摘要

政策法规方面

来自美国、欧盟和其他30个国家的代表在由美国主导的虚拟反勒索软件倡议会议上承诺降低勒索软件的风险并加强金融系统免受破坏生态系统的攻击。

漏洞态势方面

思科研究人员在中兴通讯MF971RLTE便携式路由器中发现了多个漏洞，面临远程代码执行的风险。甲骨文10月发布其最新的季度重要补丁更新，其中包括针对公司产品漏洞的总共419个安全补丁。瞻博网络发布了40多个安全公告，修复了影响其公司产品的70多个漏洞。压缩工具WinRAR试用版5.70被曝存在漏洞，可被用于远程代码执行。思科在Nitro Pro PDF阅读器中也发现了多个漏洞，攻击者可以利用这些漏洞在应用程序上下文中执行代码。谷歌发布了其Chrome浏览器的版本更新，一共包括19个漏洞的补丁。下载量高达百万的WordPress插件中存在严重漏洞，攻击者可利用其访问凭据并接管管理员帐户。

安全事件方面

美国FBI、CISA、EPA和NSA发布了联合警报，该警报描述了三个以前未报告的勒索软件攻击，每次攻击供水设施的SCADA系统都受到了影响。国家互联网应急中心CNCERT发现了一起大规模的物联网安全事件，披露影响国内数百万IoT设备的僵尸网络Pink。美国政府就BlackMatter勒索软件发出紧急警告，宣称BlackMatter勒索软件团伙构成的威胁越来越大。

融资并购方面

威胁检测公司SOC Prime融资1100万美元，将继续加速开拓市场。客户数据隐私提供商Skyflow融资4500万美元，该公司表示希望利用新投资进一步壮大其销售、营销和工程团队。安全访问服务边缘提供商Cato Networks获得2亿美元融资，该公司表示这笔资金将用于推动销售、技术和业务增长。安全调查平台提供商Query.AI完成1500万美元A轮融资，这笔资金将被用于扩大产品开发规模。

1、32个国家在美国主导的全球会议上承诺打击勒索软件攻击

来自美国、欧盟和其他 30 个国家的代表在由美国主导的虚拟反勒索软件倡议会议上承诺降低勒索软件的风险并加强金融系统免受破坏生态系统的攻击，称其为“不断升级的全球安全威胁，具有严重的经济和安全后果。 ”
其联合声明表示：“勒索软件对关键基础设施、基本服务、公共安全、消费者保护、隐私以及经济构成重大风险，从危害病人护理的针对当地卫生服务提供者的恶意操作，到针对限制其向公众提供燃料、杂货或其他商品能力的企业的操作，都是如此。”
为此，预计将通过采用网络卫生良好做法来提高网络弹性，例如使用强密码、通过多因素身份验证保护帐户、维护定期离线数据备份、保持软件最新以及提供培训以防止单击可疑链接或打开不受信任的文档。
除了促进勒索软件受害者与相关执法和网络应急响应团队 (CERT) 之间的事件信息共享外，该计划还旨在改进有效应对此类攻击的机制，同时打击滥用金融基础设施进行赎金支付的行为。
联合公报由澳大利亚、巴西、保加利亚、加拿大、捷克共和国、多米尼加共和国、爱沙尼亚、欧盟、法国、德国、印度、爱尔兰、以色列、意大利、日本、肯尼亚、立陶宛、墨西哥、荷兰、新西兰、尼日利亚、波兰、大韩民国、罗马尼亚、新加坡、南非、瑞典、瑞士、乌克兰、阿联酋、英国和美国发布，值得注意的是中国和俄罗斯不在名单中。
资料来源：https://thehackernews.com/2021/10/over-30-countries-pledge-to-fight.html

