当前位置: 首页 > 行业资讯 > 网络安全日报 2024年01月29日

网络安全日报 2024年01月29日

发表于:2024-01-29 08:37 作者: 蚁景网安实验室 阅读数(1855人)

1、Confluence安全漏洞在野积极利用约造成4万次攻击

https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/

在公开披露后三天内,恶意行为者已开始积极利用最近披露的影响 Atlassian Confluence 数据中心和 Confluence 服务器的关键安全漏洞。该漏洞编号为CVE-2023-22527(CVSS 评分:10.0),影响软件的过时版本,允许未经身份验证的攻击者在易受影响的安装上实现远程代码执行。该缺陷影响 2023 年 12 月 5 日之前发布的 Confluence Data Center 和 Server 8 版本以及 8.4.5。仅在该漏洞成为公众所知几天后,早在 1 月 19 日就已记录到来自 600 多个唯一 IP 地址的近 40000 次针对 CVE-2023-22527 的利用尝试。该活动目前仅限于“测试回调尝试和‘whoami’执行”,这表明威胁行为者正在伺机扫描易受攻击的服务器以进行后续利用。

2、隐藏在破解应用中的MacOS恶意软件针对加密钱包发起攻击

https://securelist.com/new-macos-backdoor-crypto-stealer/111778/

据观察,破解的软件会用一种先前未记录的窃取恶意软件感染 Apple macOS 用户,该恶意软件能够收集系统信息和加密货币钱包数据。它们旨在针对运行 macOS Ventura 13.6 及更高版本的机器,这表明该恶意软件能够感染采用英特尔和苹果硅处理器架构的 Mac。攻击链利用诱杀磁盘映像 (DMG) 文件,其中包括名为“Activator”的程序和 xScope 等合法软件的盗版版本。建议最终打开 DMG 文件的用户将这两个文件移至“应用程序”文件夹并运行 Activator 组件以应用假定的补丁并运行 xScope 应用程序。然而,启动 Activator 会显示一条提示,要求受害者输入系统管理员密码,从而允许其以提升的权限执行 Mach-O 二进制文件,以启动修改后的 xScope 可执行文件。

3、超过5300台GitLab服务器遭受零点击帐户接管漏洞攻击

https://www.bleepingcomputer.com/news/security/over-5-300-gitlab-servers-exposed-to-zero-click-account-takeover-attacks/

超过 5300 个暴露在互联网上的 GitLab 实例容易受到 CVE-2023-7028 的攻击,这是 GitLab 本月早些时候警告的零点击帐户接管漏洞。该关键漏洞(CVSS 评分:10.0)允许攻击者将目标帐户的密码重置电子邮件发送到攻击者控制的电子邮件地址,从而允许威胁行为者更改密码并接管该帐户。尽管该缺陷不会绕过双因素身份验证 (2FA),但对于不受此额外安全机制保护的任何帐户来说,这都是一个重大风险。GitLab 在 16.7.2、16.5.6 和 16.6.4 中发布了修复程序,并于 2024 年 1 月 11 日将补丁向后移植到 16.1.6、16.2.9 和 16.3.7。

4、英国国家网络安全中心警告未来两年勒索攻击将加剧滥用AI技术

https://www.ncsc.gov.uk/news/global-ransomware-threat-expected-to-rise-with-ai

英国国家网络安全中心 (NCSC) 警告称,人工智能 (AI) 工具短期内将对网络安全产生不利影响,从而加剧勒索软件的威胁。该机构表示,网络犯罪分子已经将人工智能用于各种目的,预计这种现象在未来两年内将会恶化,从而导致网络攻击的数量和严重性增加。NCSC 认为 ,人工智能将使缺乏经验的威胁行为者、受雇黑客和低技能的黑客活动分子能够进行更有效、量身定制的攻击,否则这些攻击将需要大量时间、技术知识和操作工作。大多数可用的大型学习模型 (LLM) 平台(例如 ChatGPT 和 Bing Chat)都具有防止平台创建恶意内容的保护措施。然而,NCSC 警告网络犯罪分子正在制作和营销专门用于支持犯罪活动的专门生成式人工智能服务。例子包括 WormGPT,这是一种付费的 LLM 服务,允许威胁行为者生成恶意内容,包括恶意软件和网络钓鱼诱饵。

5、全球金融科技公司EquiLend遭受网络攻击后导致服务中断

https://www.bleepingcomputer.com/news/security/global-fintech-firm-equilend-offline-after-recent-cyberattack/

