报告编号：B6-2021-021801

报告来源：360CERT

报告作者：360CERT

更新日期：2021-02-18

0x01事件导览

本周收录安全热点12项，话题集中在勒索软件、漏洞修复方面，涉及的组织有：CD PROJEKT RED、SAP、Adobe、Yandex等。代码仓库供应链攻击效果显著，代码上游安全管理需要重视。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02恶意程序

Cyberpunk 2077恶意mod可接管用户主机

日期: 2021年02月08日
等级: 高
作者: Lawrence Abrams
标签: Cyberpunk 2077, Mod, ASLR, Vulnerability
行业: 文化、体育和娱乐业
涉及组织: CD Projekt Red

CDProjektRed发布了一个Cyberpunk2077的修补程序，修复了一个代码执行漏洞，该漏洞可能被第三方数据文件修改和保存游戏文件所利用。攻击者利用缓冲区溢出漏洞，可以在计算机上执行命令，以及下载和安装恶意软件。若要避免此问题，请务必安装Cyberpunk2077热补丁1.12。

详情

CD PROJEKT RED游戏工作室遭勒索软件攻击

日期: 2021年02月09日
等级: 高
作者: Sergiu Gatlan
标签: CD PROJEKT RED, Cyberpunk 2077, Ransomware
行业: 文化、体育和娱乐业
涉及组织: CD PROJEKT RED

cyberpunk2077和Witcher三部曲背后的游戏开发工作室CDPROJEKTRED披露了一次影响其网络的勒索软件攻击。波兰游戏工作室在一份官方声明中说，攻击者破坏了内部网络，窃取了数据，并留下一张赎金纸条，攻击者声称，他们能够窃取Cyberpunk2077、Witcher3、Gwent的完整源代码，以及未发布的Witcher3版本的源代码。CDPROJEKTRED已经联系了相关部门，包括执法部门和个人数据保护办公室总裁，以及IT法医专家，以便全面调查这起事件。

详情

Egregor勒索软件运营商在乌克兰被捕

日期: 2021年02月14日
等级: 高
作者: Catalin Cimpanu
标签: Egregor, Ukraine, RaaS
行业: 跨行业事件

法国国际广播电台报道，Egregor勒索软件卡特尔的成员已在乌克兰被逮捕。Egregor团伙于2020年9月开始运作，以勒索软件即服务（RaaS）模式运作。他们依靠其他网络犯罪团伙策划对公司网络的入侵，并部署文件加密勒索软件。如果受害者支付了赎金，策划入侵的团伙将保留大部分资金，而Egregor团伙则从中分得一小部分。

详情

恶意Android应用劫持了数百万个设备

日期: 2021年02月08日
等级: 高
作者: Charlie Osborne
标签: Google Play, Lavabird
行业: 信息传输、软件和信息技术服务业
涉及组织: google

LavabirdLtd.的条形码扫描器是一款Android应用程序，多年来一直在谷歌官方应用程序库中提供下载。这款应用程序的安装量超过1000万次，它提供了二维码阅读器和条形码生成器。在2020年12月4日发布的一个软件更新后，应用程序变成了恶意软件，能够劫持多达1000万台设备，并投放大量的恶意广告。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 条件允许的情况下，设置主机访问白名单

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x03数据安全

Yandex系统管理员出售用户电子邮件访问权限

日期: 2021年02月12日
等级: 高
作者: Ionut Ilascu
标签: Yandex, Sysadmin, Sold Access
行业: 信息传输、软件和信息技术服务业
涉及组织: Yandex

俄罗斯互联网和搜索公司Yandex宣布，该公司的一名系统管理员启用了对数千个用户邮箱的未经授权访问。该公司表示，管理人员这样做是为了“个人经济利益”。目前尚不清楚该员工何时开始向第三方提供未经授权的访问，但以这种方式泄露的收件箱总数达4887个。Yandex将对管理访问程序进行更改，以提高用户数据的安全性。

详情

相关安全建议

1. 注重内部员工安全培训

2. 管控内部员工数据使用规范，谨防数据泄露并及时做相关处理

3. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

0x04网络攻击

黑客破坏奥尔兹马尔市供水设施

日期: 2021年02月08日
等级: 高
作者: Ionut Ilascu
标签: Oldsmar, TeamViewer, NaOH, Water Facility
行业: 水利、环境和公共设施管理业

一名黑客通过TeamViewer远程进入了佛罗里达州奥尔兹马尔市的水处理系统，并试图将氢氧化钠（NaOH）的浓度（也称为碱液和苛性钠）提高到极其危险的水平。供水设施及时发现了浓度超标的危险情况，并做了应急处理，由于及时的干预，入城水质没有问题。水和废水处理是目前存在的关键基础设施中风险最大的领域之一，同时，许多水务公司都是小型实体，资源不足，因此很难构筑一个强大的安全防护。

