每日安全简讯(20231011)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 佛罗里达州巡回法院遭ALPHV勒索软件攻击
据报道,ALPHV(又名BlackCat)勒索软件团伙声称对佛罗里达州西北部的州立法院发动了一次攻击,这些法院属于第一司法巡回法院。据称,威胁者获取了包括法官在内的员工的个人信息,如社会保障号和简历。研究人员表示,ALPHV是今年最复杂的勒索软件之一,具有高度可定制的功能集,可以对各种目标进行攻击。ALPHV团伙在其暗网网站上公布了部分被盗数据的截图,并要求受害者支付赎金,否则将泄露更多数据。佛罗里达州第一司法巡回法院已经确认了这次网络攻击,并表示正在与联邦和州级执法机构合作,调查事件并恢复系统。目前尚不清楚攻击者是否已经加密了受影响的系统,以及赎金的具体金额。
https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/
2 Volex PLC遭黑客入侵部分IT系统和数据
Volex PLC是一家总部位于英国的电力和数据传输产品制造商,其产品广泛应用于汽车、医疗、工业和消费电子领域。报道称,该公司近日遭受了一次网络攻击,导致攻击者未经授权地访问了该公司的部分IT 统和数据。Volex PLC表示,该公司在发现攻击后迅速采取了应对措施,并实施了一项事件响应计划。该公司还声称,目前没有证据表明该事件造成了“重大财务影响”,也没有影响到其客户或供应商的数据。Volex PLC表示,该公司正在与相关当局合作,调查事件的原因和影响,并采取适当的补救措施。该公司还表示,将继续评估其网络安全控制,并采取必要的改进措施,以防止类似事件的再次发生。
https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/
3 黑客利用Citrix NetScaler漏洞窃取用户凭证
一项最近披露的Citrix NetScaler ADC和Gateway设备的严重漏洞正在被威胁行为者利用,进行用户凭证收集活动。研究人员在上个月发现了这一活动,称对手利用CVE-2023-3519攻击未打补丁的NetScaler Gateway,将恶意脚本插入到身份验证网页的HTML内容中,以捕获用户凭证。CVE-2023-3519(CVSS评分:9.8)是一个严重的代码注入漏洞,可能导致未经身份验证的远程代码执行。Citrix在2023年7月修复了这个问题,并警告存在野外利用的情况。成功利用此漏洞需要将设备配置为Gateway(VPN虚拟服务器、ICA代理、CVPN、RDP代理)或认证、授权和审计(AAA)虚拟服务器。研究人员表示,它发现了至少600个具有修改过的NetScaler Gateway登录页面的唯一受害者IP地址,其中大部分位于美国和欧洲。这些攻击被认为是机会主义的,因为添加的内容出现不止一次。目前尚不清楚这一活动何时开始,但最早的登录页面修改是在2023年8月11日,表明它已经进行了近两个月。它尚未归因于任何已知的威胁行为者或组织。
https://securityintelligence.com/x-force/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/
4 libcue库漏洞导致GNOME Linux系统遭受远程代码执行攻击
libcue是一个用于解析cue文件的库,它被集成到了GNOME Linux系统中的一款搜索引擎工具Tracker Miners中。Tracker Miners可以对系统中的文件进行索引,方便用户访问。然而,近日发现libcue库存在一个严重的内存损坏漏洞,编号为CVE-2023-43641,CVSS评分为8.8。该漏洞影响了2.2.1及之前的版本,如果被利用,可能导致远程代码执行(RCE)。该漏洞的利用方式非常简单,只需诱使受害者点击一个恶意链接并下载一个.cue文件,就可以在其机器上执行代码。这是因为.cue文件会被保存到“~/Downloads”目录下,然后被Tracker Miners自动扫描,并使用libcue库进行解析。在解析过程中,恶意文件就会触发漏洞,并获取代码执行权限。
https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
5 WordPress插件tagDiv的漏洞被利用,数千个网站遭到黑客攻击
WordPress是一个流行的内容管理系统(CMS),它允许用户使用各种插件来增强其网站的功能和外观。最近,一款名为tagDiv的WordPress插件就发现了一个严重的漏洞,编号为CVE-2023-42793,CVSS评分为9.8。该漏洞影响了tagDiv Newspaper主题和tagDiv Composer插件,这两款产品都是由罗马尼亚公司tagDiv开发的,用于创建新闻、杂志和博客类网站。CVE-2023-42793是一个未经身份验证的远程代码执行(RCE)漏洞,它允许攻击者在受影响的网站上执行任意PHP代码。该漏洞存在于tagDiv Composer插件中的一个文件(td-composer/legacy/common/wp_booster/td_wp_booster_functions.php),该文件包含了一个名为td_ajax_update_panel的函数,该函数接收并处理来自用户的请求。由于该函数没有对用户输入进行适当的验证和过滤,攻击者可以通过构造恶意参数,触发eval函数,并执行任意代码。据悉,该漏洞已经被黑客大规模利用,对数千个使用tagDiv产品的WordPress网站进行攻击。研究人员在2023年10月份发现了这一活动,并将其命名为“Tagdiv Hack”。研究人员表示,攻击者利用该漏洞,在受感染的网站上植入后门、恶意脚本和广告代码。这些恶意代码会导致网站访问者被重定向到其他恶意网站,或者被展示不良内容。
https://blog.sucuri.net/2023/10/balada-injector-targets-unpatched-tagdiv-plugin-newspaper-theme-wordpress-admins.html
6 HelloKitty勒索软件源代码在黑客论坛上泄露
HelloKitty是一种针对企业的勒索软件,它会在加密受害者的文件后,将解密密钥发送给攻击者,从而让他们控制受害者的数据。据报道,HelloKitty勒索软件的源代码在一个黑客论坛上被泄露,该论坛的管理员称,他们从一个名为“L0ckBit”的用户那里获得了源代码,并将其公开分享给其他用户。据悉,该源代码包含了HelloKitty勒索软件的主要功能模块,以及用于加密和解密文件的算法。该事件引起了安全界的关注,因为HelloKitty勒索软件可能会被其他黑客利用或改造,从而造成更多的网络攻击。此外,该事件也暴露了HelloKitty勒索软件团伙内部可能存在分歧或背叛,导致他们的秘密被泄露。
https://securityaffairs.com/152182/malware/hellokitty-ransomware-source-code-leaked.html
页:
[1]