目录
勒索软件团伙瞄准未打补丁的 ScreenConnect 服务器
Ubiquiti SOHO 路由器遭到攻击,形成隐秘的俄罗斯僵尸网络
Lazarus 已经利用了刚刚修补的 Windows AppLocker 驱动程序
CISA 警告主动利用 2023 年 6 月修补的 Windows 流媒体漏洞
二月 26, 2024
FCKeditor 用于政府、大学网站的 SEO 中毒
漏洞类型: 恶意 URL 重定向.
问题: A 西班牙研究人员发现 许多商业和大学网站上的恶意 URL 重定向,包括加拿大黄页、麻省理工学院和普渡大学,以及德克萨斯州、弗吉尼亚州和西班牙的政府网站。 所有站点都包含过时的 FCKeditor 插件,该插件已停止接受支持 2010.
攻击者滥用该插件向合法站点添加恶意链接和 HTML 页面,以便合法 URL 绕过大多数浏览器中的恶意 URL 筛选。 有些页面插入的不是恶意 URL,而是旨在通过操纵 Google 和其他搜索算法将恶意网页提升到搜索结果中来毒害 SEO 结果的网页。.
修复: 检查网站并删除所有 FCKeditor 插件实例。 将其替换为定期更新和维护的 CKEditor 或等效工具.
详细了解如何操作 网站和应用程序漏洞扫描器 可以主动帮助开发团队发现问题.
二月 27, 2024
勒索软件团伙瞄准未打补丁的 ScreenConnect 服务器
漏洞类型: 认证绕过和路径遍历.
问题: 作为 上周详细, ConnectWise 的 ScreenConnect 漏洞允许攻击者破坏敏感数据并获得对外部目录甚至关键系统文件的访问权限。 影子服务器 研究人员检测到 超过 600 个 IP 攻击全球 8,000 多个易受攻击的实例 趋势科技宣布 他们检测到来自臭名昭著的 Black Basta 和 Bl00dy 勒索软件团伙的攻击.
这些勒索软件攻击者是利用易受攻击的服务器进行侦察、网络发现和权限升级的众多攻击者中的两个。 成功的攻击者会投放 Cobalt Strike 信标和其他有效负载,例如远程访问木马 (RAT),以维持和扩展访问权限.
修复: 紧急更新本地服务器 版本 23.9.8.
无法快速修补? 补丁管理即服务 可以帮助加速修补过程.
Ubiquiti SOHO 路由器遭到攻击,形成隐秘的俄罗斯僵尸网络
漏洞类型: 各种任意代码执行(ACE)和远程代码执行(RCE)攻击漏洞.
问题: 这 联邦调查局警告 在拆除 Moobot 僵尸网络的过程中,特工检测到了来自其他俄罗斯攻击者的代码,其中包括臭名昭著的 Fancy Bear(又名:APT28 或 Military Unit 26165),该攻击者也对 2016 年大选前对美国民主党全国委员会 (DNC) 的攻击负有责任。 检测到的代码包括允许任意代码执行 (ACE) 的后门,用于设备接管、凭据盗窃、数据窃取等.
目标 Ubiquity 边缘路由器通常安装在远程工作人员、小型卫星办公室或小型企业的小型或家庭办公室 (SOHO) 环境中。 由于这些设备在出厂时已禁用自动更新,因此许多组织仍然有可能暴露并被积极利用.
修复: 要消除恶意软件感染,请执行出厂重置、升级到最新固件、更改所有默认用户名和密码,并调整防火墙规则以阻止暴露于不需要的远程管理服务.
Azure 连接的 IoT 容易遭受远程代码执行
漏洞类型: 物联网 (IoT) RCE 漏洞.
问题: “uAMQP”(一种轻量级高级消息队列协议 (AMQP))的 C 库包含漏洞 CVE-2024-27099 CVSS 评分为 9.8。 Microsoft 将 AMQP 合并到多个 Azure 云服务中,包括 Azure IoT 中心、Azure 事件中心和 Azure 服务总线。 攻击者可以使用低复杂度的攻击来触发 “双免” 访问堆内存和执行代码的弱点.
修复: 将库和实例更新到版本 2月后修复 8, 2024.
二月 28, 2024
暴露在互联网上的 3D 打印机遭到黑客攻击,传播漏洞信息
漏洞类型: 打印机服务 API 中缺少有效的凭据检查.
问题: 突然发现近 300 万拥有互联网连接的 Anycubic 3D 打印机 hacked_machine_readme.gcode 文件 添加到他们的设备中。 这些文件警告所有者,MQTT 软件允许“任何有效的凭据连接和控制您的打印机”。 黑客没有损害系统,但预计任何开放系统在不久的将来都会成为更多恶意黑客的目标.