总部位于纽约的全球金融科技公司 EquiLend 表示,部分系统在周一的网络攻击中离线,导致其运营中断。事件发生后,这家技术、数据和分析公司还检测到对其网络的未经授权的访问,目前正在努力恢复所有受影响的服务。EquiLend 发言人称:“我们立即展开调查,发现了一起涉及未经授权访问我们系统的网络安全事件。我们立即采取措施保护我们的系统,并正在有条不紊地尽快恢复相关服务。”EquiLend 还聘请了第三方专家来调查安全漏洞并帮助加快恢复工作。该公司尚未透露事件期间是否有任何公司或客户数据被泄露或被盗。

6、Windows11发布更新补丁修复蓝牙音频缺陷及其他已知错误

https://prod.support.services.microsoft.com/en-us/topic/january-23-2024-kb5034204-os-builds-22621-3085-and-22631-3085-preview-7652acf2-56dc-430e-b8ef-ec8f56ec1028

微软发布了 Windows 11 版本 22H2 和 23H2 的 2024 年 1 月预览更新,其中修复了蓝牙音频错误并解决了 24 个已知问题。此月度非安全可选累积更新(编号为KB5034204)将使 Windows 管理员能够测试改进和修复,这些改进和修复将通过即将发布的 2024 年 2 月补丁星期二版本推送给所有客户。该更新修复了影响蓝牙低功耗 (LE) 音频耳塞的问题,该耳塞在播放音乐时会丢失声音。另一个亮点是解决了影响蓝牙电话通话的问题,即在电脑上接听电话时音频不再通过电脑路由。

7、Jenkins安全漏洞可以导致服务器遭受远程代码执行

https://www.jenkins.io/security/advisory/2024-01-24/

开源持续集成/持续交付和部署 (CI/CD) 自动化软件 Jenkins 的维护者已经解决了九个安全漏洞,其中包括一个严重错误,如果成功利用该错误,可能会导致远程代码执行 (RCE)。该问题被分配了 CVE 标识符CVE-2024-23897,被描述为通过内置命令行界面 ( CLI )的任意文件读取漏洞。“在处理 CLI 命令时,Jenkins 使用 args4j 库来解析 Jenkins 控制器上的命令参数和选项,”维护人员在周三的公告中表示。“此命令解析器具有一个功能,可以将参数中的 @ 字符后跟文件路径替换为文件内容 (expandAtFiles)。此功能默认启用,Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它”。

8、X应用程序为美国iOS用户添加安全密钥登录支持

https://help.twitter.com/en/managing-your-account/how-to-use-passkey

X(前身为 Twitter)今天宣布,美国的 iOS 用户现在可以使用密码登录其帐户。密钥将链接到生成密钥的 iOS 设备,并通过提供针对网络钓鱼攻击的保护并阻止未经授权的访问尝试,显着降低泄露风险。他们还将通过消除记住复杂密码的需要来增强用户体验和安全性。“密钥充当与您的帐户关联的在线凭证。您的私人密钥无需使用用户名和密码登录您的帐户,而是使用服务器的公共密钥自动验证您的帐户,从而使您无需输入密码即可登录,”X 帮助中心的支持文档解释道。“使用 iCloud 钥匙串在您的 iOS 设备之间同步密钥。如果您丢失了设备,这种同步可以确保冗余。如果您丢失了所有设备,可以通过iCloud 钥匙串托管来恢复密钥。”

9、攻击者滥用API功能泄露1500万条Trello数据拓展邮箱信息

https://www.bleepingcomputer.com/news/security/trello-api-abused-to-link-email-addresses-to-15-million-accounts/

公开的 Trello API 允许将私人电子邮件地址与 Trello 帐户链接,从而创建数百万个包含公共和私人信息的数据配置文件。Trello 是 Atlassian 旗下的在线项目管理工具,企业通常使用它来将数据和任务组织到看板、卡片和列表中。上周,一名化名“emo”的人试图在一个流行的黑客论坛上出售 15115516 名 Trello 成员的数据,从而传出 Trello 数据泄露的消息。“包含电子邮件、用户名、全名和其他帐户信息。15115516 条独特的行,”黑客论坛上的帖子写道。虽然这些配置文件中的几乎所有数据都是公开的,但与配置文件关联的电子邮件地址却不是公开的。

10、新型CherryLoader恶意软件伪装成CherryTree发起攻击

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions/

研究人员在野外发现了一种名为CherryLoader的新的基于 Go 的恶意软件加载程序,可以将额外的有效负载传递到受感染的主机上以进行后续利用。该加载程序的图标和名称伪装成合法的 CherryTree 笔记应用程序,以欺骗潜在受害者安装它。CherryLoader 被用来删除两个权限升级工具 PrintSpoofer 或 JuicyPotatoNG 之一,然后运行批处理文件以在受害者设备上建立持久性。在另一个新颖的变化中,CherryLoader 还包含模块化功能,允许威胁参与者无需重新编译代码即可切换漏洞。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。