详情

PyPI，GitLab处理垃圾邮件攻击

日期: 2021年02月09日
等级: 高
作者: Catalin Cimpanu
标签: GitLab, PyPI, Spam Attacks
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab

PyPI是Python编程语言的官方软件包存储库，也是一个拥有数万个Python库的网站。从2021年初开始，垃圾邮件运营商一直在滥用Pypi上的功能：任何人都可以在PyPI网站上创建条目，为根本不存在的Python库生成页面。由此，PyPI库中充斥着1万多个垃圾广告页面，用于各种主题，从游戏到色情，从电影流媒体到赠品。2021年二月初，PyPI团队发表评论称，我们的管理员已经发现并开始解决垃圾邮件问题。同时，GitLab发现了一个新的攻击，攻击者向数千个GitLab项目的订阅者发送了垃圾邮件，每个项目都会向帐户持有人发送一封电子邮件。就像PyPI上的垃圾邮件一样，这些评论也会将用户重定向到可疑网站。

详情

研究人员通过供应链攻击威胁35家公司内部系统

日期: 2021年02月09日
等级: 高
作者: Ax Sharma
标签: Supply Chain, PyPI, npm, RubyGems
行业: 跨行业事件
涉及组织: google, apple, microsoft, nodejs, uber, github, Shopify, paypal

一名研究人员通过软件供应链攻击中，成功破解了微软、苹果、贝宝、Shopify、Netflix、Yelp、特斯拉和Uber等35家主要公司的内部系统。攻击包括将恶意软件上传到包括PyPI、npm和RubyGems在内的开源存储库，然后这些软件自动分发到公司内部应用程序的下游。这种特殊的供应链攻击更为复杂，因为它不需要受害者采取任何行动，而受害者会自动收到恶意软件包。由此，研究人员已经获得了超过13万美元的奖金。

涉及漏洞

- CVE-2021-24105

详情

相关安全建议

1. 软硬件提供商要提升自我防护能力，保障供应链的安全

2. 条件允许的情况下，设置主机访问白名单

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 积极开展外网渗透测试工作，提前发现系统问题

0x05其它事件

Adobe修复了在野利用的严重漏洞

日期: 2021年02月09日
等级: 高
作者: Lawrence Abrams
标签: Adobe, Adobe Reader, Command Execution
行业: 信息传输、软件和信息技术服务业
涉及组织: adobe

Adobe已经发布了安全更新，解决了AdobeReader中的本地任意代码执行漏洞--CVE-2021-21017，攻击者通过此漏洞，在目标上打开或者诱导目标用户打开恶意文档，可以直接接管目标机器。请尽快下载并更新AdobeReader到最新版本。

链接：

-https://helpx.adobe.com/security/products/acrobat/apsb21-09.html

-https://get.adobe.com/reader

涉及漏洞

- CVE-2021-21017

详情

Google：我们的新工具使开源安全漏洞更容易被发现

日期: 2021年02月08日
等级: 高
作者: Liam Tung
标签: Google, OSV, Vulnerability Databases
行业: 信息传输、软件和信息技术服务业
涉及组织: google

Google已启动了开放源代码漏洞（OSV）网站，该网站提供了一个漏洞数据库，可帮助您对开放源代码项目中的错误进行分类，并帮助开放源代码的维护者和使用者。同时，它还为开源社区提出了一个框架，以判断哪些项目应被视为重要项目，并对为这些项目做出贡献的开发人员制定更严格的规定。

详情

SAP Commerce严重安全漏洞

日期: 2021年02月10日
等级: 高
作者: Lindsey O'Donnell
标签: SAP, SAP Commerce, RCE
行业: 信息传输、软件和信息技术服务业
涉及组织: onapsis

SAP警告称，其针对电子商务业务的SAPCommerce平台存在严重漏洞。如果被利用，攻击者可直接执行远程代码。该漏洞（CVE-2021-21477）影响SAPCommerce版本1808、1811、1905、2005和2011。CVSS评分：9.9。

涉及漏洞

- CVE-2021-21465

- CVE-2021-21477

详情

WordPress插件漏洞使10万个站点遭受攻击

日期: 2021年02月11日
等级: 高
作者: Sergiu Gatlan
标签: Responsive Menu, WordPress
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

Wordpress中的插件--ResponsiveMenu存在任意文件上传和远程代码执行漏洞，利用此漏洞的攻击者可直接接管站点。该插件旨在帮助管理员创建W3C兼容且可移动的负责站点菜单，安装量超过10万。请使用此插件的用户务必在管理页面中尽快更新该插件。

目前wordpress在全球均有分布，具体分布如下图，数据来自于360 QUAKE

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x06产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07时间线

2021-02-18 360CERT发布安全事件周报

0x08特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。