安全資訊報告

REvil勒索軟體的關聯公司在全球範圍內被抓捕

羅馬尼亞執法當局宣佈逮捕兩名作為REvil勒索軟體家族成員的人，這對歷史上最多產的網路犯罪團伙之一造成了沉重打擊。

據歐洲刑警組織稱，據信嫌疑人策劃了5,000多次勒索軟體攻擊，並向受害者勒索了近600,000美元。這些逮捕發生在11月4日，是一項名為GoldDust的協調行動的一部分，該行動導致自2021年2月以來在科威特和韓國逮捕了另外三名REvil附屬公司和兩名與GandCrab有關聯的嫌疑人。

據稱，與這兩個勒索軟體家族有關的7名嫌疑人總共針對約7,000名受害者，同時要求支付超過2億歐元的數字贖金。

據華盛頓郵報報導，在美國網路司令部與外國政府合作破壞其Tor基礎設施，迫使其網站下線後，該犯罪集團上個月再次關閉了其業務。羅馬尼亞網路安全公司Bitdefender此後提供了一個免費的通用解密器，REvil受害者可以使用它來恢復他們的檔案並從2021年7月13日之前進行的攻擊中恢復。

獲得澳大利亞、比利時、加拿大、法國、德國、荷蘭、盧森堡、挪威、菲律賓、波蘭、羅馬尼亞、韓國、瑞典、瑞士、科威特、英國和美國，以及歐洲刑警組織、歐洲司法組織和國際刑警組織的支援。

新聞來源： 

https://thehackernews.com/2021/11/suspected-revil-ransomware-affiliates.html

德國醫療軟體公司敦促在勒索軟體攻擊後重置密碼

Medatixx是一家德國醫療軟體供應商，其產品在21,000多家醫療機構中使用，它敦促客戶在勒索軟體攻擊嚴重損害其整個運營後更改其應用程式密碼。該公司澄清說，影響尚未到達客戶，僅限於他們的內部IT系統，不應影響他們的任何PVS（實踐管理系統）。

由於未知在攻擊過程中竊取了哪些資料，威脅行為者可能已經獲取了Medatixx客戶的密碼。Medatixx建議客戶儘快更改密碼以確保安全。

據Heise Online稱，德國大約25%的醫療中心使用了Mediatixx解決方案，這可能是有史以來對該國醫療系統發起的最大網路攻擊。此外，德國新聞媒體推測攻擊者可能會從遠端維護系統中竊取使用者憑據。

這起事件發生在最糟糕的時刻，因為德國正在處理創紀錄的COVID-19病例數。大流行已經給該國的醫院帶來了壓力，他們最不需要的就是無法訪問基本的支援軟體工具或執行系統範圍的重置。

新聞來源： 

https://www.bleepingcomputer.com/news/security/medical-software-firm-urges-password-resets-after-ransomware-attack/

微軟：Windows 10 2004將於12月終止服務

微軟今天提醒使用者，所有版本的Windows 10 2004版和Windows Server 2004版（也稱為Windows 10May 2020更新）將於2021年12月14日終止服務。

對於終止支援的產品，Redmond將停止為新發現的漏洞提供技術支援、質量更新和安全修復。

微軟建議仍在使用終止服務軟體的客戶儘快升級到最新版本的Windows 10（21H1，也就是2021年5月更新）或Windows 11（如果他們有符合條件的裝置），以確保系統安全。

新聞來源： 

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-2004-reaches-end-of-service-next-month/

物聯網變得越來越大，但安全性仍然落後

五分之四的物聯網（IOT）裝置製造商的東西，可以在網路攻擊和侵犯隱私的風險可能把使用者裝置的，由不為人們提供公開的安全漏洞在他們的產品的方式失敗的基本網路安全的做法。

透過物聯網安全基礎研究（IoTSF）-一個高科技產業集團，其目的是幫助鼓勵確保物聯網-分析數百種流行的物聯網產品製造商和發現，僅僅只過了五分之一的廣告公共頻道在報告安全漏洞以便修復它們。

