就在我们了解到国家支持的黑客已经开始研究上周震惊网络安全界的Log4j漏洞问题时，其他研究人员发出了一个令人不安的发展信号。Log4j黑客，也被称为Log4Shell已经有一个补丁，已经可以部署到企业。但事实证明，这个补丁玩起了“套娃”：它解决原有问题的同时又产生新的安全问题，且可以被外部利用。因此，希望保护他们的系统免受Log4j攻击的公司必须部署一个新的补丁，修复之前的补丁。 正如我们在以前的报道中所解释的，Log4j黑客是非常危险的。这是因为它几乎影响到所有提供互联网服务的公司。这个安全漏洞存在于一个被广泛使用的Java日志工具中。自上周四披露以来，网络安全研究人员已经目睹了数十万次利用该漏洞的尝试。这包括来自国家支持的黑客的攻击，与大多数黑客相比，他们拥有大量可支配的资源。只要互联网公司不对他们的系统应用现有的Log4j补丁，他们就会面临风险。 黑客可以利用Log4j黑客技术，在没有密码的情况下进入计算机服务器。从那里，他们可以安装其他恶意程序。这些工具将让他们窃取信息，进行勒索软件攻击，或挖掘加密货币。根据最初描述安全问题的报告，有人利用了《Minecraft》里面的漏洞。微软很快给Minecraft打了补丁，并不断发布关于Log4j漏洞在外部世界的安全更新。 普通的终端用户无法自己修复Log4j黑客的问题。这并不像将操作系统或应用程序更新到最新、最安全的版本那样容易。是互联网公司必须部署最新的Log4j补丁来保护服务器。 但安全研究人员已经发现，Apache基金会上周发布的Log4j 2.15.0补丁至少有两个需要修复的漏洞。报告说，已经安装了Log4j 2.15.0的企业应该尽快安装2.16.0版本。 根据一些研究人员的说法，Log4j 2.15.0的补丁”在某些非默认配置中”并不完整。反过来，这使得攻击者可以对打了补丁的系统发动攻击。来自Praetorian的安全研究人员也详细介绍了新的安全问题，他们解释说，黑客仍然可以从已经部署了Log4j 2.15.0补丁的服务器上窃取数据。 “在我们的研究中，我们已经证明2.15.0在某些情况下仍然可以实现敏感数据的渗出，”研究人员说。”我们已经把这个问题的技术细节传递给了Apache基金会，但在这期间，我们强烈建议客户尽快升级到2.16.0。” Praetorian发布了对Log4j 2.15.0补丁的概念证明攻击，但没有披露使其成为可能的技术细节。 了解更多： https://github.com/cckuailong/Log4j_CVE-2021-45046   （消息及封面来源：cnBeta）

安全研究人员对市场上主流的 9 款热门路由器进行了测试，即便运行最新的固件版本，还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys，并被数百万人使用。 IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试，重点是主要由小公司和家庭用户使用的型号。 就漏洞数量而言，排在前列的是 TP-Link Archer AX6000，有 32 个缺陷；以及 Synology RT-2600ac，有 30 个安全漏洞。 IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer：“对于 Chip 的路由器评估，供应商向他们提供了主流型号，这些型号被升级到最新的固件版本”。 IoT Inspector 自动分析了这些固件版本，并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明，许多路由器仍然容易受到公开披露的漏洞的影响，即使使用最新的固件，如下表所示： 虽然不是所有的缺陷都有相同的风险，但该团队发现了一些影响大多数测试机型的常见问题。 ● 固件使用过时的 Linux 内核 ● 过时的多媒体和VPN功能 ● 过度依赖旧版本的BusyBox ● 使用弱的默认密码，如”admin” ● 以纯文本形式存在的硬编码凭证 IoT Inspector 的首席执行官 Jan Wendenburg 指出，确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示：“在第一次使用时更改密码，并启用自动更新功能，必须成为所有物联网设备的标准做法，无论设备是在家里还是在企业网络中使用”。 研究人员没有公布很多关于他们发现的技术细节，只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法，在 D-Link DIR-X1560 上获得本地权限，并通过物理 UART 调试接口获得 shell 权限。 接下来，他们使用内置的 BusyBox 命令转储了整个文件系统，然后找到了负责解密程序的安装文件。通过分析相应的变量和函数，研究人员最终提取了用于固件加密的AES密钥。 利用该密钥，威胁者可以发送恶意的固件图像更新，以通过设备上的验证检查，有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决，这种加密可以保证本地存储的图像的安全，但这种做法并不常见。   （消息及封面来源：cnBeta）

