每日安全简讯(20240422)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露名为“DuneQuixote”的攻击活动
2024年2月,研究人员发现了针对中东政府的新恶意软件活动,并将其命名为“DuneQuixote”,有证据表明它可能至少在一年前就一直活跃。攻击活动起始于一种加载器,它有两种变体:作为可执行文件或DLL文件实现的常规滴管,以及合法工具Total Commander的篡改安装程序。无论使用哪种方法,加载器的主要功能都是提取嵌入的C2地址,并使用一种新的解密方式,以防止C2地址暴露给自动恶意软件分析工具。随后,加载器与C2服务器建立连接,并在HTTP请求中提供硬编码的ID作为User-Agent字符串后下载植入CR4T后门。CR4T(“CR4T.pdb”)是一种基于C/C++的仅内存植入程序,它允许攻击者通过控制台在受感染的计算机上执行命令行,执行文件操作,并进行上传、下载文件等操作。
https://securelist.com/dunequixote/112425/
2 CrushFTP修复零日漏洞
CrushFTP在发布的新版本中修复了一个被积极利用的零日漏洞,并敦促使用该产品的用户立即更新。该零日漏洞能使未经身份验证的攻击者逃脱用户的虚拟文件系统(VFS)并下载系统文件。该公司警告服务器仍在运行CrushFTP v9的客户立即升级到v11或通过仪表板进行更新。安全研究团队已经看到CrushFTP零日漏洞被用于有针对性的攻击。攻击者的目标是多个美国组织的CrushFTP服务器,有证据表明这是一场情报收集活动,可能出于政治动机。
https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-exploited-zero-day-immediately/
3 MITRE表示攻击者通过Ivanti零日漏洞入侵其网络
MITRE Corporation表示,一个攻击组织于2024年1月通过两个Ivanti VPN零日漏洞入侵了其系统。该事件是在MITRE的网络实验、研究和虚拟化环境(NERVE)上检测到可疑活动后发现的。攻击者还通过使用会话劫持来绕过多因素身份验证(MFA)防御,这允许他们使用被劫持的管理员帐户横向移动被破坏网络的VMware基础架构。在整个事件中,攻击者结合使用了复杂的Web Shell和后门来维持持久化访问并收集凭据。到目前为止,在调查期间收集的证据表明,此次事件并未影响该组织的核心企业网络或其合作伙伴的系统。
https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8
4 WordPress插件Forminator存在安全漏洞
WordPress插件Forminator受到安全漏洞的影响,该漏洞允许攻击者不受限制地将文件上传至服务器。该漏洞被标记为CVE-2024-28890,CVSS评分为9.8,远程攻击者可能通过访问服务器上的文件来获取敏感信息,更改使用该插件的站点,并导致拒绝服务(DoS)情况。此外,该插件还存在CVE-2024-31077(SQL注入漏洞)以及CVE-2024-31857(XSS漏洞)。建议使用Forminator插件的网站管理员尽快将插件升级到1.29.3版,该版本解决了以上三个安全漏洞。
https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/
5 思科集成管理控制器存在安全漏洞
思科集成管理控制器中存在一个安全漏洞,该漏洞被标记为CVE-2024-20356,允许命令注入,并可能使攻击者获得对受影响系统的root访问权限。该漏洞存在于思科集成管理控制器(IMC)基于Web的管理界面中,IMC是用于远程管理思科硬件的关键组件。根据思科的官方安全公告,该漏洞是由于IMC界面中的用户输入验证不足造成的。已有安全研究人员披露关于该漏洞的PoC,思科针对该漏洞发布安全更新,强烈建议所有受影响的组织立即应用这些更新。
https://cybersecuritynews.com/poc-exploit-cisco-imc/
6 法国衣物销售公司确认发生数据泄露事件
法国衣物销售公司确认发生数据泄露事件,其部分客户数据失窃。有一个名为“shopifyGUY”的攻击者在黑客论坛发布相关帖子,并声称泄露的数据包括696144个客户的详细信息,例如电子邮件地址、姓名、电话号码、实际地址和总共1506395封电子邮件。该公司表示事件已经得到控制,并保证有关客户的帐户密码或支付卡数据信息不会受到该事件的影响。
https://cybernews.com/news/french-underwear-seller-le-slip-francais-breach
页:
[1]