一、总览

五月第二周发现攻击行为77万余次。攻击行为多为信息泄露攻击，业务系统202.117.144.157被攻击频率较高。

二、风险威胁说明

2.1 攻击威胁

2.1.1 攻击威胁来源分布（地区）

上周发现威胁来源主要集中在上海地区，其余攻击次数较多地区分别为河北、香港、宁夏、广东等地，且多地未发生攻击事件，除此之外，上周发现大量国外攻击行为。

境内攻击源：

境外攻击源：

2.1.2 攻击类型（各类型占比）

在本月第二周所受攻击中，其中信息泄露攻击29万余次，占比较大。此外，还有如一些网站扫描攻击、目录遍历攻击、web漏洞攻击、系统命令注入也相对较多。

2.2 终端安全情况（基于SIP日志）

三、威胁情报通告

3.1 紧急漏洞通告

上周共发布威胁情报6次，通告内容如下：

3.1.1 【漏洞通告】IE浏览器脚本引擎内存损坏漏洞CVE-2021-26419

威胁等级：高危，能造成远程代码执行。

影响范围：

Internet Explorer 11 on Windows 10
       Version 1607/1803/1909/2004/20H2
       Internet Explorer 11 on Windows 7  Service Pack 1
       Internet Explorer 11 on Windows 8.1
       Internet Explorer 11 on Windows RT 8.1
       Internet Explorer 11 on Windows Server 2008 R2 
       Service Pack 1
       Internet Explorer 11 on Windows Server 2012/2016/2019
       Internet Explorer 11 on Windows Server 2012 R2
       Internet Explorer 9 on Windows Server 2008
       Service Pack 2

利用难度：中危，需要配合钓鱼攻击方可使用

3.1.2 【漏洞通告】Apache OFBiz远程代码执行漏洞CVE-2021-29200、CVE-2021-30128

威胁等级：高危，能造成任意代码执行

影响范围：Apache OFBiz<17.12.07

利用难度：容易，无需授权即可远程代码执行。

3.1.3 【漏洞通告】Microsoft SharePoint远程命令执行漏洞CVE-2021-31181

威胁等级：高危，能造成远程代码执行

影响范围：

Microsoft SharePoint Foundation 2013

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Server 2019

利用难度：复杂，需要用户授权

3.1.4 【漏洞通告】Adobe Acrobat Reader 多个严重漏洞

（注：存在多个CVE编号，具体详见紧急漏洞安全通告）

威胁等级：高危，能造成任意代码执行。

影响范围：

Acrobat DC and Acrobat Reader DC(Windows) <=2021.001.20150

Acrobat DC and Acrobat Reader DC(macOS) <=2021.001.20149

Acrobat 2020 and Acrobat Reader 2020(Windows & macOS) <=2020.001.30020

Acrobat 2017 and Acrobat Reader 2017(Windows & macOS) <=2017.011.30194

利用难度：容易，无需授权即可远程代码执行。

3.1.5 【漏洞通告】zzzcms远程代码执行漏洞CVE-2021-32605

威胁等级：高危，能造成远程代码执行。

影响范围：zzzcms <= 2.0.3

利用难度：容易，无需授权即可远程代码执行。

3.2 紧急病毒通告

3.2.1 【病毒通告】热点勒索病毒情报通告

事件背景：5月8日，据外媒纽约时报报道，美国最大成品油管道公司Colonial Pipeline被勒索软件攻击，为了避免造成更大影响，该公司已主动切断部分系统网络，暂停所有管道运营。

防御方案：建议及时在防护设备上对病毒网络通信IOC进行永久封禁（其中IOC指标为：catsdegree.com，securebestapp20.com，temisleyes.com）