每日安全简讯(20231019)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现针对Telegram和云用户的供应链攻击活动

2023年9月，一个使用“kohlersbtuh15”假名的攻击者，通过向PyPi包管理器上传一系列恶意包，试图利用开源社区进行传播。根据这些包的名称和代码，可以看出这个攻击者的目标是使用阿里云服务、AWS和Telegram的开发者。这次攻击的特点是，攻击者利用了Typosquatting(误拼)和Starjacking(星标劫持)等技术，诱导开发者下载恶意包。Typosquatting是指利用开发者在输入安装命令时可能出现的拼写错误，发布一个与目标包名称相似的恶意包。Starjacking是指通过将包链接到GitHub上不相关的另一个包的仓库，来操纵包的受欢迎程度指标，从而误导开发者。与常见的在Python包的安装文件中植入自动执行的恶意代码的策略不同，这次攻击中，攻击者将恶意脚本深藏在包内的特定函数中。这意味着恶意代码只有在正常使用时调用特定函数时才会执行。这种隐藏恶意代码的独特方法不仅有助于掩盖代码，而且还针对特定操作或功能，使得攻击更有效且难以检测。

https://checkmarx.com/blog/users-of-telegram-aws-and-alibaba-cloud-targeted-in-latest-supply-chain-attack/

---

2 Fantom Foundation因Chrome漏洞遭黑客攻击

2023年10月17日，Fantom Foundation(开发Fantom区块链的组织)遭到了一场网络钓鱼攻击。黑客利用了Google Chrome浏览器的一个零日漏洞，直接影响了该组织的运营。这次攻击导致了估计为65.7万美元的资金被非法转移，这是本月困扰区块链领域的众多安全事件之一。据研究人员称，攻击者从Fantom Foundation在以太坊和Fantom网络上的钱包中窃取了资金。攻击者将偷来的资金集中到一个地址中，该地址目前拥有约700万美元的价值。在这次攻击中，至少有两个钱包受到影响。Fantom Foundation Wallet 20在Fantom网络上损失了约47万美元，Fantom Foundation Wallet 18在以太坊上损失了至少18.7万美元。

https://www.hackread.com/fantom-foundation-wallet-hack-google-chrome-0-day-flaw/

---

3 假冒浏览器更新被用于部署恶意软件

近期，研究人员发现了至少四个不同的威胁集群，它们都使用假浏览器更新来分发恶意软件。假浏览器更新指的是被黑客入侵的网站显示一个似乎来自浏览器开发者(如Chrome、Firefox或Edge)的通知，告诉用户他们的浏览器软件需要更新。当用户点击链接时，他们下载的不是合法的浏览器更新，而是有害的恶意软件。这种攻击方式的特点是，黑客利用了用户对自己的浏览器和访问的已知网站的信任。黑客控制的假浏览器更新使用JavaScript或HTML注入代码，将流量引导到他们控制的域名，这可能会覆盖网页，并根据用户使用的浏览器显示一个定制化的更新诱饵，以增加更新的合法性并诱使用户点击。恶意软件将随后自动下载，或者用户将收到一个提示下载“浏览器更新”，从而投递恶意软件。

https://www.proofpoint.com/us/blog/threat-insight/are-you-sure-your-browser-date-current-landscape-fake-browser-updates

---

4 CVE-2023-43261漏洞在真实网络中的应用

研究人员在其博客中详细介绍了CVE-2023-43261漏洞在真实网络中的应用。他指出，这个漏洞可能已经在野外被利用，但并未大规模发生。此外，CVE的描述并未准确报告受影响的工业蜂窝路由器的正确集合，也未报告受影响的固件的正确集合。尽管这个漏洞最近才被公开，但它在几年前就已经被修补了。Milesight工业蜂窝路由器是一种有趣的设备，因为它们可能将工业控制系统(ICS)网络连接到互联网。如果这些路由器被利用，攻击者可能从互联网上访问ICS网络。CVE-2023-43261漏洞是一个信息泄露问题，影响了Milesight UR5X、UR32L、UR32、UR35和UR41等路由器。攻击者可以通过Web界面远程并且无需认证地访问httpd.log等日志以及其他敏感凭据。尽管大约有5500台Milesight路由器暴露在互联网上，但只有大约5%的路由器运行着易受攻击的固件版本，因此容易受到这个漏洞的影响。

https://vulncheck.com/blog/real-world-cve-2023-43261

---

5 CasaOS存在严重的安全漏洞，需尽快修复

CasaOS是一个开源的家庭云系统，可以让用户在自己的设备上部署和管理各种应用。然而，近日研究人员发现了CasaOS中存在多个严重的安全漏洞，包括任意文件读取、任意文件上传、命令注入、跨站脚本攻击等。这些漏洞可以让攻击者获取用户的敏感数据，甚至控制用户的设备。研究人员已经向CasaOS的开发者报告了这些漏洞，并提供了一些修复建议。目前，CasaOS的最新版本是0.3.7，还没有发布修复这些漏洞的更新。因此，建议CasaOS的用户尽快升级到最新版本，并避免在不受信任的网络环境下使用CasaOS。

https://www.sonarsource.com/blog/security-vulnerabilities-in-casaos/

---

6 D-Link确认数据泄露，员工和合作伙伴受影响

D-Link是一家知名的网络设备制造商，近日确认了一起数据泄露事件，导致员工和合作伙伴的个人信息和敏感数据被暴露。据报道，这起数据泄露事件发生在2023年9月30日，当时D-Link的一个第三方服务提供商遭到了网络攻击。攻击者利用了一个未修复的漏洞，窃取了D-Link的员工和合作伙伴的姓名、电子邮件地址、电话号码、职位、公司名称等信息。D-Link表示，已经通知了受影响的员工和合作伙伴，并提供了一些安全建议，如修改密码、监控账户活动、警惕钓鱼邮件等。D-Link还表示，正在与执法部门和网络安全专家合作，调查此次事件的原因和影响，并采取措施防止类似事件再次发生。

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10359

---