：2021-11-19）   CVE-2021-32030 2.CVSSV3评分9.8 ，3.0.0.4.386.42643 之前版本的 ASUS GT-AC2900 设备上的管理员应用程序在处理来自未经身份验证的用户的远程输入时允许绕过身份验证，从而导致未经授权访问管理员界面。这与 router/httpd/httpd.c 中的 handle_request 和 web_hook.o 中的 auth_check 有关。在某些情况下，攻击者提供的值“\0”与设备的默认值“\0”匹配。（NVD发布日期：2021-05-06）   CVE-2021-3229 3.CVSSV3评分7.5，ASUS RT-AX3000固件版本3.0.0.4.384_10177及更早版本的拒绝服务允许攻击者通过持续的登录错误来中断设备安装服务的使用。（NVD发布日期：2021-02-05） CVE-2021-3166 4.CVSSV3评分7.5，在ASUS DSL-N14U-B1 1.1.2.3_805设备上发现一个问题。当文件名Settings_DSL-N14U-B1时，攻击者可以上传任意文件内容作为固件更新。一旦加载这个文件，就会像真正的更新一样触发大量服务的关闭措施，导致这些服务的持续中断。（NVD发布日期：2021-01-18） CVE-2021-41436 5.CVSSV3评分7.5，ASUS ROG Rapture GT-AX11000、RT-AX3000、RT-AX55、RT-AX56U、RT-AX56U_V2、RT-AX58U、RT-AX82U、RT-AX82U GUNDAM EDITION、RT-AX86系列网页应用程序中的HTTP请求走私，0.4.386.45898 和 3.0.0.4.386.45911 之前的 RT-AX68U 允许远程未经身份验证的攻击者通过发送特制的 HTTP 数据包进行 DoS。（NVD发布日期：2021-11-19）   Tenda： CVE-2021-44352 1.CVSSV3评分9.8，通过goform/SetIpMacBind中的post请求中的list参数，Tenda AC15 V15.03.05.18_multi设备存在一个基于堆栈的缓冲区溢出漏洞。（NVD发布日期：2021-12-03）   CVE-2021-31758 2.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setportList中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-31757 3.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setVLAN中的堆栈缓冲区溢出漏洞允许攻击者通过一个精编的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-31756 4.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/gofrom/setwanType中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。当恶意攻击控制的输入向量被复制到堆栈变量时，就会发生这种情况。（NVD发布日期：2021-05-07）   CVE-2021-31755 5.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setmac中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-27707 6.CVSSV3评分9.8 ，带有固件v15.11.0.17(9502)_CN的Tenda G1和G3路由器的缓冲区溢出允许远程攻击者通过一个手工操作/“portMappingIndex”请求执行任意代码。这是因为“formDelPortMapping”函数直接将参数“portMappingIndex”无限制地传递给strcpy。（NVD发布日期：2021-04-14） （注：数据均来自CVE数据库）   （内容及封面来源： IOTsec Zone）