2、中兴MF971RLTE路由器存在多个漏洞

Cisco Talos在中兴通讯MF971RLTE便携式路由器中发现了多个漏洞。MF971R是一款支持Wi-Fi的便携式路由器，可用作LTE/GSM调制解调器。攻击者可以通过向目标设备发送特制的HTTP请求来利用这些漏洞。
CVE-2021-21748和CVE-2021-21749是基于堆栈的缓冲区溢出漏洞。攻击者可以利用这些问题在目标设备上执行任意远程代码。CVE-2021-21746和CVE-2021-21747是跨站点脚本漏洞，攻击者可以利用这些漏洞在受害者的浏览器中执行任意JavaScript。在这种情况下，攻击者需要诱使用户打开由其控制的用于托管恶意HTTP请求的URL。攻击者还可以利用CVE-2021-21744导致配置文件条目覆盖。最后，路由器中存在CVE-2021-21743，这是一个CRLF注入漏洞。受害者无需登录即可让攻击者利用此漏洞。
思科鼓励用户更新这些受影响的产品尽快：中兴通讯路由器MF971R，版本wa_inner_version：BD_LVWRGBMF971RV1.0.0B01，wa_inner_version：BD_PLKPLMF971R1V1.0.0B06，zte_topsw_goahead-MD5B2176B393A97B5BA13791FC591D2BE3F和zte_topsw_goahead-MD5bf5ada32c9e8c815bfd51bfb5b8391cb。Talos测试并确认这些版本的MF971R路由器可以被此漏洞利用。
资料来源：https://blog.talosintelligence.com/2021/10/vuln-spotlight-.html?&web_view=true

3、Oracle 10月发布419个安全补丁

甲骨文发布其最新的季度重要补丁更新，其中包括针对公司产品漏洞的总共419个安全补丁，超过一半的补丁修复了无需身份验证即可远程利用的漏洞。在419个安全补丁中，共修复了36个严重漏洞，其中有一个的CVSS评分为10，修复了60个CVSS评分分在8到9之间的漏洞。
关于Oracle Communications的补丁数量最多，有71个，其中56个漏洞无需身份验证即可被远程利用。对MySQL也进行了大量修复，包括66个补丁。其中10个已解决问题的利用可以远程完成，无需身份验证。金融服务应用程序收到了44个安全补丁（其中26个漏洞可以被远程、未经身份验证的攻击者利用），而融合中间件收到了38个（30个安全漏洞，无需身份验证即可远程利用）。
其他获得超过10个安全修复程序的Oracle软件包括零售应用程序（26个补丁——包括9个无需身份验证即可远程利用的缺陷）、通信应用程序（19-14个）、电子商务套件（18-4个）、PeopleSoft（17-8个）)、保险应用(16–11)、Java SE(15–13)、建筑与工程(12–7)和JD Edwards(11–8)。
Oracle还发布了针对Commerce、数据库服务器、Essbase、企业管理器、Golden Gate、图形服务器和客户端、健康科学应用程序、酒店应用程序、Hyperion、REST数据服务、安全备份、Siebel CRM、供应链、系统、公用事业应用程序、和虚拟化。
资料来源：https://www.securityweek.com/oracles-october-2021-cpu-includes-419-security-patches

4、瞻博网络修复其产品中的严重漏洞

网络安全解决方案提供商瞻博网络发布了40多个安全公告，修复了影响其公司产品的70多个漏洞。
大约一半的公告描述了严重和高危漏洞，包括可用于拒绝服务(DoS)攻击、远程代码执行（包括通过XSS攻击）、权限提升和安全绕过的漏洞。许多漏洞是通过使用第三方组件引入的。大多数安全漏洞都会影响瞻博网络的Junos OS操作系统，该操作系统支持该公司的许多产品。其中一份公告描述了影响128 Technology Session Smart Routers的身份验证绕过漏洞。攻击者可以利用该漏洞“查看内部文件、更改设置、操纵服务和执行任意代码”。
瞻博网络已发布更新和修补程序以解决本周披露的漏洞，并且在某些情况下，还提供变通方法和缓解措施来防止或降低被利用的风险。瞻博网络表示，许多漏洞是在内部产品安全测试或研究期间发现的。没有迹象表明这些缺陷中的任何一个已被广泛利用。美国网络安全和基础设施安全局(CISA)指示组织审查瞻博网络的建议并应用必要的更新。
资料来源：https://www.securityweek.com/juniper-networks-patches-over-70-vulnerabilities

