信息清静周报-2021年第49周

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2021年第49周

宣布时间 2021-12-06

>本周清静态势综述

本周共收录清静误差58个，，，，，，值得关注的是Dell Emc Streaming Data Platform sql注入误差；；；；；；EFM ipTIME C200 IP Camera恣意下令执行误差；；；；；；ohmyzsh rand-quote和hitokoto插件恣意下令执行误差；；；；；；Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差；；；；；；Sunnet eHRD会见控制代码执行误差。。。

本周值得关注的网络清静事务是TP-Link修复其Wi-Fi 6路由器中的代码执行误差；；；；；；IEEE宣布2022年及未来十年要害手艺的展望报告；；；；；；日本电器公司松下确认长达4个月之久数据泄露事务；；；；；；暗网市场Cannazon遭到大规模DDoS攻击后永世关闭；；；；；；Kaspersky披露APT37使用Chinotto攻击韩国的活动。。。

凭证以上综述，，，，，，本周清静威胁为中。。。

>主要清静误差列表

1. Dell Emc Streaming Data Platform sql注入误差

Dell Emc Streaming Data Platform保存sql注入误差，，，，，，允许远程攻击者可以使用误差提交特殊的SQL请求，，，，，，操作数据库，，，，，，可获取敏感信息或执行恣意代码。。。

https://www.dell.com/support/kbdoc/zh-cn/000193697/dsa-2021-205-dell-emc-streaming-data-platform-security-update-for-third-party-vulnerabilities

2. EFM ipTIME C200 IP Camera恣意下令执行误差

EFM ipTIME C200 IP Camera与ipTIME NAS同步时保存清静误差，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，可以应用程序上下文执行恣意代码。。。

http://iptime.com/iptime/?page_id=126&diffid=&dfsid=19&dftid=541

3. ohmyzsh rand-quote和hitokoto插件恣意下令执行误差

ohmyzsh rand-quote和hitokoto插件保存清静误差，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，可以应用程序上下文执行恣意代码。。。

https://github.com/ohmyzsh/ohmyzsh/commit/72928432

4. Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差

Open Solutions For Education openSIS GetStuListFnc.php保存sql注入误差，，，，，，允许远程攻击者可以使用误差提交特殊的SQL请求，，，，，，操作数据库，，，，，，可获取敏感信息或执行恣意代码。。。

https://github.com/OS4ED/openSIS-Classic/issues/202

5. Sunnet eHRD会见控制代码执行误差

Sunnet eHRD未准确限制来自未授权角色的资源会见，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，可以应用程序上下文执行恣意代码。。。

https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html

>主要清静事务综述

1、TP-Link修复其Wi-Fi 6路由器中的代码执行误差

Resecurity研究职员TP-Link的装备中保存远程代码执行误差。。。受影响装备的型号为TL-XVR1800L，，，，，，是企业级AX1800双频千兆Wi-Fi 6无线VPN路由器。。。攻击者可使用该误差完全控制装备或窃取敏感数据，，，，，，它可能还保存于统一系列的其他装备中。。。Resecurity在10月上旬发明了针对该装备的攻击活动，，，，，，并于11月19日通知了TP-Link，，，，，，TP-Link在第二天确认了该误差并允许会在一周内宣布补丁。。。

原文链接：

https://securityaffairs.co/wordpress/125016/hacking/0-day-tp-link-wi-fi-6.html

2、IEEE宣布2022年及未来十年要害手艺的展望报告

IEEE在近期宣布了未来要害手艺的展望报告。。。报告视察了来自美国、英国、中国、印度和巴西的350位CTO、CIO和IT总监，，，，，，展望了2022年最主要的手艺、来年受手艺影响最大的行业以及未来十年的手艺趋势。。。21%的受访者以为人工智能和机械学习将成为明年最主要的手艺，，，，，，其次为云盘算(20%)和5G(17%)；；；；；；25%的人以为制造业会是2022年受手艺影响最大的行业，，，，，，其次为金融效劳(19%)、医疗保健(16%)和能源(13%)行业。。。

原文链接：

https://transmitter.ieee.org/impact-of-technology-2022/

3、日本电器公司松下确认长达4个月之久数据泄露事务

日本跨国公司松下Panasonic在上周五宣布声明，，，，，，确认其部分数据已经泄露。。。攻击爆发在6月22日，，，，，，但直到11月11日才被发明。。。经由内部视察确定，，，，，，攻击者已在这4个月中会见了效劳器上的部分数据。。。该公司没有提供其它详细信息，，，，，，但日本新闻网站Mainichi和NHK报道称，，，，，，攻击者已经获得了公司手艺、相助同伴及公司员工等相关信息。。。早在2020年11月，，，，，，松下印度分公司曾因网络攻击泄露了财务等相关信息。。。

原文链接：

https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/

4、暗网市场Cannazon遭到大规模DDoS攻击后永世关闭

2021年11月23日，，，，，，暗网市场Cannazon的治理员宣布将永世关闭该网站。。。据悉，，，，，，该网站在11月初遭到了大规模DDoS攻击，，，，，，治理员通过镌汰订单数目和关闭部分系统以缓解问题。。。但这在社区中引起了惊动，，，，，，用户担心这是一场退出圈套。。。治理员在宣布关闭通告时，，，，，，关于这种处置惩罚要领体现歉意，，，，，，称没有果真攻击活动是为了保�；；；；；び没Ш蜕缜�，，，，，以避免供应商试图发动加密钱币退出圈套。。。

原文链接：

https://www.bleepingcomputer.com/news/security/dark-web-market-cannazon-shuts-down-after-massive-ddos-attack/

5、Kaspersky披露APT37使用Chinotto攻击韩国的活动

Kaspersky在11月29日披露朝鲜黑客组织APT37（又称ScarCruft或Temp.Reaper）在近期的攻击活动。。。ScarCruft从2012年最先活跃，，，，，，主要针对韩国的官方机构或公司。。。此次活动最先于2021年8月，，，，，，初始熏染前言是鱼叉式垂纶活动，，，，，，之后使用IE浏览器中的两个误差在韩国的网站中装置自界说恶意软件BLUELIGHT，，，，，，提倡水坑攻击。。。�；；；；；疃故褂昧硕褚馊砑﨏hinotto，，，，，，它具有针对PowerShell、Windows和Android的多个变体。。。

原文链接：

https://securelist.com/scarcruft-surveilling-north-korean-defectors-and-human-rights-activists/105074/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究