Ivanti近日修复了两项关键漏洞CVE-2023-41724和CVE-2023-46808。CVE-2023-41724影响Ivanti Standalone Sentry,这是一款作为设备与激活Sync-enabled邮箱服务器之间网关的设备。该漏洞可以让未认证的攻击者在相同的物理或逻辑网络中执行任意指令。尽管目前尚无客户通过该漏洞被攻陷的报告,Ivanti强烈建议用户立即实施补丁。此外,Ivanti 还为另一个关键漏洞CVE-2023-46808推出了修复,该漏洞影响Ivanti Neurons for ITSM,可能允许攻击者在身份验证后向敏感目录写入文件并执行命令。Ivanti 已在 Ivanti Neurons for ITSM Cloud环境中应用了相关补丁,并提醒各组织尽快升级他们的本地安装版本。两个漏洞都是在去年报告并获得了CVE编号的。Ivanti的政策是,在漏洞没有被积极利用时,我们会在补丁可用时披露漏洞,以便客户可以保护他们的环境。考虑到最近Ivanti Connect Secure VPN、Ivanti EPMM和MobileIron Core等产品的0-day和1-day漏洞利用事件,Ivanti的修复建议显得尤为重要。
研究人员发布了Fortinet公司FortiClient Enterprise Management Server(EMS)软件中一个关键漏洞(CVE-2023-48788,CVSS评分9.3)的概念验证(PoC)利用代码。该漏洞目前在野外被积极利用进行攻击。这个关键漏洞是一个普遍存在的SQL注入问题,位于DAS组件中。该SQL注入漏洞可能允许未认证的攻击者通过特定构造的请求执行未授权的代码或命令。受影响的版本及解决方案已经公布,包括FortiClientEMS 7.2版本的7.2.0至7.2.2版本需要升级到7.2.3或以上版本,以及FortiClientEMS 7.0的7.0.1至7.0.10版本需要升级到7.0.11或以上版本。研究人员演示了如何利用Microsoft SQL Server内置的xp_cmdshell功能将此SQL注入问题转化为远程代码执行。研究人员解释称,尽管数据库没有配置为运行xp_cmdshell命令,但可以使用其他一些SQL语句来实现。研究人员发布的分析中写道:“我们发布的PoC只通过使用一个简单的SQL注入来确认漏洞,而不使用xp_cmdshell。要启用RCE,需要修改PoC。”
https://www.theregister.com/2024/03/21/luxury_yacht_dealer_rhysida/
美国豪华游艇经销商MarineMax在本月初遭到了Rhysida勒索软件团伙的网络攻击。该集团宣称对此次攻击负责,并在其网站上发布了声称从MarineMax窃取的数据片段。这些文件主要与账户和财务相关,但文件的具体性质并不清晰。尽管MarineMax在3月10日向证券交易委员会(SEC)披露了网络攻击,并采取了一系列措施来减少业务受到的影响,但他们当时并未提及勒索软件的参与。MarineMax在提交给SEC的8-K表格中声称,受影响的信息环境中并未存储敏感数据。据了解,该公司在去年录得数十亿美元的收入,攻击发生后其业务在“所有重要方面继续进行”。Rhysida集团目前在其网站上进行七天拍卖,声称如果收到一个它们认为合理的出价,就会将数据独家出售给第三方,而不是公开。这种方法实际上是在受害者拒绝支付赎金的情况下,勒索软件攻击者获取收益的第二种手段。这种双重敲诈的勒索软件场景中,攻击者通常会要求赎金,如果受害者不支付,就会在线上公布窃取的数据。
微软最近警告称,在纳税季节,针对个人纳税人和企业的网络钓鱼及恶意软件活动正在升温。这些网络诈骗活动不仅针对新税务人士、最近获得绿卡的移民、自行申报的小企业主以及年长者等特定群体,还使用紧急手段来窃取他们的个人和财务数据。攻击者经常伪装成可信来源,例如雇主、税务机构和支付处理商,发送模糊或不完整的税务文件,创建紧急感,诱使目标点击带有恶意附件的电子邮件。这些附件被设计用来窃取登录凭证,或将受害者重定向到假冒的看似合法的税务平台网站上。在2024年1月,微软已经识别出一种由雇主发送税务文件看起来的电子邮件诈骗案例,点击其附带的HTML文件会导致受害者跳转到一个假的登陆页面,目的是为了窃取用户的登录凭证。研究人员截获的活动是伪装的正式税表,如W-2和W-9通知以及其他工资税文件。这些邮件附带的HTML附件会触发Cloudflare的验证码检查,最后将受害者导向一个钓鱼页面,旨在收集敏感信息。当收件人打开这些附件时,JavaScript脚本被执行,有助于安装窃取信息的恶意软件。
https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties
俄罗斯黑客团伙APT29被指控对德国政党进行网络攻击作为其背后莫斯科支持的间谍活动的一部分。安研究人员表示,此次行动是该组织首次针对政治组织。研究人员发布的报告中将这次活动归咎于与俄罗斯外交情报局关联的APT29。该活动自2月底以来活跃,主要通过假装来自德国基督教民主联盟的网络钓鱼邮件进行。攻击者发送的钓鱼电子邮件看起来是来自德国基督教民主联盟的,邀请受害者参加晚宴接待。这些邮件包含了一个伪装成zip文件附件的恶意软件"RootSaw"。一旦受害者下载了恶意文件,就会安装一个名为"WineLoader"的全新后门恶意软件,该软件能够执行解密功能以调用shellcode,并与指挥控制服务器建立通信,发送诸如受害者的用户和设备名称之类的信息,以帮助攻击者识别受害者。基于对WineLoader解密文件的分析,研究人员估计,威胁行为者可能已将该变体从他们之前链接到去年针对乌克兰外交官的类似钓鱼活动的MuskyBeat旧变体中复用。尽管该组织之前曾针对欧洲政府、外国大使馆和相关外交活动,但研究人员称,这次新活动是该团伙首次被发现针对政治党派,这表明攻击者未来行动策略的改变。