5、WinRAR中的漏洞可导致远程代码执行

Positive Technologies研究员Igor Sak-Sakovskiy在被广泛使用的压缩工具WinRAR应用程序中发现了一个漏洞CVE-2021-35052，该漏洞影响该程序的试用版5.70。此漏洞允许攻击者拦截和修改发送给应用程序用户的请求，这可用于在受害者的计算机上实现远程代码执行(RCE)。
研究人员安装了该软件并注意到它产生了JavaScript错误，具体错误表明InternetExplorer正在呈现此错误窗口。经过一系列测试，研究人员注意到试用期结束后，软件开始显示错误消息。用于显示错误的这个窗口使用了编写WinRAR的BorlandC++的mshtml.dll实现。研究人员使用BurpSuite作为默认的Windows代理来拦截显示消息时产生的流量。
对WinRAR通过“notifier.rarlab[.]com”提醒用户免费试用期结束时发送的响应代码的分析表明，如果可以将重定向消息修改为“301 Moved Permanently”重定向消息，则可以将重定向缓存到恶意域以获取任何后续请求。研究人员还注意到，访问同一网域的攻击者通过ARP欺骗攻击远程启动应用程序、检索本地主机信息、运行任意代码。
资料来源：https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html

6、谷歌修复Chrome 95浏览器中的19个漏洞

谷歌发布了其Chrome网络浏览器的新版本，共有19个漏洞的补丁。谷歌在一份公告中表示，这些问题中最严重的是CVE-2021-37981，这是Skia中的堆缓冲区溢出漏洞，为此支付了20,000美元的赏金。修复了隐身组件中的释放后使用漏洞CVE-2021-37982和开发工具中的释放后使用漏洞CVE-2021-37983。谷歌表示，它为这些漏洞中的每一个的数据提供了10,000美元的赏金。
此浏览器版本修复的其余两个高危漏洞是PDFium中的堆缓冲区溢出漏洞CVE-2021-37984和V8中的释放后使用漏洞CVE-2021-37985，这家互联网搜索巨头分别为此支付了7,500美元和5,000美元。
随着Chrome 95的发布，另外三个释放后使用漏洞（在网络API、配置文件和PDF可访问性中）的严重程度为中等，设置中的堆缓冲区溢出、Blink和WebView中不适当的实现和WebAudio中的越界读取也是如此。
本周解决的两个低严重性漏洞是iFrame Sandbox和WebApp Installer中的两个不适当的实施漏洞。
资料来源：https://www.securityweek.com/google-patches-19-vulnerabilities-chrome-95-browser-refresh

7、Nitro Pro PDF 存在代码执行漏洞

Cisco Talos在Nitro Pro PDF阅读器中发现了多个漏洞，攻击者可以利用这些漏洞在应用程序上下文中执行代码。Nitro Pro PDF是Nitro Software的Productivity Suite的一部分。Pro PDF允许用户创建和修改PDF和其他数字文档。它包括通过第三方库支持多种功能来解析PDF。
CVE-2021-21796是一个释放后使用漏洞，如果目标打开特制的恶意PDF，就会触发该漏洞。CVE-2021-21797是一个双重释放漏洞，它可以导致对超时对象的引用存储在两个不同的地方，最终导致能够在应用程序的上下文中执行代码。
Nitro目前正在开发针对这些问题的补丁，但尚未发布。思科鼓励用户尽快更新这些受影响的产品：NitroPro版本13.31.0.605和13.33.2.645。Talos测试并确认这些版本的PDF阅读器可被此漏洞利用。除了应用补丁之外，如果用户在软件设置中禁用JavaScript的使用，这些漏洞也可以得到缓解。
资料来源：https://blog.talosintelligence.com/2021/10/vuln-spotlight-nitro-pro.html?&web_view=true

