找回密码
 注册创意安天

每日安全简讯(20241129)

[复制链接]
发表于 2024-11-28 19:31 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 研究人员发现首个针对Linux的UEFI引导黑客工具

2024年11月,安全研究人员发现了首个针对Linux系统的UEFI引导黑客工具,名为“Bootkitty”。与以往只针对Windows系统的UEFI引导黑客工具不同,Bootkitty的出现标志着UEFI引导攻击开始向Linux系统扩展。该工具的主要目标是禁用Linux内核的签名验证功能,并通过Linux的init进程预加载两个尚未公开的ELF二进制文件。尽管目前尚未在野外部署,研究人员认为它仍为概念验证阶段的工具。Bootkitty是通过一个自签名证书进行签名,因此如果系统启用了UEFI安全启动(Secure Boot),攻击者的证书必须先行安装才能使其运行。Bootkitty在执行时能够无缝引导Linux内核,无论UEFI安全启动是否启用,且通过内存中修补必要的功能来绕过完整性验证。研究人员还发现与该引导工具可能相关的内核模块“BCDropper”,该模块负责加载另一个未知的内核模块。
1.jpg
https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/


2 黑客利用流行的Godot游戏引擎传播恶意软件

Check Point Research揭示了一个新型的恶意软件加载技术,利用开源游戏引擎Godot执行恶意GDScript代码,从而触发恶意命令并加载恶意软件。该技术已成功避开几乎所有杀毒引擎,感染了超过17000台计算机。恶意加载器GodLoader自2024年6月29日起被网络犯罪分子广泛传播,主要通过GitHub的Stargazers Ghost Network分发。该网络采用了“恶意软件即服务”的分发方式,利用超过200个恶意仓库和225个Stargazers账户伪装成合法内容来分发恶意软件。Godot引擎允许开发者使用GDScript脚本进行游戏逻辑开发,而GDScript的灵活性也为攻击者提供了执行远程负载、绕过沙箱和虚拟机等功能。通过在Godot的.pck包文件中嵌入恶意GDScript代码,攻击者能够利用游戏资源更新或下载内容的方式加载恶意脚本,从而感染多平台系统,包括Windows、macOS、Linux、Android和iOS。
2.jpg
https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/


3 攻击者利用ProjectSend漏洞攻击暴露的服务器

2024年11月,黑客利用ProjectSend中的认证绕过漏洞(CVE-2024-11680)攻击暴露的服务器,上传webshell并获得远程控制权限。该漏洞影响所有未升级至r1720版本的ProjectSend,攻击者可以通过发送特制的HTTP请求到'options.php',修改应用配置,成功利用后可创建恶意账户、植入webshell和嵌入恶意JavaScript代码。尽管漏洞在2023年5月16日已被修复,但直到最近才分配CVE编号,导致很多用户未意识到漏洞的严重性和修复的紧迫性。根据VulnCheck的报告,尽管漏洞已知,但ProjectSend实例的修复进展缓慢,约99%的实例仍处于易受攻击状态。ProjectSend是一个开源的文件共享应用程序,通常用于自托管的环境中,比云端服务如Google Drive和Dropbox更受一些组织青睐。Censys报告显示,约4000个公开暴露的ProjectSend实例中,大多数仍然存在漏洞,55%的实例运行的是2022年发布的r1605版本,44%运行的是2023年4月发布的未命名版本,只有1%的实例使用了已修复漏洞的r1750版本。
3.jpg
https://vulncheck.com/blog/projectsend-exploited-itw


4 名为Matrix的黑客操控大量IoT僵尸网络发动DDoS攻击

Aqua Nautilus的研究人员揭示了由名为Matrix的黑客组织发动的一次大规模分布式拒绝服务(DDoS)攻击活动。Matrix被认为是一个低技术门槛的威胁行为者,主要通过暴力破解、利用默认弱密码和设备配置漏洞,感染了大量的IoT设备,包括摄像头、路由器、DVR和企业系统。这些被感染的设备被用来组建一个庞大的僵尸网络,攻击目标主要集中在Layer 4(传输层)和Layer 7(应用层),并通过Telegram机器人“Kraken Autobuy”提供DDoS攻击服务,标志着这一攻击活动的商业化。Matrix利用多个已知漏洞(如CVE-2014-8361、CVE-2017-17215等)和公开的恶意工具(如Mirai、PyBot和Homo Network)进行攻击,且活动主要集中在工作日,显示出更具结构性的攻击模式。研究人员表示,若这一僵尸网络进一步扩展,可能对全球数百万互联网设备构成威胁,带来严重的服务中断风险。
4.jpg
https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/


5 微软修复邮件投递问题后重新发布Exchange更新

微软重新发布了11月的Exchange服务器安全更新,修复了此前因邮件投递问题被撤回的更新。微软此前从下载中心和Windows Update撤回了这些更新,原因是大量管理员报告安装更新后,使用自定义邮件流规则的Exchange服务器停止了邮件传递。问题主要影响使用传输规则或数据丢失防护(DLP)规则的客户,导致邮件流在安装Exchange Server 2016和Exchange Server 2019的11月安全更新后周期性中断。微软建议已安装原版11月更新(Nov 2024 SUv1)的管理员部署重新发布的更新(Nov 2024 SUv2),该版本解决了邮件传递问题。微软还建议管理员在安装安全更新后始终运行Exchange Health Checker脚本,以检测常见配置问题并判断是否需要采取额外措施。为避免假期期间服务器自动安装问题,微软推迟了在12月通过Windows Update发布Nov 2024 SUv2。
5.jpg
https://www.bleepingcomputer.com/news/security/microsoft-re-releases-exchange-updates-after-fixing-mail-delivery/


6 Cloudflare发生一起影响大量客户的日志丢失事件

Cloudflare发生了一起影响大量客户的日志丢失事件,导致约55%的日志未能成功发送。在大约3.5小时的时间内,Cloudflare的日志服务遭遇了系统故障,导致大部分客户的事件日志未能传输。事后调查显示,问题源自一次配置错误,这个错误触发了后续的系统过载,尤其是在日志转发服务(Logfwdr)和日志缓冲系统(Buftee)之间的配合问题。具体来说,Logfwdr的错误配置导致所有客户的日志都被错误地转发,而Buftee系统未能承载如此巨大的数据流,导致系统负载过高并出现响应失效。尽管问题在五分钟内被发现并回滚,但由于未能妥善配置预警机制,导致系统在接下来几个小时无法正常恢复。Cloudflare团队表示,将加强系统配置和监控,确保此类事件不再发生,并计划进行更多的“过载测试”来应对未来潜在的类似故障。
6.jpg
https://blog.cloudflare.com/cloudflare-incident-on-november-14-2024-resulting-in-lost-logs/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 00:42

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表