每日安全简讯(20231004)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 BunnyLoader恶意软件以MaaS形式出现

BunnyLoader是一种新兴的恶意软件即服务(MaaS)工具，它在黑客论坛上进行推广，以低廉的价格吸引了许多客户。BunnyLoader是一种无文件加载器，可以在受感染的计算机上执行远程命令，并窃取敏感数据，如浏览器密码、钱包地址、剪贴板内容等。BunnyLoader还可以下载和运行其他恶意软件，如勒索软件、僵尸网络、木马等。BunnyLoader的作者声称，该工具具有高度的隐蔽性和稳定性，可以绕过大多数杀毒软件的检测。BunnyLoader还提供了一个用户友好的控制面板，可以让客户管理和监控他们的受害者。BunnyLoader的价格从每月10美元到每年100美元不等，取决于客户需要的功能和受害者数量。

https://www.bleepingcomputer.com/news/security/new-bunnyloader-threat-emerges-as-a-feature-rich-malware-as-a-service/

---

2 TeamCity漏洞被勒索软件团伙大规模利用

TeamCity是一款由JetBrains开发的持续集成和部署服务器，近日被发现存在一个严重的远程代码执行(RCE)漏洞(编号为CVE-2023-42793，严重程度为9.8/10)。该漏洞可以让未经授权的攻击者在不需要用户交互的低复杂度攻击中绕过认证，从而在目标服务器上执行任意代码。据报道，多个勒索软件团伙已经开始利用该漏洞，对使用TeamCity的组织进行攻击。攻击者可以通过该漏洞窃取源代码、服务凭证、加密密钥等敏感数据，或者下载并运行勒索软件，对受害者的文件进行加密，并要求支付赎金。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-now-exploiting-critical-teamcity-rce-flaw/

---

3 WS_FTP服务器存在远程代码执行漏洞

WS_FTP服务器是一款流行的文件传输服务器软件，由Progress Software公司开发和维护。近日，该公司发布了一个安全公告，披露了WS_FTP服务器的多个严重漏洞，其中最危险的是CVE-2023-400442，该漏洞可以让未经身份验证的攻击者利用Ad Hoc Transfer模块中的一个.NET反序列化漏洞，在WS_FTP服务器的操作系统上执行远程命令。该漏洞已被安全研究人员发现并公开，并且已经被黑客利用，对WS_FTP服务器进行攻击。Progress Software公司已经为受影响的版本提供了补丁，并建议用户尽快更新或禁用Ad Hoc Transfer模块，以防止遭受攻击。

https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023

---

4 NPM中发现多个恶意软件包

研究人员在过去几个月里，通过一个专门用于发现各种生态系统中的恶意开源包的系统，发现了NPM（Node Package Manager）中的多个恶意包。NPM是JavaScript编程语言最大的软件注册中心。这些恶意包大多使用安装脚本，在安装NPM包时运行。它们的目的是窃取敏感数据，如系统或用户信息，并通过webhook或文件分享链接发送出去。研究人员分析了这些恶意包，并根据它们的代码或功能的相似性将它们分为几组。其中最危险的一组是利用Ad Hoc Transfer模块中的一个.NET反序列化漏洞，在WS_FTP服务器上执行远程命令的CVE-2023-400441。该漏洞已被黑客利用，对WS_FTP服务器进行攻击。

https://www.fortinet.com/blog/threat-research/malicious-packages-hiddin-in-npm

---

5 Arm修复Mali GPU漏洞阻止黑客攻击

Arm是一家开发和维护Mali GPU(图形处理单元)内核驱动程序的公司。该驱动程序是一种软件，用于控制和管理GPU的功能。近日，Arm发布了安全补丁，修复了一个影响Mali GPU内核驱动程序的严重漏洞。该漏洞被编号为CVE-2023-42111，影响了以下版本的驱动程序：该漏洞可以让本地非特权用户通过不恰当的GPU内存处理操作，访问已经释放的内存。这可能导致数据泄露或远程代码执行。Arm已经在Bifrost、Valhall和Arm第五代GPU架构内核驱动程序r43p0中解决了该问题。

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

---

6 欧洲电信标准协会遭黑客攻击泄露数据

欧洲电信标准协会(ETSI)是一个制定全球电信、广播和其他电子通信标准的组织。近日，该组织遭到了一场黑客攻击，导致其部分数据被泄露。黑客利用了一个未修复的漏洞，入侵了ETSI的网络，并窃取了包括员工、合作伙伴和客户的个人信息在内的数据。黑客还声称能够访问ETSI的内部文档和源代码。黑客将部分数据发布在了暗网上，并威胁要公开更多数据，除非ETSI支付赎金。ETSI已经确认了这起数据泄露事件，并表示正在与相关当局合作调查事件的原因和影响。ETSI还表示已经采取了措施加强其网络安全，并建议所有受影响的个人和组织修改密码和监测异常活动。

https://www.etsi.org/newsroom/news/2267-etsi-faced-a-cyberattack

---