8、下载量高达百万的WordPress插件中存在严重漏洞

WordPress插件Fastest Cache中的漏洞可能允许攻击者访问凭据并接管管理员帐户。Jetpack Security在对该软件的内部审计期间发现了该扩展程序中的安全漏洞，该扩展程序的活跃下载量超过一百万。
第一个漏洞是一个CVSS评分为7.7的SQL注入漏洞，它可以允许攻击者访问受影响站点数据库中的特权信息，例如用户名和散列密码。只有在网站上安装并激活了经典编辑器插件时，才能利用此SQL注入错误。
研究人员还通过跨站请求伪造(CSRF)漏洞发现了一个跨站脚本(XSS)漏洞，其CVSS评分为9.6。利用此漏洞将允许攻击者执行与其受害者（可能是管理员用户）有权执行的操作相同的操作。同一个研究团队还发现，他们有能力在受影响的目标上存储“流氓JavaScript”。
研究人员敦促Fastest Cache用户更新到最新版本0.9.5以防止这些漏洞被利用。
资料来源：https://portswigger.net/daily-swig/injection-vulnerabilities-in-popular-wordpress-plugin-could-expose-credentials-allow-admin-access?&web_view=true

9、勒索软件攻击了美国3个供水设施的SCADA系统

美国FBI、CISA、EPA和NSA发布了联合警报，称有关水和废水行业的组织正在进行网络攻击。该警报还描述了三个以前未报告的勒索软件攻击，这些攻击影响了供水设施的工业控制系统(ICS)。
该警报提供了过去几年由恶意内部人员和外部威胁参与者进行的攻击的几个示例。这些例子包括今年发生但之前没有公开的三起事件。在每一次攻击中，监控和数据采集(SCADA)系统都受到了影响。
在3月份发生的一起事件中，网络犯罪分子使用未知勒索软件攻击内华达州的一个供水设施。该恶意软件影响了SCADA和备份系统，但机构指出，SCADA系统仅提供监控和可见性功能，它“不是一个完整的工业控制系统”。
另一起事件发生在7月，目标是缅因州的一家工厂。黑客部署了ZuCaNo勒索软件，该软件已进入废水SCADA计算机。“处理系统是手动运行的，直到使用本地控制和更频繁的操作员巡查恢复SCADA计算机。”这些机构在他们的警报中说。
第三次新披露的攻击发生在8月。威胁行为者在加利福尼亚州一家水厂的系统上部署了一种名为Ghost的勒索软件。该勒索软件是在首次违规大约一个月后发现的，当时该组织注意到三台SCADA服务器显示勒索软件消息。
据政府称，有超过150,000个公共供水系统为数百万美国人提供饮用水，废水处理设施处理大约340亿加仑的废水。美国将供水和废水系统归类为国家关键功能，它们的破坏或腐败将“对安全、国家经济安全、国家公共健康或安全，或其任何组合产生削弱作用”。
资料来源：https://www.securityweek.com/ransomware-hit-scada-systems-3-water-facilities-us

10、CNCERT披露影响国内数百万IoT设备的僵尸网络Pink

2019年12月，根据安全社区提供的线索，国家互联网应急中心CNCERT发现了一起大规模的物联网安全事件。多方联合的分析与定位结果显示，此次事件中，黑客通过入侵某网络运营商的家庭用户设备并植入恶意程序，持续地使这些设备变成新的僵尸节点，进而构建起了一个超大规模的僵尸网络。根据所涉运营商和设备厂商的初步评估，被黑客入侵并控制的设备数量超过百万，其中96%以上的受害者分布在中国境内。这次攻击事件中受控的设备数量特别巨大，是历史上已公开领域内的规模最大的物联网僵尸网络。
Pink恶意程序从功能上可以划分为3个模块：植入、驻留、控制。当Pink恶意程序被植入设备并运行后，它会主动封堵设备的自动升级通道，大大增加了应急处置和在线修复的难度，危害程度极高。通过对该事件的深入分析，CNCERT认为，此次攻击事件已经超出了僵尸网络的范畴，是一次高级定向攻击事件。
2020年初的监测数据显示：在不到1分钟的时间内，向控制服务器C2发起连接的感染端IP数超过百万。另据所涉运营商和设备厂商的初步评估，被黑客入侵并控制的设备数量在数百万级。综上，依据多方独立的测量结果，我们认定Pink僵尸网络控制的节点数量在其峰值期超过百万。根据感染IP地址的定位数据，被感染设备主要位于北京(18.8%)、山东(16.4%)、山西(12.6%)、浙江(12.3%)等。
鉴于该僵尸网络的规模和影响，CNCERT发现该事件后，已第一时间通报给涉事网络运营商和相关主管部门，并联系设备厂商，协助处理和解决受影响的设备。
资料来源：https://mp.weixin.qq.com/s/_o2DFAnrLwsiqS3GDlafWw

