admin

原始发行日期：2021年4月15日CISA和国防部（DoD）网络国家使命军（CNMF）分析了与SolarWinds相关的其他恶意软件变体，称为SUNSHUTTLE和SOLARFLARE。被分析的文件之一被确认为China Chopper Webshel​​l服务器端组件，该组件在活动的SUNSHUTTLE感染的网络上被观察到。即使修复了SUNSHUTTLE感染，网络外壳也可以为网络威胁参与者提供访问网络的另一种方法。 美国政府将此活动归因于俄罗斯外国情报局（SVR）。 CISA鼓励用户和管理员查看恶意软件分析报告MAR-10327841-1.v1，美国网络司令部的VirusTotal页面，以及以下资源，以获取更多信息： CISA网页：修复受SolarWinds和Active Directory / M365危害的网络 CISA网页：供应链妥协 CISA警报AA20-352A：政府机构，关键基础设施和私营部门组织的高级持续威胁威胁 提供此产品时要遵守本通知以及本隐私和使用政策。

原始发行日期：2021年4月14日Google和Microsoft最近发布了针对网络安全研究人员的高级持续威胁（APT）行为者的报告。 APT参与者正在使用虚假的社交媒体资料和看上去合法的网站来诱使安全研究人员访问恶意网站，以窃取包括漏洞利用和零日漏洞在内的信息。 APT小组经常使用精心设计的社会工程和鱼叉式网络钓鱼计划来诱骗受害者通过恶意链接和网站运行恶意代码。 CISA建议网络安全从业人员防范此特定的APT活动，并查看以下报告以获取更多信息： Google –针对安全研究人员的广告系列更新，2021年3月31日发布 微软– ZINC对安全研究人员的攻击，于2021年1月28日发布 Google –针对安全研究人员的新运动，于2021年1月25日发布 CISA提示–避免社交工程和网络钓鱼攻击，于2020年8月25日更新 此外，CISA强烈鼓励网络安全从业人员在检查不受信任的代码或网站时，使用与受信任的系统或网络隔离的沙盒环境。

原始发行日期：2021年4月13日微软于2021年4月发布的安全更新缓解了影响本地Exchange Server 2016和2019的重大漏洞。攻击者可以利用这些漏洞来获取访问权限并维护目标主机的持久性。 CISA强烈建议组织应用Microsoft的2021年4月安全更新来缓解这些新发现的漏洞。注意：2021年3月发布的Microsoft安全更新不会针对这些漏洞进行补救。 为响应这些新披露的漏洞，CISA已发布了针对紧急指令（ED）21-02的补充说明版本2：缓解Microsoft Exchange本地产品漏洞。 ED 20-02补充说明V2要求联邦部门和机构应用Microsoft的2021年4月安全更新，以缓解影响本地Exchange Server 2016和2019的这些重大漏洞。 尽管CISA紧急指令仅适用于联邦民政执行部门机构，但CISA强烈鼓励州和地方政府，关键基础设施实体和其他私营部门组织审核ED 21-02补充说明V2并立即应用安全更新。查看以下资源以获取其他信息：

原始发行日期：2021年4月12日CISA已向警报AA21-062A添加了两个新的恶意软件分析报告（MAR）：缓解Microsoft Exchange Server漏洞。 MAR-10330097-1.v1：DearCry勒索软件可识别用于攻击受威胁的本地Exchange服务器的勒索软件。该恶意软件会加密设备上的文件，并要求勒索以换取解密。 MAR-10331466-1.v1：China Chopper Webshel​​l标识了在受损后的Microsoft Exchange Server中观察到的China Chopper Webshel​​l。成功利用Microsoft Exchange

原始发行日期：2021年4月8日Aviary是CISA和合作伙伴开发的一种新仪表板，用于帮助可视化和分析2020年12月发布的Sparrow检测工具的输出。Sparrow帮助网络防御者检测Azure / Microsoft O365环境中可能遭到破坏的帐户和应用程序。 CISA创建了Sparrow，以支持在SolarWinds妥协后搜寻威胁活动。鸟舍-一个基于Splunk的仪表板-便于分析Sparrow数据输出。 CISA鼓励希望使用Aviary的网络防御者方便其对Sparrow的输出进行分析，以复查CISA警报：AA21-008A：在Microsoft Cloud环境中检测危害后的威胁活动。 笔记： CISA已更新AA21-008A的Sparrow工具部分，其中包含有关使用Aviary工具的说明。 CISA建议使用以下资源获取更多信息： CISA警报：AA20-352A：政府机构，关键基础设施和私营部门组织的高级持续威胁折衷方案 CISA警报：AA21-077A：使用CHIRP

原始发行日期：2021年4月8日思科已发布安全更新，以解决多个思科产品中的漏洞。攻击者可以利用其中的某些漏洞来控制受影响的系统。有关解决较低严重性漏洞的更新，请参阅“ Cisco安全公告”页面。 CISA鼓励用户和管理员查看以下思科建议并应用必要的更新： Cisco SD-WAN vManage软件漏洞cisco-sa-vmanage-YuTVWqy 思科小型企业RV110W，RV130，RV130W和RV215W路由器管理接口远程命令执行漏洞cisco-sa-rv-rce-q3rxHnvm 思科小型企业RV系列路由器漏洞cisco-sa-sb-rv-bypass-inject-Rbhgvfdx 思科小型企业RV系列路由器链路层发现协议漏洞cisco-sa-rv-multi-lldp-u7e4chCe 思科统一通信产品远程执行代码漏洞cisco-sa-cucm-rce-pqVYwyb 端点Windows连接器，Windows ClamAV和Immunet

原始发行日期：2021年3月31日Citrix已发布安全更新，以解决Hypervisor（以前称为XenServer）中的漏洞。攻击者可能利用其中的某些漏洞导致拒绝服务状况。 CISA鼓励用户和管理员查看Citrix安全更新CTX306565并应用必要的更新。 提供此产品时要遵守本通知以及本隐私和使用政策。 Source link

原始发行日期：2021年4月6日运行过时或配置错误的软件的SAP系统容易受到恶意攻击的风险。 SAP应用程序可帮助组织管理关键的业务流程，例如企业资源计划，产品生命周期管理，客户关系管理和供应链管理。 2021年4月6日，来自Onapsis的安全研究人员与SAP协作发布了警报，其中详细介绍了观察到的威胁行为者活动和技术，这些行为和技术可能会导致对不安全的SAP应用程序的完全控制。受影响的组织可能会遇到： 盗窃敏感数据， 财务欺诈， 关键任务业务流程的中断， 勒索软件，以及 停止所有操作。 CISA建议SAP系统的操作员查看关键任务SAP应用程序上的Onapsis警报活动网络攻击，以获取更多信息并应用必要的更新和缓解措施。 请参阅CISA在SAP上的先前警报： 警报AA20-195A：SAP NetWeaver