研究人员发现了一系列针对Dormakaba Saflok电子RFID锁的漏洞,这些漏洞被集体命名为Unsaflok,可能允许黑客破解这些流行锁具,打开全球范围内数百万扇门。Saflok电子RFID锁广泛应用于酒店和多户型住宅环境,遍布131个国家的13000个地产,影响了估计超过300万扇门。研究显示,仅需获取任一物业的一张钥匙卡,攻击者即可针对该物业的任何一扇门进行攻击。这张钥匙卡可以是他们自己房间的或者一个过期的从快速结账收集箱中取得的。利用成本不到300美元的RFID读写设备,研究人员可以复制这种钥匙卡来开锁。Dormakaba在2023年11月对这些问题发布了更新。尽管漏洞已报告,但截至2024年3月,估计仅约36%受影响的锁具得到了更新或更换。研究人员建议酒店工作人员定期检查锁的出入记录,以确定是否执行了Unsaflok攻击。尽管目前没有证据表明漏洞已在现实世界中被利用,但考虑到这些锁具从1988年起就开始使用,专家们警告不排除早已存在熟知这些漏洞并加以利用的个体。
2024年3月23日,德国联邦刑警局(BKA)和法兰克福打击网络犯罪小组(ZIT)成功摧毁了暗网市场Nemesis Market的基础设施。这次行动在德国和立陶宛执行,阻断了该市场的运作。据德国BKA发布的新闻稿称,Nemesis Market自2021年以来活跃,提供非法药物、窃取数据、信用卡信息以及网络犯罪服务,如勒索软件、钓鱼攻击或DDoS攻击。该市场近期注册用户超过15万,卖家账号超过1100个,调查显示,其中近20%的卖家账户来自德国。执法机构还没收了价值约94000欧元的加密货币。当前,Nemesis Market上展示着执法部门查封的横幅,并表示将利用缴获的数据追查卖家和用户身份。德国警方行动迅速,有效,在3月初宣布查封了德语区最大的网络犯罪市场Crimemarket,12月时联合多国警力摧毁了暗网平台Kingdom Market。
https://scpc.gov.ua/api/files/8e300d33-6257-4d7f-8f72-457224268343
近期,一群以金融动机为驱动的黑客利用SmokeLoader恶意软件,广泛针对乌克兰政府和行政机构的财务部门进行了一系列的网络钓鱼攻击活动。根据研究人员共同跟踪,他们分析了从2023年5月到11月发生的23起网络钓鱼活动。在这些频繁且规模庞大的攻击中,利用诱骗性电子邮件,黑客锁定了政府、防务、电信、零售和金融部门的财务部门。攻击者使用之前泄露的电子邮件地址来构建信任感,邮件主题常关于支付和账单,且包含以前泄露事件中窃取的合法财务文件。虽然试图使电子邮件看起来可信,但邮件中常有拼写错误,并混杂乌克兰语和俄语单词。他们还使用Windows合法工具和双文件扩展名欺骗用户,以在网络中维持持久性、搜集信息和横向移动。攻击者还使用了过时的SmokeLoader版本,并依赖多义文件在某些情况下规避传统的电子邮件保护。研究人员预测,基于对过去7个月使用SmokeLoader攻击的周期性分析,类似的网络钓鱼活动每月至少会组织两次。
https://blogs.juniper.net/en-us/security/shielding-networks-against-androxgh0st
研究人员近日揭示了一个名为AndroxGh0st的恶意软件,该软件针对使用Laravel框架的应用程序,窃取敏感数据,包括云服务凭证。研究人员表示,AndroxGh0st通过扫描和窃取.env文件中的重要信息,揭露了与AWS和Twilio等服务相关的登录详情。该恶意软件自2022年起就已在野外被检测到,利用者通过它访问Laravel环境文件,窃取包括亚马逊云服务(AWS)在内的各种云服务应用程序的凭证。AndroxGh0st利用已知的Apache HTTP服务、Laravel框架和PHPUnit中的安全漏洞,以获得初步访问权限,并进行权限提升与持久化控制。今年1月,美国网络安全和情报机构即警告攻击者正在部署AndroxGh0st恶意软件来构建一个用于“在目标网络中识别和利用受害者”的僵尸网络。此外,研究人员观察到针对CVE-2017-9841的活动有所增加,呼吁用户迅速更新到最新版本以避免风险。
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943
Mozilla迅速应对了在2024年温哥华Pwn2Own黑客大赛中被利用的两个Firefox零日漏洞。研究人员在比赛中通过OOB(越界)写操作以及暴露的高风险功能漏洞成功实现了对Mozilla Firefox的沙箱逃逸并执行远程代码。研究人员的这次黑客攻击为他赢得了10万美元和10个“Pwn之王”积分。Firefox安全顾问公布的两个问题涉及的CVE编号分别为CVE-2024-29943和CVE-2024-29944,并指出这两个问题仅影响桌面版Firefox,移动版Firefox未受影响。Mozilla已发布Firefox 124.0.1和Firefox ESR 115.9.1版本来解决这些问题。在为期一周的Pwn2Own温哥华2024大赛中,参赛者们展示了29个独特的零日漏洞,共赢得了1132500美元奖金。大赛第一天,Synacktiv团队成功展示了针对特斯拉汽车的漏洞攻击。Manfred Paul以总共20.25万美元奖金和25个积分赢得了“Pwn之王”的称号。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