11、美国政府就BlackMatter勒索软件发出紧急警告

美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)本周发布了一份联合咨询报告，用于警告组织机构BlackMatter勒索软件团伙构成的威胁越来越大。
BlackMatter自2021年7月开始活跃，据信是DarkSide的继任者，DarkSide是一种勒索软件即服务(RaaS)，于2021年5月关闭运营。DarkSide负责多次备受瞩目的勒索软件攻击。根据联合咨询，BlackMatter勒索软件已经针对美国的多个关键基础设施实体，包括食品和农业部门的两个组织。
在典型的BlackMatter攻击中，勒索软件运营商使用受损凭据并滥用轻量级目录访问协议(LDAP)和服务器消息块(SMB)协议来访问组织的Active Directory(AD)并破坏网络上的所有主机和共享驱动器。
“BlackMatter参与者对基于Linux的机器使用单独的加密二进制文件，并定期加密ESXi虚拟机。BlackMatter参与者不是加密备份系统，而是擦除或重新格式化备份数据存储和设备。”这些机构表示。合法工具和攻击者创建的帐户被滥用以远程、持久地访问受感染环境，威胁行为者还试图窃取受害者的数据以用于勒索。
为了减轻BlackMatter和其他勒索软件系列带来的威胁，建议所有类型的组织实施检测签名、对所有帐户使用强密码、实施多因素身份验证、保持系统更新、限制用户对资源的访问以及使用防火墙和网络分段。
这些机构表示，除了实施勒索软件响应计划外，网络管理员还应保持所有数据离线备份并确保备份加密，并实施工具以检测其环境中的异常活动。
资料来源：https://www.securityweek.com/us-government-issues-urgent-warning-blackmatter-ransomware

12、网络靶场先行者赛宁网安再获2亿国有资本注资

近日，南京赛宁信息技术有限公司（简称：赛宁网安）完成2亿元C轮融资，本轮融资全部为国有资本，由毅达资本、南京高科联合主投，动平衡资本作为原股东继续加持。本轮融资后赛宁网安表示将持续加大产品研发和市场投入，加速构建专业化产品及销售体系，以帮助客户构建攻防实战对抗能力为使命、以打造网络靶场全球第一品牌为目标，为各行业客户提供更加优质的产品和服务。
作为专业的网络靶场提供商，赛宁网安首创“ 一云•六系”产品体系。一云为赛宁云，六系为学、训、赛、演、评、战。赋能企业网络安全人才培养，助力用户转变安全防护模式，从被动防御转变为主动发现，为安全生产保驾护航。提升国家网络安全防护能力，共建网络强国。
资料来源：https://mp.weixin.qq.com/s/UHM18erJFnxabSDPSp-uFA

