每日安全简讯(20240504)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 美国政府警告亲俄攻击者针对供水设施持续发起网络攻击
美国政府警告称,亲俄罗斯的黑客活动分子正在寻找并侵入不安全的操作技术(OT)系统,以破坏关键基础设施的运行。该联合咨询来自六个美国政府机构,包括 CISA、FBI、NSA、EPA、DOE、USDA 和 FDA,以及多州信息共享和分析中心 (MS-ISAC)、加拿大网络安全中心 ( CCCS)和英国国家网络安全中心(NCSC-UK)。OT 设备是硬件和软件平台的组合,用于监视和控制制造、关键基础设施和其他行业的物理过程或活动。例如,水厂使用 OT 设备来管理水处理、分配和压力,以提供持续、安全的供水。美国政府警告称,自 2022 年以来,亲俄罗斯的黑客活动分子一直将不安全和配置错误的 OT 设备作为目标,以扰乱运营或造成“滋扰效应”。
https://media.defense.gov/2024/May/01/2003454817/-1/-1/0/DEFENDING-OT-OPERATIONS-AGAINST-ONGOING-PRO-RUSSIA-HACKTIVIST-ACTIVITY.PDF
2 攻击者过去五年中在Docker Hub植入了数百万个恶意无镜像仓库
研究人员发现了多个针对 Docker Hub 的活动,在过去五年中植入了数百万个恶意“无镜像”仓库。Docker Hub 中超过 400 万个存储库是无镜像的,除了存储库文档之外没有任何内容。更重要的是,该文档与公共仓库没有任何关系。相反,它是一个旨在引诱用户访问网络钓鱼或恶意软件托管网站的网页。在发现的 460 万个无图像 Docker Hub 仓库中,据说其中 281 万个存储库被用作登陆页面,将毫无戒心的用户重定向到欺诈网站,例如下载器、电子书网络钓鱼等。
https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/
3 HPE Aruba Networking修复了ArubaOS中的四个关键远程代码执行漏洞
HPE Aruba Networking 发布了 2024 年 4 月安全公告,详细介绍了影响其专有网络操作系统 ArubaOS 多个版本的关键远程代码执行 (RCE) 漏洞。该通报列出了 10 个漏洞,其中 4 个属于严重级别(CVSS v3.1:9.8)未经身份验证的缓冲区溢出问题,可能导致远程代码执行 (RCE)。四个严重的远程代码执行缺陷是:CVE-2024-26305、CVE-2024-26304、CVE-2024-33511和CVE-2024-33512。为了缓解这些缺陷,供应商建议启用增强型 PAPI 安全性并升级到 ArubaOS 的修补版本。
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt
4 法国医院CHC-SV称拒绝支付LockBit勒索软件组织的赎金
法国戛纳医院西蒙娜·韦伊医院 (CHC-SV) 宣布收到 Lockbit 3.0 勒索软件团伙的赎金要求,并表示他们拒绝支付赎金。4 月 17 日,这家拥有 840 个床位的医院宣布因网络攻击造成严重运营中断,迫使其所有计算机脱机并重新安排非紧急程序和预约。5 月 30 日,该机构在 X 上宣布,已收到 Lockbit 3.0 勒索软件操作的赎金要求,并将其转发给宪兵队和国家信息系统安全局 (ANSSI)。与此同时,LockBit 勒索软件组织在暗网上的勒索门户上添加了 CHC-SV,威胁要在当天结束前泄露攻击期间被盗的第一个文件样本包。
https://www.bleepingcomputer.com/news/security/french-hospital-chc-sv-refuses-to-pay-lockbit-extortion-demand/
5 微软确认4月份Windows Server更新会导致NTLM身份验证失败
Microsoft 已确认安装上个月的 Windows Server 安全更新后出现的 NTLM 身份验证失败和高负载的客户报告。根据周二添加到 Windows 运行状况仪表板的新条目,此已知问题只会影响具有大量 NTLM 流量和少量主 DC 的组织中的 Windows 域控制器。受影响的 Windows 版本和有问题的安全更新列表包括 Windows Server 2022 ( KB5036909 )、Windows Server 2019 ( KB5036896 )、Windows Server 2016 ( KB5036899 )、Windows Server 2012 R2 ( KB5036960 )、Windows Server 2012 ( KB5036969 )、Windows Server 2008 R2 ( KB5036967 ) 和 Windows Server 2008 ( KB5036932 )。微软表示: “在域控制器 (DC) 上安装 2024 年 4 月安全更新后,您可能会注意到 NTLM 身份验证流量显着增加。”此问题可能会影响环境中主域控制器比例很小且 NTLM 流量较高的组织。
https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022#3292msgdesc
6 澳洲航空应用程序向随机用户泄露了敏感的旅客详细信息
澳洲航空证实,其一些客户受到其应用程序配置错误的影响,该配置错误将敏感信息和登机牌暴露给随机用户。澳洲航空是澳大利亚的旗舰航空公司,也是机队规模最大的航空公司,运营着 125 架飞机,飞往 104 个目的地。澳洲航空拥有 23500 名员工,年收入近 129 亿美元。澳洲航空应用程序的几名用户在社交媒体上报告称,他们可以查看其他用户的旅行详细信息,包括个人身份信息、即将起飞的航班的登机牌以及其他帐户信息。澳洲航空迅速对报告做出回应,并确认敏感信息可能因最近的系统变更而意外泄露。该航空公司建议乘客退出澳洲航空应用程序上的“飞行常客”帐户,并对社交媒体上的诈骗保持警惕。随后的更新宣布了该航空公司问题的解决方案,确认网络攻击并未导致该事件,而是内部配置更改导致信息仅在应用程序上暴露。
https://www.qantasnewsroom.com.au/qantas-responds/statement-on-qantas-app-issue/
致谢:特别感谢武汉大学的彭老师对2024年5月4日第二条简讯提出的宝贵指导意见。
页:
[1]