儘管包括英國、美國、新加坡、印度和澳大利亞在內的世界各國以及歐盟都試圖強調物聯網裝置網路安全的重要性以及能夠披露漏洞的能力。

報告指出，漏洞披露政策的一些缺失可能是由於“非傳統IT企業”首次進入物聯網市場，例如時尚供應商推出互聯產品或廚房電器製造商為其產品新增智慧功能。

物聯網裝置越來越成為家庭和辦公室的固定裝置。雖然許多家庭品牌確實確保他們的產品配備了良好的安全措施——報告引用了包括索尼、松下、三星、LG、谷歌、微軟、戴爾、聯想、亞馬遜、羅技和蘋果在內的科技公司——但消費者通常會購買不太注重安全性的更便宜的替代品。

這意味著如果發現安全漏洞並且無法通知製造商，則可能會使使用者處於危險之中。對於似乎已經關閉的公司來說尤其如此——報告指出，有些公司已經這樣做了——這意味著即使有辦法報告漏洞，也不太可能得到修復。

新聞來源： 

https://www.zdnet.com/article/these-cybersecurity-vulnerabilities-could-leave-millions-of-connected-medical-devices-open-to-attack

安全漏洞威脅

Sitecore XP平臺的關鍵漏洞被攻擊者利用

澳大利亞網路安全中心(ACSC)警告說，攻擊者已開始瞄準Sitecore XP平臺(Sitecore XP)中的一個關鍵遠端程式碼執行漏洞。跟蹤為CVE-2021-42237的安全漏洞最初於10月8日詳細說明，當時Sitecore為使用其企業內容管理系統(CMS)的組織提供了緩解措施。

該漏洞被描述為一個遠端程式碼執行錯誤，“該漏洞適用於所有執行受影響版本的Sitecore系統，包括單例項和多例項環境、託管雲環境以及所有暴露的Sitecore伺服器角色（內容交付、內容編輯、報告、處理等）到網際網路，”該公司解釋說。

安全研究人員釋出了有關該漏洞的詳細資訊以及概念驗證(POC)程式碼，基本上允許攻擊者建立漏洞並開始瞄準易受攻擊的網站。

新聞來源：  

https://www.securityweek.com/critical-flaw-sitecore-experience-platform-exploited-attacks

微軟釋出2021年11月安全更新，修復2個高危漏洞

11月10日，微軟如期釋出了11月例行安全更新，修復Windows、Office等系列產品和元件中至少55個安全漏洞。本月安全更新修復了6個0day，55個漏洞中有6個被評為“嚴重”，重要級49個。按漏洞型別分，含遠端程式碼執行漏洞15個，許可權提升20個，資訊洩露漏洞10個，拒絕服務3個，安全功能繞過2個。

被積極利用的漏洞針對Microsoft Exchange和Excel。騰訊安全專家建議所有使用者儘快升級安裝補丁，推薦採用Windows更新、或騰訊電腦管家、騰訊零信任iOA的漏洞掃描修復功能安裝補丁。

以下三個高危漏洞須重點關注：

• CVE-2021-42292：

  Microsoft Excel安全功能繞過漏洞

CVSS評分7.8，重要級，該漏洞被Microsoft威脅情報中心發現被用於野外惡意攻擊。漏洞影響Office2013、2016、2019、2021、Office365的各個版本。

• CVE-2021-42321：

  Microsoft Exchange Server遠端程式碼執行漏洞

該漏洞是一個經過身份驗證的遠端程式碼執行漏洞，在上個月的天府杯駭客大賽中被披露，漏洞影響ExchangeServer2016、2019版本。

CVSS評分：8.8，為嚴重級，漏洞EXP已公開，已檢測到野外利用。

• CVE-2021-42298：

  Microsoft Defender遠端程式碼執行漏洞

該漏洞CVSS評分7.8，嚴重級，利用評估為“更有可能被利用”。使用者透過Windows安全更新可自動修復該漏洞。

新聞來源：  

https://mp.weixin.qq.com/s/cL_KShagfFvVh-6X98cNCQ

網路安全漏洞可能會使數百萬連線的醫療裝置受到攻擊

醫院網路中使用的數百萬個連線裝置中的關鍵漏洞可能使攻擊者能夠破壞醫療裝置和患者監護儀，以及控制整個設施的系統和裝置（例如照明和通風系統）的物聯網裝置。易受攻擊的TCP/IP堆疊——連線裝置中常用的通訊協議——也部署在其他行業，包括工業部門和汽車行業。

