每日安全简讯(20231018)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 以色列的盗版应用程序安装Android间谍软件

据研究人员分析，一些不明动机和来源的黑客利用以色列公民对“红色警报 - 火箭警报”应用的高度关注和对攻击的恐惧，分发了一个安装间谍软件的恶意版本。红色警报 - 火箭警报是一个合法的开源应用，用于接收针对以色列的来袭火箭的通知。据研究人员称，这个恶意版本是从“redalerts[.]me”网站分发的，该网站于2023年10月12日创建，包含两个按钮，可以为iOS和Android平台下载应用。iOS下载按钮会将用户重定向到苹果应用商店的合法项目页面，但是Android按钮会直接下载一个APK文件，需要在设备上安装。下载的APK使用了真正的红色警报应用的合法代码，因此它包含了所有正常的功能，并且看起来像一个合法的火箭警报工具。但是，在后台，它会作为间谍软件运行，收集用户的通话记录、短信、联系人、位置、浏览器历史、剪贴板内容等敏感数据，并将其发送到远程服务器。

https://blog.cloudflare.com/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information/

---

2 攻击者滥用Discord服务器攻击关键基础设施

Discord是一个流行的在线聊天平台，主要用于游戏玩家之间的交流。然而，Discord也被黑客和APT(高级持续性威胁)组织利用，用于分发恶意软件、窃取数据、或者盗取用户的身份验证令牌。研究人员发布的报告指出，Discord现在也被APT组织采用，他们利用Discord针对关键基础设施进行攻击。Discord的一些特性使其成为黑客和APT组织的理想工具。例如，Discord允许用户上传和下载任何类型的文件，而不进行任何安全检查。这意味着黑客可以轻松地将恶意软件伪装成其他文件，并通过Discord传播。此外，Discord还提供了一个名为CDN(内容分发网络)的服务，用于存储用户上传的文件，并为每个文件生成一个唯一的URL。这些URL可以在任何地方访问，而不需要登录Discord账户。这使得黑客可以通过其他渠道发送这些URL，诱导用户下载恶意文件。除了分发恶意软件外，Discord还被用于窃取数据和身份验证令牌。如果黑客能够获取用户的身份验证令牌，他们就可以冒充用户，在Discord上发送消息、加入服务器、或者访问私人信息。

https://www.trellix.com/en-au/about/newsroom/stories/research/discord-i-want-to-play-a-game.html

---

3 美国网络安全机构警告立即修补Atlassian Confluence漏洞

美国网络安全机构CISA、FBI和MS-ISAC发出警告，要求网络管理员立即修补Atlassian Confluence服务器上的一个最高严重性的漏洞，该漏洞已经被攻击者积极利用。这个漏洞被追踪为CVE-2023-22515，是一个严重的权限提升漏洞，影响了Confluence Data Center和Server 8.0.0及更高版本，可以在不需要用户交互的低复杂度攻击中被远程利用。Atlassian在10月4日发布了安全更新，建议客户尽快升级到修复版本，因为该漏洞已经作为零日漏洞在野外被利用。CISA、FBI和MS-ISAC提供了一些缓解措施，以帮助受影响的组织保护自己免受攻击。

https://www.bleepingcomputer.com/news/security/cisa-fbi-urge-admins-to-patch-atlassian-confluence-immediately/

---

4 WordPress Royal Elementor插件漏洞被黑客利用

据报道，一种影响WordPress Royal Elementor插件和模板(最高版本为 1.3.78)的高危漏洞(CVE-2023-5360)正在被黑客大规模利用。该漏洞是在供应商发布补丁之前被发现的，因此被称为零日漏洞。两家WordPress安全公司，Wordfence和WPScan，表示自2023年8月30日以来，该漏洞就被不断地利用，而且从2023年10月3日开始，攻击量急剧增加。该漏洞允许未经身份验证的攻击者通过发送特制的请求来执行任意代码，并获取对受影响网站的完全控制。据估计，有超过100万个WordPress网站使用了Royal Elementor插件和模板，因此受到了威胁。

https://www.wordfence.com/blog/2023/10/psa-critical-unauthenticated-arbitrary-file-upload-vulnerability-in-royal-elementor-addons-and-templates-being-actively-exploited/

---

5 思科IOS XE软件Web UI存在严重零日漏洞，已被黑客利用

思科发布了一个安全公告，披露了其IOS XE软件Web UI功能的一个未知漏洞(CVE-2023-20198)，该漏洞已被暴露在互联网或不可信网络上的黑客积极利用。该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有15级访问权限的帐户，从而可以控制受影响的系统。思科已根据CVSS等级为该漏洞指定最高可能的严重性评级为10级(满分10级)。思科表示，该漏洞影响了启用Web UI功能的所有IOS XE设备，该功能通过ip http server或ip http secure-server命令启用。目前还没有针对该漏洞的补丁或其他解决方法，思科建议用户检查其系统配置，并关闭可能导致漏洞被利用的功能。思科还表示，将在后续更新中提供关于此次调查的状态和软件补丁的可用性。

https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

---

6 堪萨斯州法院系统遭遇安全事件，导致网络中断

堪萨斯州最高法院发布了一份通知，称其近期遭遇了一个“安全事件”，导致该州各级法院使用的信息系统出现问题。该事件影响了律师通过电子方式提交法院案件文件的eFiling系统，以及地区法院用于处理案件的eCourt案件管理系统。目前，这些系统都已经离线，无法正常运行。堪萨斯州最高法院表示，正在调查安全事件的原因和影响范围，并尽快恢复系统的正常运作。在此期间，最高法院下令所有下级法院继续使用纸质系统进行工作。最高法院首席法官在一份声明中说：“我们在我们的网站上发布了这份命令和其他信息，以指导法院用户在我们的信息系统离线时如何使用我们的服务。我们继续为我们的社区提供服务，但我们在系统恢复之前使用不同的方法。”堪萨斯州居民和律师可以在这个网页上找到更多关于如何访问法院系统的信息。目前还不清楚安全事件是否导致了法院系统中包含的个人信息被泄露或损坏。

https://www.kscourts.org/KSCourts/media/KsCourts/Orders/2023-CC-074.pdf

---