Atgiant 发表于 2024-5-30 17:13

每日安全简讯(20240531)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Check Point发布VPN零日漏洞的紧急修复

Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序,该漏洞被用来远程访问防火墙并试图入侵企业网络。 周一,该公司首次警告VPN设备攻击激增,并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞,黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919,是一个高严重性的信息泄露漏洞,使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问VPN或移动访问功能的某些信息,"Check Point在其之前的公告更新中提到。

https://support.checkpoint.com/results/sk/sk182336

2 Okta警告Customer Identity Cloud可受到凭证填充攻击

Okta警告称,Customer Identity Cloud (CIC)中的跨源身份验证功能易受威胁行为者发起的凭证填充攻击。可疑活动始于2024年4月15日,公司表示已“主动”通知了启用该功能的客户。但未透露受到攻击影响的客户数量。凭证填充是一种网络攻击类型,对手尝试使用从之前的数据泄露、网络钓鱼或恶意软件活动中获得的用户名和密码列表登录在线服务。作为推荐的应对措施,用户被要求检查租户日志中是否有意外登录事件的迹象——例如失败的跨源身份验证(fcoa)、成功的跨源身份验证(scoa)和密码泄露(pwd_leak),旋转凭证,并限制或禁用租户的跨源身份验证。

https://sec.okta.com/articles/2024/05/detecting-cross-origin-authentication-credential-stuffing-attacks

3 研究人员称Moonstone Sleet组织与FakePenny勒索软件攻击有关联性

微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来,这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序(TTP)在很大程度上与其他朝鲜攻击者重叠,但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone Sleet已被观察到使用特洛伊化软件(如PuTTY)、恶意游戏和npm包、自定义恶意软件加载器,以及设立虚假软件开发公司(如StarGlow Ventures、C.C. Waterfall)与潜在受害者在LinkedIn、Telegram、自由职业网络或通过电子邮件互动,来攻击金融和网络间谍目标。“当微软首次检测到Moonstone Sleet活动时,该行为体与Diamond Sleet有很强的重叠,广泛重用已知的Diamond Sleet恶意软件(如Comebacker)的代码,并使用已建立的Diamond Sleet技术访问组织,如通过社交媒体传递特洛伊化软件,”微软表示。

https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/

4 研究人员发布了最高严重性Fortinet RCE的漏洞利用代码

安全研究人员已发布了Fortinet安全信息和事件管理(SIEM)解决方案的最高严重性漏洞的概念验证(PoC)利用代码,该漏洞已于今年二月修补。追踪编号为CVE-2024-23108,允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令,”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及更高版本,并于今年2月8日与另一个10/10严重性评分的RCE漏洞(CVE-2024-23109)一起修补。在最初否认这两个CVE漏洞的真实性并声称它们实际上是十月份修复的类似漏洞(CVE-2023-34992)的重复漏洞后,Fortinet还表示,这些CVE的披露是“系统级错误”,因为它们由于API问题而被错误生成。

https://www.fortiguard.com/psirt/FG-IR-23-130

5 在RansomHub组织威胁泄露数据后克里斯蒂拍卖行确认遭遇数据泄露

克里斯蒂拍卖行确认本月早些时候遭遇了安全事件,此前RansomHub敲诈团伙声称对此负责并威胁泄露被盗数据。克里斯蒂是一家拥有2.5世纪历史的著名拍卖行,业务遍及46个国家,专门出售艺术品、奢侈品和高价值收藏品。克里斯蒂处理过许多著名的拍卖,例如2017年以4.5亿美元售出的达芬奇的《救世主》,2009年以3.7亿欧元售出的伊夫·圣罗兰和皮埃尔·贝尔热收藏,以及2022年超过15亿美元的保罗·艾伦艺术收藏。,RansomHub勒索软件团伙在其暗网勒索页面上添加了克里斯蒂,声称他们入侵了该公司并盗取了敏感客户数据。克里斯蒂称该公司确实遭遇了一次数据泄露,影响了一些客户。“本月早些时候,克里斯蒂经历了一次技术安全事件。我们迅速采取行动保护我们的系统,包括将我们的网站下线,”发言人确认。

https://www.bleepingcomputer.com/news/security/christies-confirms-breach-after-ransomhub-threatens-to-leak-data/


6 处方管理公司Sav-Rx通报影响280万美国人的数据泄露事件

处方管理公司Sav-Rx正在警告美国280多万人,他们的个人数据在2023年一次网络攻击中被盗。A&A Services,以Sav-Rx名义经营,是一家药品福利管理(PBM)公司,向美国各地的雇主、工会和其他组织提供处方药管理服务。上周五,该公司向缅因州总检察长办公室通报了2023年10月的一起网络安全事件,该事件暴露了2812336人的数据。“在2023年10月8日,我们发现了计算机网络的中断。因此,我们立即采取措施保护系统,并聘请了第三方网络安全专家。”发给受影响个人的通知中写道。

https://apps.web.maine.gov/online/aeviewer/ME/40/8912d568-e577-49a3-93ba-f9341533d332.shtml



页: [1]
查看完整版本: 每日安全简讯(20240531)