Forescout和Medigate的網路安全研究人員詳細介紹了Nucleus NetT CP/IP堆疊中新披露的13個漏洞。這些漏洞可能存在於基於Nucleus TCP/IP堆疊的數百萬裝置中，並可能允許攻擊者進行遠端程式碼執行、拒絕服務攻擊甚至洩漏資料——研究人員不能肯定漏洞已被積極利用。

Nucleus TCP/IP堆疊最初於1993年釋出，至今仍廣泛用於關鍵安全裝置，特別是在醫院和醫療保健行業，它們用於麻醉機、患者監護儀和其他裝置，以及至於控制照明和通風的樓宇自動化系統。

在研究人員確定的三個關鍵漏洞中，CVE-2021-31886構成的威脅最大，通用漏洞評分系統(CVSS)得分為10分（滿分10分）。這是（檔案傳輸協議）FTP伺服器中的一個漏洞，它沒有正確驗證使用者命令的長度，導致基於堆疊的緩衝區溢位，可用於拒絕服務和遠端程式碼執行。

其餘兩個關鍵漏洞的CVSS得分均為9.9。CVE-2021-31887是FTP伺服器中未正確驗證PWD或XPWDFTP伺服器命令長度的漏洞，而CVE-2021-31888是當FTP伺服器未正確驗證長度時發生的漏洞MKD或XMKDFTP命令。兩者都可能導致基於堆疊的緩衝區溢位，從而允許攻擊者開始拒絕服務攻擊或遠端啟動程式碼。

新聞來源：  

https://www.zdnet.com/article/these-cybersecurity-vulnerabilities-could-leave-millions-of-connected-medical-devices-open-to-attack

Clop gang在勒索軟體攻擊中利用Solar WindsServ-U漏洞

Clop勒索軟體團伙（也稱為TA505和FIN11）正在利用SolarWinds Serv-U漏洞破壞企業網路並最終對其裝置進行加密。

Serv-U託管檔案傳輸和Serv-U安全FTP遠端程式碼執行漏洞（編號為CVE-2021-35211）允許遠端威脅參與者以提升的許可權在易受攻擊的伺服器上執行命令。SolarWinds於2021年7月釋出了緊急安全更新。

在NCC發現的新攻擊中，攻擊者利用Serv-U生成一個由攻擊者控制的子程式，從而使他們能夠在目標系統上執行命令。這為惡意軟體部署、網路偵察和橫向移動開闢了道路，基本上為勒索軟體攻擊奠定了基礎。

此漏洞被利用的一個典型標誌是Serv-U日誌中的異常錯誤，這是在利用該漏洞時引起的。

新聞來源：  

https://www.bleepingcomputer.com/news/security/clop-gang-exploiting-solarwinds-serv-u-flaw-in-ransomware-attacks/

微軟敦促Exchange管理員修補高危漏洞

微軟今天警告管理員立即修補一個高嚴重性的Exchange Server漏洞，該漏洞可能允許經過身份驗證的攻擊者在易受攻擊的伺服器上遠端執行程式碼。

被追蹤為CVE-2021-42321的安全漏洞影響Exchange Server 2016和Exchange Server 2019，這是由於根據雷德蒙德的安全公告對cmdlet引數的驗證不當造成的。

CVE-2021-42321僅影響本地Microsoft Exchange伺服器，包括客戶在Exchange混合模式下使用的伺服器（Exchange Online客戶受到保護，免遭攻擊嘗試，無需採取任何進一步措施）。

微軟解釋說：“我們知道使用其中一個漏洞(CVE-2021-42321)進行的有限針對性攻擊，這是Exchange 2016和2019中的一個身份驗證後漏洞。”微軟建議立即安裝這些更新以保護系統。

新聞來源：  

https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-patch-bug-exploited-in-the-wild/