苹果撤诉NSO，竟因惧怕情报泄露？！VMware vCenter惊现高危漏洞!20万台设备遭感染！新型物联网僵尸网络肆虐全球！ | 安全周报0920

新闻1：苹果撤诉NSO，竟因惧怕情报泄露？！

苹果公司已提交动议，“自愿”撤销对商业间谍软件供应商NSO集团的诉讼，理由是风险形势的转变可能导致关键“威胁情报”信息的暴露。

这一进展最初由《华盛顿邮报》于周五报道。

这家iPhone制造商表示，其与业内其他公司和各国政府共同努力打击商业间谍软件的崛起，已“大幅削弱”了被告的势力。

“与此同时，不幸的是，商业间谍软件行业中又出现了其他恶意行为者，”该公司表示，“正是由于这些因素的综合作用，苹果现在寻求自愿撤销此案。”

关键词：Threat Intelligence（威胁情报）、Commercial Spyware Industry（商业间谍软件行业）

新闻2：VMware vCenter惊现高危漏洞，远程代码执行危在旦夕

博通公司周二发布了更新，以解决影响VMware vCenter Server的一个严重安全漏洞，该漏洞可能为远程代码执行铺平道路。

该漏洞被追踪为CVE-2024-38812（CVSS评分：9.8），被描述为DCE/RPC协议中的堆溢出漏洞。

“具有vCenter Server网络访问权限的恶意行为者可能通过发送特制的网络数据包来触发这一漏洞，从而可能导致远程代码执行，”虚拟化服务提供商在一份公告中表示。

关键词：Remote Code Execution（远程代码执行）、Heap-overflow vulnerability（堆溢出漏洞）

新闻3：警惕！新型物联网僵尸网络肆虐，20万台设备已被感染！

网络安全研究人员发现了一个前所未有的僵尸网络，该网络由大量小型办公室/家庭办公室（SOHO）和物联网（IoT）设备组成，这些设备很可能由一个名为Flax Typhoon（又名Ethereal Panda或RedJuliett）的中国国家威胁行为者操控。

这个复杂的僵尸网络被Lumen的Black Lotus Labs命名为Raptor Train，据信它至少从2020年5月开始运行，2023年6月达到活动感染设备数量的峰值，即6万台。

“自那时以来，已有超过20万台SOHO路由器、网络录像机/数字录像机（NVR/DVR）设备、网络附加存储（NAS）服务器和IP摄像头被纳入Raptor Train僵尸网络，使其成为迄今为止发现的最大规模的中国国家支持的物联网僵尸网络之一，”该网络安全公司在一份81页的报告中向The Hacker News透露。

据估计，自该僵尸网络形成以来，其基础设施已经陷阱了数十万台设备，该网络由以下三层架构支撑：

第一层：受感染的SOHO/IoT设备
第二层：利用服务器、有效载荷服务器和命令与控制（C2）服务器
第三层：集中管理节点和一个跨平台的Electron应用程序前端，称为Sparrow（又名Node Comprehensive Control Tool，或NCCT）其工作原理是，僵尸任务从第三层的“Sparrow”管理节点发起，然后通过适当的第二层C2服务器进行路由，随后发送到第一层的僵尸设备本身，这些设备构成了僵尸网络的大部分。

关键词：Botnet Infrastructure（僵尸网络基础设施）、Sparrow（Sparrow管理节点）、Node Comprehensive Control Tool (NCCT)（节点综合控制工具）、IoT Botnet（物联网僵尸网络）

新闻4：GitLab紧急补丁！关键SAML漏洞可致身份验证被绕过！

GitLab已发布补丁，以解决影响社区版（CE）和企业版（EE）的一个关键漏洞，该漏洞可能导致身份验证被绕过。

此漏洞源于ruby-saml库（CVE-2024-45409，CVSS评分：10.0），它可能允许攻击者在受影响的系统内以任意用户身份登录。该漏洞上周已由维护人员修复。

问题在于库没有正确验证SAML响应的签名。SAML，即安全断言标记语言（Security Assertion Markup Language）的缩写，是一种协议，它支持单点登录（SSO）以及在多个应用和网站之间交换身份验证和授权数据。

“根据安全公告，能够访问任何由身份提供者（IdP）签署的SAML文档的未经验证的攻击者，可以伪造具有任意内容的SAML响应/断言。”“这将允许攻击者在受影响的系统内以任意用户身份登录。”

值得注意的是，该漏洞还影响了omniauth-saml，后者已自行发布更新（版本2.2.1）以将ruby-saml升级到版本1.17。

GitLab的最新补丁旨在将依赖项omniauth-saml更新到版本2.2.1，并将ruby-saml更新到1.17.0。这包括版本17.3.3、17.2.7、17.1.8、17.0.8和16.11.10。

作为缓解措施，GitLab敦促自我管理安装的用户为所有帐户启用双因素身份验证（2FA），并禁用SAML双因素绕过选项。

关键词：SAML Authentication Bypass（SAML身份验证绕过）、ruby-saml Library（ruby-saml库）、Single Sign-On (SSO)（单点登录）、omniauth-saml（OmniAuth的SAML扩展）、Two-Factor Authentication (2FA)（双因素身份验证）

新闻5：TeamTNT再现！新型加密劫持活动攻击CentOS服务器！

以TeamTNT之名而为人所知的加密劫持行动，可能已作为针对基于CentOS操作系统的虚拟专用服务器（VPS）基础设施的新活动的一部分而再次出现。

“初始访问是通过暴力破解受害者资产的Secure Shell（SSH）来实现的，在此期间，威胁行为者上传了一个恶意脚本，”Group-IB的研究人员Vito Alfano和Nam Le Phuong在周三的一份报告中表示。
这家新加坡网络安全公司指出，该恶意脚本负责禁用安全功能、删除日志、终止加密货币挖掘进程，并抑制恢复工作。

攻击链最终为部署Diamorphine rootkit以隐藏恶意进程铺平了道路，同时还建立了对被攻击主机的持久远程访问。

鉴于观察到的战术、技术和程序（TTPs）的相似性，此次活动被中度确信地归因于TeamTNT。

关键词：TeamTNT、Cryptojacking、CentOS Servers、Rootkit、Virtual Private Server (VPS)