13、威胁检测公司SOC Prime融资1100万美元

威胁检测公司SOC Prime宣布已在A轮融资中筹集了1100万美元。该公司表示，新资本将帮助其加速其市场的开拓，这使安全研究人员能够将其内容货币化，以帮助组织抵御网络攻击。在该公司的内容即服务(CaaS)平台上，安全团队可以从大约400名研究人员那里找到精心策划的基于Sigma的最新威胁检测内容。该公司表示，超过6,000家企业、政府和MDR已经可以订阅该平台，该平台为现有的SIEM或XDR系统提供超过130,000次检测。
该公司的威胁检测市场收集的威胁检测内容（规则、查询和仪表板）与MITREATT&CK框架保持一致。“我们的威胁检测市场由业内最多样化、赏金驱动的威胁狩猎社区提供支持，我们致力于赋予他们权力，因为他们提供及时、有影响力的检测，帮助组织采用协作防御方法来更有效地对抗数字威胁。”SOC Prime创始人兼首席执行官Andrii Bezverkhyi表示。
资料来源：https://www.securityweek.com/threat-detection-marketplace-soc-prime-raises-11-million

14、客户数据隐私提供商Skyflow融资4500万美元

客户数据隐私公司Skyflow宣布已在B轮融资中筹集了4500万美元。本轮融资由Insight Partners领投。Mouro Capital、MS&AD Ventures、Canvas Ventures、Foundation Capital跟投。Skyflow表示，它希望利用新投资进一步壮大其销售、营销和工程团队。该公司计划到2022年底雇用100名新员工。
该公司寻求简化企业管理、访问和治理敏感客户数据的方式。它提供了一个零信任数据保险库和一个API，组织可以使用它来创建应用程序和工作流。Skyflow成立于2019年，总部位于加利福尼亚州帕洛阿尔托，帮助公司保护用户的财务、个人和医疗数据安全。
Skyflow的解决方案被北美金融科技和数字健康领域的公司使用，包括信用卡平台、保险科技公司、新银行、医疗设备初创公司以及处理临床试验数据的组织。该公司的保险库也可在亚太和欧洲、中东和非洲地区使用。
资料来源：https://www.securityweek.com/customer-data-privacy-provider-skyflow-raises-45-million

15、安全访问服务边缘提供商Cato Networks获得2亿美元融资

以色列安全访问服务边缘(SASE)提供商Cato Networks宣布获得2亿美元融资。本轮融资由Lightspeed Venture Partners领投，Greylock、Aspect Ventures / Acrew Capital、Coatue、Singtel Innov8和Shlomo Kramer跟投。该公司表示这笔资金将用于推动销售、技术和业务增长。
Cato开发了一个云原生SASE平台，旨在安全、优化地连接组织的数据中心、分支机构、用户和云资源。客户的流量通过Cato的平台，在那里进行威胁分析。该公司表示，其平台已被1,000多家客户使用，其中包括主要组织。它声称数十家大企业在Cato的SASE平台上花费超过250,000美元，有些甚至花费超过100万美元。
“Cato处于SASE转型的最前沿，”Cato Networks的首席执行官兼联合创始人Shlomo Kramer表示，“大型企业正在将Cato部署为他们的全球网络，以从Cato经过验证且成熟的SASE平台中获得运营和业务优势。Cato正在迅速扩展其服务能力、全球足迹以及销售和营销团队，同时保留我们独特的敏捷性、简单性和轻松开展业务的DNA，这些DNA深受客户和合作伙伴的重视。”
资料来源：https://www.securityweek.com/sase-firm-cato-networks-raises-200-million-25-billion-valuation

16、安全调查平台提供商Query.AI完成1500万美元A轮融资

Query.AI是一家为企业开发安全调查平台的公司，10月19号宣布其在A轮融资中筹集了1500万美元。本轮融资由SYN Ventures领投，ClearSky Security和South Dakota Equity Partners跟投。这笔资金将被用于扩大产品开发规模。
Query.AI开发了安全调查控制平台，这是一个基于浏览器的平台，组织可以使用它进行调查和事件响应。该平台提供对跨云、本地和SaaS应用程序数据的实时访问和集中洞察，而无需从其本地位置复制数据。该平台可以与许多第三方SIEM和日志管理、端点安全、威胁情报、云基础设施和安全、网络、漏洞管理、身份和HR、安全仪器、电子邮件和通信、业务分析以及票务和CRM产品集成。
资料来源：https://www.securityweek.com/queryai-raises-15-million-series-funding-round