每日安全简讯(20230729)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者针对配置不当的Tomcat服务器进行攻击
研究人员在两年的时间里检测到了800多起针对其Tomcat蜜罐服务器的攻击,其中96%的攻击与Mirai僵尸网络有关。在这些攻击尝试中,20%(或152次)使用了一种名为“neww”的WebShell脚本。攻击者对Tomcat服务器进行扫描,并对其发起暴力破解攻击,试图通过尝试与Tomcat相关的不同凭据组合来访问Tomcat web应用程序管理器,并在受害服务器中植入恶意载荷。研究人员发现这些攻击最终投放的恶意载荷主要有3种类型,分别是Mirai僵尸网络、挖矿木马以及CHAOS勒索软件及其变种。
https://blog.aquasec.com/tomcat-under-attack-investigating-the-mirai-malware
2 WordPress的Ninja Forms插件存在安全漏洞
研究人员在WordPress的流行插件Ninja Forms中发现了3个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。第一个漏洞是CVE-2023-37979,这是一个基于POST的反射式XSS(跨站点脚本)漏洞,允许未经身份验证的攻击者通过诱骗特权用户访问特制的网页来提升权限并窃取信息。后两个安全漏洞分别被标记为CVE-2023-38393和CVE-2023-38386,是插件的表单提交导出功能中的访问控制问题,允许导出用户在受影响的WordPress网站上提交的所有数据。研究人员于2023年6月22日向插件的开发者披露了这三个漏洞,并警告会影响NinjaForms 3.6.25及更高版本。开发人员于2023年7月4日发布了3.6.26版本,以修复这些漏洞,但目前只有一半的插件用户进行了更新。
https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data
3 Zimbra针对其产品中的零日漏洞发布安全更新
Zimbra发布安全更新,修复Zimbra协作套件(ZCS)电子邮件服务器的中的零日漏洞。该安全漏洞是一个反射式XSS(跨站点脚本)漏洞,攻击者能够利用该XSS漏洞在受影响的系统上窃取敏感信息或执行恶意代码。虽然Zimbra在首次披露该漏洞并敦促用户手动修复时表示没有发现漏洞利用迹象,但研究人员表示在具有针对性的攻击活动中发现了对该漏洞的利用。
https://www.bleepingcomputer.com/news/security/zimbra-patches-zero-day-vulnerability-exploited-in-xss-attacks
4 Metabase发布安全更新以修复其产品中的高危漏洞
Metabase是一款流行的商业智能和数据可视化软件包,该公司在其产品中发现了一个高危漏洞,建议Metabase的用户更新到最新版本,该漏洞可能导致攻击者在受影响的设备上执行预先验证的远程代码。该漏洞被标记为CVE-2023-38646,影响0.46.6.1之前的开源版本和1.46.6.1以前的Metabase Enterprise版本。目前没有发现漏洞利用迹象,但仍有多数Metabase用户尚未进行更新,面临被攻击的风险。
https://www.metabase.com/blog/security-advisory
5 陆地集群无线电标准中存在5个安全漏洞
政府部门和关键基础设施中广泛使用的陆地集群无线电(TETRA)通信标准中存在5个安全漏洞。这些安全漏洞于2021年被研究人员所发现,并一直持续到现在,统称为TETRA:BURST。到目前为止,还没有确凿的证据可以确定这些漏洞被攻击者所利用。根据基础设施和设备配置,攻击者能够利用这些漏洞进行实时解密、先窃取后解密、消息注入、用户匿名化或会话密钥固定。这些安全漏洞分别被标记为CVE-2022-24400、CVE-2022-24401、CVE-2022-24402、CVE-2022-24403、CVE-2022-24404。
https://tetraburst.com
6 加拿大医疗软件供应商CardioComm遭受网络攻击
加拿大心脏监测和医疗心电图解决方案提供商CardioComm表示,在遭受网络攻击后,该公司已将系统进行离线处理。该公司表示,此次攻击事件影响了其生产服务器环境,并对其业务运营产生了影响。CardioComm的业务运营将受到几天甚至更长时间的影响,这取决于该公司恢复数据和重建生产服务器环境的速度。CardioComm表示没有证据表明客户的健康信息在遭到泄露,主要是因为它的软件在每个客户的系统上运行,并且CardioComm不从客户那里收集患者健康信息。尽管CardioComm没有透露此次攻击事件的更多细节,但可能涉及勒索软件。
https://www.securityweek.com/cardiocomm-takes-systems-offline-following-cyberattack/?web_view=true
页:
[1]