区块链初创公司 MonoX Finance 周三表示，由于软件中用于起草智能合约部分存在漏洞，已经被黑客已经成功窃取了 3100 万美元。该公司使用一种被称为 MonoX 的去中心化金融协议，让用户在没有传统交易所的一些要求的情况下交易数字货币代币。 MonoX 公司代表表示：“项目所有者可以在没有资本要求负担的情况下列出他们的代币，并专注于将资金用于建设项目，而不是提供流动性。它的工作原理是将存入的代币与vCASH组合成一个虚拟对，以提供一个单一的代币池设计”。 MonoX Finance 在一篇文章中透露，该公司软件中的一个会计错误让攻击者抬高了 MONO 代币的价格，然后用它来兑现所有其他存放的代币。这笔交易相当于以太坊或 Polygon 区块链上价值 3100 万美元的代币，这两个区块链都是由 MonoX 协议支持的。 具体来说，黑客使用相同的代币作为tokenIn和tokenOut，这是用一种代币的价值交换另一种的方法。MonoX在每次交换后通过计算两个代币的新价格来更新价格。当交换完成后，tokenIn的价格–即用户发送的代币–减少，tokenOut的价格–或用户收到的代币–增加。 通过在tokenIn和tokenOut中使用相同的令牌，黑客大大抬高了MONO令牌的价格，因为tokenOut的更新覆盖了tokenIn的价格更新。然后黑客在以太坊和Polygon区块链上用该代币兑换了价值3100万美元的代币。   （消息及封面来源：cnBeta）

总部位于新西兰的网络安全公司 Emsisoft 一直在悄悄地帮助 BlackMatter 勒索软件的受害者恢复被加密的文件，防止了“数千万美元”的赎金支付，并可能标志着 BlackMatter 事件的永久结束。作为 DarkSide（用来攻击 Colonial Pipeline）勒索软件的升级，BlackMatter 于今年 7 月首次出现。 最近 CISA 专门针对该勒索软件发出警告，表示它针对被视为关键基础设施的组织进行了“多次”攻击，包括美国食品和农业部门的两次攻击。该勒索软件作为一种服务操作，也是最近对奥林巴斯的攻击的罪魁祸首，这迫使这家日本科技巨头关闭了其欧洲、中东和非洲地区的业务。 EMSIsoft 今年早些时候发现，与 DarkSide 一样，BlackMatter 的加密机制有一个漏洞，允许 Emsisoft解密文件，BlackMatter 的加密过程也有一个漏洞，允许它恢复加密的文件而不必支付赎金。Emsisoft 直到现在才透露这个漏洞的存在，因为它担心会让 BlackMatter 集团立即推出一个修复程序。 Emsisoft 首席技术官 Fabian Wosar 在一篇博客文章中说：“了解 DarkSide 过去的错误，当 BlackMatter 对他们的勒索软件有效载荷进行修改，使我们能够再次恢复受害者的数据而无需支付赎金时，我们感到很惊讶”。 在发现漏洞之后，Emsisoft 就向执法部门、勒索软件谈判公司、事件响应公司、国家计算机应急准备小组（CERT）和值得信赖的合作伙伴通报了其解密能力的信息。这使得这些受信任的各方能够将 BlackMatter 受害者推荐给 Emsisoft，以恢复其文件，而不是支付赎金。 Wosar 表示：“从那时起，我们一直在忙于帮助BlackMatter受害者恢复他们的数据。在多个国家的执法机构、CERT和私营部门合作伙伴的帮助下，我们能够接触到许多受害者，帮助他们避免了数千万美元的要求”。Emsisoft 还联系了通过 BlackMatter 样本和公开上传到各个网站的赎金笔记发现的受害者。   （消息及封面来源：cnBeta）

据《The Hacker News》报道，一种出现在DNSaaS（DNS即服务）的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布，他们发现了一个简单的漏洞，允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。 他们进一步解释说，暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是，这使任何人都有能力看到公司和政府组织内部正在发生的事情。在某种程度上，它相当于国家级别的间谍活动能力，而且这些数据就像注册一个域名一样容易获得。 研究人员说：”我们能够获取到的动态DNS流量来自15000多个组织，包括财富500强企业、45个美国政府机构和85个国际政府机构，这些数据包括大量有价值的情报，如内部和外部IP地址、计算机名称、员工姓名和办公地点。” 在Google云DNS或处理DNS解析服务的亚马逊Route53上进行的域名注册，创造了一个有效消除用户间的隔离并允许访问宝贵信息的场景。因此，如果一个组织在Route53平台上使用AWS名称服务器配置了一个新的域名，在托管区，他们将新的域名与内部网络相关联后，所有公司终端的动态DNS流量都可以被具有相同名称的欺诈性服务器所访问到。 幸运的是，由于Wiz Research团队开发了一个识别DNS信息泄漏的工具，这些漏洞已经被修补。简而言之，该工具发现了可以利用的DNS漏洞，以确定未经授权的内部DDNS更新是否被泄露给了DNS供应商或恶意行为者。 您可以在这里测试并了解更多细节： https://dynamic-dns-checker.tools.wiz.io/   （消息及封面来源：cnBeta）

