每日安全简讯(20250125)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 黑客利用cnPilot路由器零日漏洞构建AIRASHI僵尸网络
根据研究人员的报告,攻击者正在利用Cambium Networks cnPilot路由器的零日漏洞部署AIRASHI DDoS僵尸网络,该网络是AISURU僵尸网络的变种。自2024年6月以来,AIRASHI通过零日漏洞及其他历史漏洞感染设备,其攻击能力稳定在1-3 Tbps。受害设备主要分布在巴西、俄罗斯、越南和印尼,而攻击目标集中在中国、美国、波兰和俄罗斯。AIRASHI进一步分化为支持DDoS攻击和代理功能的多个版本,并采用加密通信协议提升隐匿性。此外,攻击者还在Telegram上公开测试攻击能力,意图扩大僵尸网络服务范围。
https://thehackernews.com/2025/01/hackers-exploit-zero-day-in-cnpilot.html
2 TRIPLESTRENGTH组织利用云环境进行加密劫持和本地勒索攻击
Google披露了威胁组织TRIPLESTRENGTH的攻击行为,该组织利用被劫持的云资源进行加密劫持,并针对本地系统部署勒索软件。其入侵方式包括使用被盗凭据访问Google Cloud、AWS和Azure等平台,通过高权限账户设置矿机资源挖掘加密货币。同时,该组织在Telegram上推广勒索即服务(RaaS),并销售受感染服务器的访问权限。
https://thehackernews.com/2025/01/triplestrength-targets-cloud-platforms.html
3 ChatGPT API漏洞可用于发起DDoS攻击
德国安全研究员Benjamin Flesch发现ChatGPT API存在一个严重漏洞,可被攻击者利用生成DDoS攻击。该漏洞源于API处理HTTP POST请求时未限制URL数量,攻击者可通过单次请求传递大量URL,导致目标网站因过多连接请求而瘫痪。Flesch展示的漏洞概念验证代码表明,该缺陷具有高达8.6的CVSS评分,因其易于利用且无需高权限或用户交互。
https://github.com/bf/security-advisories/blob/main/2025-01-ChatGPT-Crawler-Reflective-DDOS-Vulnerability.md
4 Zendesk子域名漏洞被滥用于钓鱼与诈骗
CloudSEK研究员发现Zendesk的子域注册功能存在漏洞,威胁行为者可利用该平台伪造品牌子域开展钓鱼与“杀猪盘”投资诈骗。Zendesk允许用户轻松注册子域并发送客户支持邮件,攻击者借此伪装成合法企业,通过钓鱼链接引导受害者泄露敏感信息或转账。自2023年以来,研究发现已有1912个Zendesk子域被滥用,部分公司注册量异常高。测试显示,攻击者可注册逼真的子域名、发送伪装邮件,并链接恶意页面,以假冒支持票据的形式增强欺骗性。
https://www.cloudsek.com/blog/facilitating-phishing-and-pig-butchering-activities-using-zendesk-infrastructure-bait-switch-mode
5 思科修复会议管理系统关键漏洞可获取管理员权限
思科发布更新修复会议管理系统的关键权限提升漏洞(CVE-2025-20156,CVSS评分9.9)。该漏洞源于REST API授权验证不充分,攻击者可通过API请求获取管理员权限,控制受管节点。此外,还修复了BroadWorks SIP请求内存处理漏洞(CVE-2025-20165)及ClamAV整数下溢漏洞(CVE-2025-20128)。用户应尽快升级至安全版本以避免潜在威胁。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmm-privesc-uy2Vf8pc
6 德州HHSC数据泄露事件影响6.1万人
德州健康与公共服务委员会(HHSC)通报了一起涉及内部员工的重大数据泄露事件,影响61000名居民。事件源于七名员工滥用权限访问敏感信息并盗用福利资金,时间跨度超过三年,涉及姓名、地址、社会安全号、医疗及财务信息等。部分SNAP账户被盗用,损失达27万美元。HHSC已解雇涉事员工,并加强内部安全控制,包括角色访问权限管理、监控和警报措施,以防范类似事件再次发生。
https://www.hhs.texas.gov/news/2025/01/hhsc-notifies-public-regarding-privacy-breach
页:
[1]