每日安全简讯(20240426)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露名为“ArcaneDoor”的网络攻击活动

研究人员称，自2023年11月以来，一个由国家支持的黑客组织一直在利用自适应安全设备（ASA）和Firepower威胁防御（FTD）防火墙中的两个零日漏洞来进行网络攻击活动。该组织被命名为UAT4356（STORM-1849），于2023年11月初开始渗透到易受攻击的边界设备，发起名为ArcaneDoor的攻击活动。研究人员于2024年1月初意识到ArcaneDoor活动，并发现有证据表明攻击者至少自2023年7月以来已经测试并开发了针对这两个零日漏洞的漏洞。两个零日漏洞分别被标记为CVE-2024-20353（拒绝服务）和CVE-2024-20359（持续执行本地代码）。

https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices

---

2 MuddyWater组织利用RMM工具传播恶意软件

研究人员表示，至少至2021年以来，MuddyWater组织一直依赖合法的远程监控和管理（RMM）软件进行网络攻击活动，包括ScreenConnect、Syncro、SimpleHelp、RemoteUtilies以及最近的Atera Agent。近期MuddyWater组织在攻击活动中利用Atera的免费试用版本。在此活动中看到的Atera Agent使用了受感染的商业和私人电子邮件账户进行注册。研究人员认为攻击者可能通过各种方法获取这些帐户，例如密码喷射、利用重复使用的密码、利用数据泄露的凭据，甚至购买这些账户。该组织使用免费的文件托管平台来托管RMM安装程序，并利用鱼叉式网络钓鱼电子邮件进行传播。这些电子邮件包含指向各种文件共享网站的链接，这些网站要么托管Atera Agent安装程序，要么提供对安装程序本身的直接访问。

https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign/

---

3 黑客组织声称对印第安纳州蒂普顿一家污水处理厂进行攻击

4月19日晚上，黑客组织对印第安纳州的一家污水处理厂进行了网络攻击，促使工厂管理人员派遣维护人员调查可疑活动。一个与俄罗斯有联系的黑客组织声称发起此次攻击。该组织声称今年早些时候在德克萨斯州进行了一系列针对供水设施的攻击。4月20日，一个使用俄语的黑客组织在社交媒体上发布了一段视频，声称对蒂普顿市政公用事业公司（TMU）废水处理厂进行攻击。一名工业网络安全专家称，该组织发布的视频显示他们正在操纵用于处理蒂普顿污水处理厂充气和移动流体设备的软件。TMU总经理对此表示，TMU经历了最小影响的中断，该工厂在整个网络攻击期间持续运营。

https://edition.cnn.com/2024/04/22/politics/russia-linked-hacking-group-targets-indiana-water-plant/index.html

---

4 WordPress插件WP Datepicker中存在安全漏洞

WordPress插件WP Datepicker中存在一个安全漏洞，影响了超过10000个使用该插件的网站。该漏洞被标记为CVE-2024-3895，CVSS评分为8.8。具有订阅者级及以上访问权限的经过身份验证的攻击者可利用该漏洞更新任意选项，并利用这些选项进行权限提升。此类攻击可能允许攻击者创建管理员帐户，从而对受影响的网站构成重大风险。该漏洞是在WP Datepicker插件中发现的，该插件是一种广泛使用的工具，用于管理WordPress表单中的日期和时间输入。该漏洞存在于2.1.0及更早版本中，已在2.1.1版本中得到修复。

https://cybersecuritynews.com/wordpress-plugin-flaw/

---

5 IBM QRadar套件中存在安全漏洞

IBM QRadar Suite Software和Cloud Pak for Security中存在安全漏洞，允许攻击者执行任意JavaScript代码。攻击者可以通过存储的跨站点脚本将恶意的可执行脚本插入到网站的代码中，从而对受影响的产品造成影响。该漏洞被标记为CVE-2023-47731，CVSS评分为5.4，是一种中危XSS漏洞。该漏洞影响IBM Cloud Pak for Security的1.10.0.0至1.10.11.0版本以及IBM QRadar Suite Software 1.10.12.0至1.10.19.0版本。为解决该漏洞，建议用户尽快应用安全更新。

https://cybersecuritynews.com/ibm-qradar-xss-flaw/

---

6 Progress Flowmon中存在安全漏洞

Progress Flowmon具备性能跟踪、诊断以及网络检测和响应功能，被全球1500多家公司使用。该产品中存在一个安全漏洞，被标记为CVE-2024-2389，CVSS评分为10/10。攻击者可利用该漏洞使用特制的API请求，获得对Flowmon Web界面的未经身份验证的远程访问并执行任意系统命令。Progress Software已就该漏洞发出警报，警告它会影响产品v12.x和v11.x版本。该公司敦促系统管理员将产品升级至最新版本v12.3.4和11.1.14。该安全更新已通过“自动软件包下载”自动发布给所有Flowmon客户。

https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/

---