谷歌威胁分析团队指出，在针对西欧政府官员的渗透活动中，SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告，披露本次攻击还利用了通过领英（LinkedIn）向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接，就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后，SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷，并将之用于绕过某些安全防护措施。 比如关闭同源防护策略（Same-Origin-Policy）、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。 如此一来，攻击者便能够利用收集自谷歌、微软、领英、脸书、雅虎等网站手机的身份验证信息，并将之发送到受黑客控制的 IP 地址。 不过 Maddie Stone 和 Clement Lecigne 写道：“受害者需要通过 Safari 访问精心制作的网站，才会被黑客成功渗透其 cookie ”。 庆幸的是，苹果已于今年 3 月修复了该漏洞。如果你运行受影响的 iOS 12.4 – 13.7 版本，还请及时为设备打上补丁。 此外通过使用支持站点隔离功能的浏览器（比如 Chrome 或 Firefox），亦可避免此类“同源策略”攻击。 最后，尽管谷歌没有披露幕后黑手的真实身份，但 ArsTechnica 已将攻击者确定为 Nobelium（与 2019 年 SolarWinds 黑客攻击事件背后是同一团队）。   （消息及封面来源：cnBeta）

SolarWinds 公司敦促客户尽快安装补丁，以修复 Serv-U 远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用，并且已经对少部分客户发起了攻击。 在本周五发布的公告中，SolarWinds 公司表示：“微软提供的相关证据表明已经有少量、针对性的客户受到影响。 尽管目前 SolarWinds 还无法预估有多少客户可能直接受到该漏洞的影响。据现有的证据，没有其他 SolarWinds 产品受到此漏洞的影响。SolarWinds 目前无法直到可能受影响客户的身份”。 该漏洞被追踪为 CVE-2021-35211，主要影响 SolarWinds 旗下的 Serv-U Managed File Transfer 和 Serv-U Secure FTP 两款产品，被远程攻击者利用之后可以指定任意代码。SolarWinds 表示：“如果环境中没有启用SSH，那么该漏洞就不存在”、 微软威胁情报中心（MSTIC）和微软进攻性安全研究团队在今年 5 月发布的 Serv-U 15.2.3 HF1 中发现的这个漏洞，并确认影响到之前发布的所有版本。 SolarWinds 已通过发布 Serv-U 15.2.3 版热修复（HF）2 解决了微软报告的安全漏洞。该公司补充道，SolarWinds 旗下的其他产品和 N-able 产品（包括 Orion Platform 和 Orion Platform 模组）均不受 CVE-2021-35211 的影响。 这家位于美国的软件公司警告说：“SolarWinds在2021年7月9日星期五发布了一个热修复程序，我们建议所有使用Serv-U的客户立即安装这个修复程序，以保护您的环境”。SolarWinds提供了更多信息，说明如何查找您的环境在微软报告的攻击中是否受到损害。   （消息及封面来源：cnBeta）

虽然每月的补丁星期二活动微软都会发布一系列安全更新，但依然存在“漏网之鱼”。日前，国内安全公司深信服（Sangfor）发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局（CISA）的关注，微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”（Critical），因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪，并解释说，问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问，这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考，这个有问题的函数通常用于安装打印机驱动程序。然而，由于远程访问是不受限制的，这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序，使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是，微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题，但最新的进展并不在修复范围内。该公司表示，它正在积极调查这个问题，并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务，但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印，但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示，有问题的代码存在于所有版本的Windows中，但它仍在调查它是否也可以在所有版本中被利用。也就是说，由于该问题正在积极调查中，微软还没有给它一个漏洞评分，但也将其标记为 “关键”。   （消息及封面来源：cnBeta）

中国安全公司深信服（Sangfor）近日发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中，微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备，PrintNightmare 漏洞依然有效，并允许攻击者远程执行代码。 根据概念证明代码显示，黑客只需要一些（甚至是低权限）的网络凭证就可以利用该漏洞进行远程执行，而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到（尤其是勒索软件）的攻击，安全研究人员建议企业禁用其 Windows Print Spoolers。 影响版本 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server, version 2004 (Server Core installation) Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems     （消息及封面来源：cnBeta）

上周，MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞，或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称，该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码，进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出，受影响的设备数量超过了 3000 万台，并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源，其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助（SupportAssistant）服务的一部分，该公司在大多数 Windows 设备上都预装了它。 然而在客户机到服务器端的连接过程中，BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞，使得攻击者能够将特定的软件传送到用户设备上。 其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响，而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的，最终都可能导致 BIOS 中的任意代码执行。 研究人员建议所有受影响的设备用户手动执行 BIOS 更新，且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。 庆幸的是，目前戴尔已经承认了相关问题，并于今日发布了修补程序。该公司在支持页面上写道： DSA-2021-106：这是一项针对戴尔客户端平台的安全更新，旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。 下载地址： https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature   （消息及封面来源：cnBeta）