修复: 断开打印机与互联网的连接,直到有补丁可用.
Lazarus 已经利用了刚刚修补的 Windows AppLocker 驱动程序
漏洞类型: Windows内核提权漏洞.
问题: Windows AppLocker 驱动程序漏洞, CVE-2024021338, 使具有系统访问权限的攻击者能够获得 SYSTEM 权限。 尽管两周前已修复 72 其他漏洞, 微软并未将该漏洞归类为被积极利用的零日漏洞.
然而, Avast 披露 他们的研究人员在对臭名昭著的朝鲜黑客组织 Lazarus 部署的 rootkit 进行逆向工程后,于 2023 年 8 月发现并报告了该漏洞。 该攻击绕过了安全检查 白名单工具 并允许攻击者禁用 Microsoft Defender 或 Crowdstrike Falcon 等安全产品、隐藏活动并维护系统持久性.
修复: 尽快应用 Windows 补丁.
考虑如何 托管检测和响应 (MDR)可以帮助定位潜在的危害、阻止攻击并帮助修复系统.
二月 29, 2024
Ivanti VPN 设备恢复出厂设置并不能消除黑客的存在
漏洞类型: 持久的未经身份验证的用户资源访问.
问题: 美国网络安全和基础设施安全局 (CISA) 宣布 Ivanti 的漏洞更新和检查危害的工具 可能无法检测和删除 所有攻击者都存在于受影响的 Connect Secure 和 Policy Secure 网关上。 即使在更新后,中国 APT 攻击者也可能保持 root 访问权限和系统持久性.
修复: CISA 警告联邦机构假设凭据已被泄露,寻找泄露迹象,运行 Ivanit 修订后的检测工具,并应用所有可用补丁。 CISA 还包含带有粗体文本的强烈语言,警告不要继续使用该产品.
“作者组织强烈敦促所有组织 考虑重大风险 攻击者对 Ivanti Connect Secure 和 Ivanti Policy Secure 网关的访问和持久性 决定是否继续经营 企业环境中的这些设备.”
CISA 警告主动利用 2023 年 6 月修补的 Windows 流媒体漏洞
漏洞类型: 不受信任的指针取消引用弱点.
问题: 未修补的 Windows 系统容易受到针对 Microsoft Streaming Service Proxy 漏洞的低复杂性、无需用户交互的攻击, CVE-2023-29360. 已修补 六月 2023, 尽管攻击可以获得系统级访问权限,但该漏洞当时并不值得注意.
然而,CISA 添加了这个漏洞 到已知被利用的漏洞目录,并要求联邦机构在 2024 年 3 月 21 日之前进行修补。Check Point 的研究团队指出,CVE-2023-29360 是多个漏洞之一 添加到树莓派罗宾 补丁发布后、漏洞利用公开披露之前的蠕虫.
修复: 修补或隔离易受攻击的 Windows 系统.
Citrix、Sophos 等中暴露的闰年错误
漏洞类型: 二月份软件无效日期处理错误 29, 2024.
问题: 尽管闰年每四年出现一次,但有时程序员将一年定为 365 天,而没有考虑到额外的一天。 在某些情况下,这个问题会被忽视,但今年用户遇到了突出的失败,包括:
- 思杰 HDX: 视频重定向服务 意外终止 除非用户将系统时钟重置为不同的日期.
- Sophos 端点、服务器和家庭: 安全证书验证警告 对于 29 日重新启动的系统,会阻止浏览会话.
- 新西兰自助加油站: 无法在 Allied Petroleum、Gull 和 Z Energy 拥有的加油站进行加油支付交易.
- 日本司机管理系统: 爱媛县、神奈川县、新泻县、冈山县的驾驶执照机器无法正确发送个人数据.
修复: 受影响的工具公布了解决方法,但作为罕见的例外,此漏洞不需要修补或修复.
行进 1, 2024
海康威视就安全管理系统漏洞发出警告
漏洞类型: 服务器端验证不足.
问题: 海康威视的 HikCentral Professional 安防管理系统控制相关监控设备和 包含高(CVSS 7.5)和中(CVSS 4.3)级别漏洞. 除了警告不正确的 URL 和系统访问之外,海康威视对于该漏洞的后果仍然含糊其辞; 然而,攻击者过去广泛利用这些系统,因此它们仍然是可能的目标.
修复: 更新到 HikCentral Professional 的修补版本.
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
