每日安全简讯(20241121)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Helldown勒索软件利用Zyxel防火墙漏洞入侵目标网络

Sekoia的威胁检测与研究团队（TDR）于2024年10月31日通过社交媒体监控发现，Helldown勒索软件推出了针对Linux系统的变体。这一勒索软件组织原先仅针对Windows系统，但近期显现出高度活跃的态势，在三个月内声称攻破了31家受害者，包括网络安全解决方案提供商Zyxel的欧洲子公司。Helldown使用双重勒索策略，通过漏洞利用进入目标网络，窃取数据并威胁公开未支付赎金的受害者信息。其新发现的Linux变体进一步扩展了攻击范围。分析显示，多名受害者在攻击发生时使用了Zyxel防火墙作为IPSec VPN接入点，而部分设备已在攻击后被更换。Zyxel曾于2024年9月3日发布了关键漏洞（CVE-2024-42057）的补丁，该漏洞允许攻击者在未认证的情况下执行恶意代码，尽管其利用条件尚需满足。目前尚未公开任何漏洞利用代码，但报告中的证据表明，该漏洞可能被Helldown利用。

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/

---

2 攻击者利用Spotify传播盗版软件和游戏外挂

网络犯罪分子利用Spotify的播放列表和播客平台，通过嵌入关键词和链接推广盗版软件、游戏外挂、垃圾链接及“Warez”网站。这些内容被精心设计，以利用Spotify在搜索引擎中的高排名，为可疑网站引流。近期，一份名为“Sony Vegas Pro 13 Crack...”的Spotify播放列表被发现用于引导用户访问免费软件站点。网络安全爱好者Karol Paciorek指出，Spotify因其良好的信誉和强大的搜索引擎索引能力，成为网络犯罪分子分发恶意链接的有效工具。“Warez”或“Crack”等术语常被用来指代网上流传的盗版软件，这些网站往往缺乏可信度。尽管下载这些软件有时可能无需付费，但用户往往在不知情的情况下感染恶意软件、广告软件，甚至可能成为钓鱼骗局的受害者。

https://www.bleepingcomputer.com/news/security/spotify-abused-to-promote-pirated-software-and-game-cheats/

---

3 Oracle修复被利用的Agile PLM文件泄露漏洞

近日，Oracle发布了针对Oracle Agile产品生命周期管理（PLM）的安全警报，修复了一个被追踪为CVE-2024-21287的高危漏洞。该漏洞允许攻击者在无需身份验证的情况下，通过网络远程访问并下载系统中的文件。根据Oracle官方声明，此漏洞已被在野利用，对用户的数据安全构成了严重威胁。该漏洞的CVSS评分为7.5，影响了当前仍处于Premier Support或Extended Support阶段的Agile PLM版本。Oracle提醒未获得支持的版本可能也存在该漏洞，因此建议所有用户尽快升级至受支持的版本并安装相关补丁。CrowdStrike研究员Joel Snape和Lutz Wolf首次报告了此漏洞，且确认已有攻击者成功利用其实施攻击，但具体的攻击方式和攻击者身份尚未披露。

https://www.oracle.com/security-alerts/alert-cve-2024-21287.html

---

4 CISA警告Progress Kemp LoadMaster漏洞已被攻击者利用

美国网络安全与基础设施安全局（CISA）近日将三个新漏洞加入其“已知被利用漏洞”（KEV）目录，其中包括一个影响Progress Kemp LoadMaster的关键操作系统命令注入漏洞（CVE-2024-1212）。该漏洞由Rhino Security Labs发现并于2024年2月21日通过更新修复，但这是首次确认其在野被利用。漏洞评分为CVSS 10.0（极其严重），允许未经身份验证的远程攻击者通过LoadMaster管理界面执行任意系统命令。受影响版本包括7.2.48.1至7.2.59.1多个版本。LoadMaster是一种应用交付控制器，广泛用于优化应用性能、管理网络流量和保证服务高可用性。CISA已要求使用该产品的联邦组织在2024年12月9日前完成修补或停止使用。此外，Progress软件近期还修复了另一个最大严重级别漏洞（CVE-2024-7591），该漏洞同样允许未经身份验证的攻击者远程执行命令。

https://www.bleepingcomputer.com/news/security/cisa-tags-progress-kemp-loadmaster-flaw-as-exploited-in-attacks/

---

5 福特调查一起涉及4.4万条客户记录的数据泄露事件

福特公司正在调查一起潜在的数据泄露事件，此前黑客在网络犯罪论坛BreachForums声称窃取了约4.4万条客户记录。11月17日，知名黑客IntelBroker和EnergyWeaponUser在帖子中宣称，他们本月针对福特发动攻击，获取了包括客户姓名、地址及产品购买信息在内的数据。然而，公开的数据样本显示，这些“客户”可能指的是全球各地的福特经销商，而非终端用户。数据样本中的地址多为公开信息，敏感性较低，但尚不清楚黑客是否掌握更敏感的数据。福特在回应媒体时表示：“福特意识到并正在积极调查有关福特数据被泄露的指控。调查仍在进行中。”IntelBroker此前曾泄露过多家知名企业的数据，其中许多受害者承认遭遇数据泄露，但同时指出该黑客的部分指控被夸大。当前，福特数据泄露事件的具体影响尚待进一步调查确认。

https://www.securityweek.com/ford-investigating-potential-breach-after-hackers-claim-data-theft/

---

6 印度竞争委员会对Meta处以超过2500万美元的罚款

印度竞争委员会（CCI）对社交媒体巨头Meta处以逾2500万美元罚款，指控其通过2021年更新的WhatsApp服务条款，强制用户同意与Meta旗下其他平台共享数据。CCI还下令Meta停止将用户数据用于其他平台上的广告用途。2021年1月4日的WhatsApp条款更新要求用户接受将数据与Meta平台共享的规定，否则将无法继续使用该服务。此更新声称数据共享将用于改进广告体验并确保安全性，但未提供用户退出选项。CCI认定，这种“非此即彼”的条款构成《竞争法》下的不公平条件。印度监管机构的裁定呼应了欧盟近期对Meta开出的8.41亿美元反垄断罚单，该案涉及Meta将Facebook Marketplace与社交平台整合以获得市场优势。CCI进一步指出，Meta滥用了其在即时通信和在线广告市场的主导地位。

https://www.govinfosecurity.com/india-fines-whatsapp-25m-bans-data-sharing-for-5-years-a-26855

---