每日安全简讯(20241226)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 通过PyPI传播的Python恶意软件

安全研究员发现恶意的Python包Zebo-0.1.0和Cometlogger-0.1通过PyPI传播，对用户隐私和系统安全构成严重威胁。这些恶意包存在键盘记录、屏幕捕获和数据外泄窃取敏感信息的行为，并且通过创建启动脚本实现持久控制。Zebo-0.1.0侧重于数据收集和远程传输，而Cometlogger-0.1不仅窃取账户凭据，还针对Discord、Steam等平台并实现动态文件修改和反虚拟机检测。这些包通过混淆技术逃避安全检测，严重影响依赖PyPI的开发者和组织。安全研究员建议及时删除恶意包并采取隔离和系统重置措施防范此类威胁。

https://www.fortinet.com/blog/threat-research/analyzing-malicious-intent-in-python-code

---

2 攻击者在野利用已修复的FortiClient EMS漏洞CVE-2023-48788实施攻击

近期，安全研究团队在一起响应事件中发现有攻击者成功利用已修复的Fortinet FortiClient EMS漏洞(CVE-2023-48788)入侵企业网络。该漏洞主要影响FortiClient EMS版本7.0.1至7.0.10和7.2.0至7.2.2，允许攻击者通过特制数据包执行未经授权的代码或命令。攻击者利用SQL注入技术入侵系统，下载远程监控工具(如ScreenConnect和AnyDesk)，并实施一系列后续活动，包括网络扫描、凭证窃取、防御规避及持久化。安全研究团队对样本进一步关联分析发现，该攻击与俄罗斯地区相关的恶意活动有关，且类似的攻击行为已被用于针对其他目标。此事件提醒企业及时更新系统和部署多层次的安全防护措施，以应对在野漏洞利用的威胁。

https://securelist.com/patched-forticlient-ems-vulnerability-exploited-in-the-wild/115046/

---

3 Adobe发布紧急修复ColdFusion安全漏洞(CVE-2024-53961)的安全更新通告

Adobe已发布紧急安全更新以修复ColdFusion中的关键漏洞CVE-2024-53961(CVSS评分7.4)。该漏洞存在路径遍历问题，可能被攻击者用于任意文件系统读取。安全研究员称，目前已发现该漏洞的概念验证(PoC)利用代码。目前该漏洞主要影响Adobe ColdFusion 2023和2021。Adobe发出安全公告并且建议用户立即更新至最新版本以防范潜在风险。目前，尚未明确是否有在野利用(ITW)此漏洞。此外，美国网络安全和基础设施安全局(CISA)于12月将另一个 Adobe ColdFusion漏洞(CVE-2024-20767)加入已知被利用漏洞目录(KEV)。该漏洞同样具有7.4的CVSS评分，由于ColdFusion版本2023.6、2021.12及更早版本中的访问控制问题，需要利用公开的管理面板作为前提条件，可能被利用进行任意文件读取攻击。

https://securityaffairs.com/172281/security/adobe-coldfusion-flaw-poc.html

---

4 Postman Workspaces漏洞导致3万API密钥和敏感令牌泄露

2024年12月23日，安全研究团队发现Postman Workspaces存在严重安全隐患，超过30000个公开可访问的工作区泄露了敏感数据包括API密钥、令牌及管理员凭证，波及GitHub、Slack和Salesforce等主要平台。研究发现，常见问题包括访问配置错误、明文存储以及公开共享的集合，给企业和个人带来了严重的财务与声誉风险。为防范类似问题，安全研究员建议采用环境变量存储敏感信息、定期旋转令牌、使用密钥管理工具，并在分享集合前进行核查。此外，用户应当快速修复此问题并清理受影响的公共工作区，减少潜在威胁。

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

---

5 Ascension Health遭勒索软件攻击导致560万患者信息泄露

Ascension Health称其在2024年5月遭到了一场勒索软件攻击，导致约560万名患者的个人、医疗和支付信息泄露。攻击发生于5月8日，导致全国各地医院服务中断，紧急医疗服务被迫调整。到6月中旬，Ascension Health恢复了大部分受影响的服务，并透露攻击者从其服务器中窃取了受保护的健康信息(PHI)和个人身份信息(PII)。泄露的信息包括姓名、地址、出生日期、社会安全号码、政府身份证号、驾驶执照号、保险信息、医疗信息、税务识别号和支付信息。为保护受影响的人员，Ascension Health将逐步向约559万名受害者邮寄通知信，并提供一年免费的信用监控和身份保护服务，包含最高100万美元的保险赔偿政策。虽然美国有线电视新闻网(CNN)报道称，此次攻击可能由勒索软件组织Black Basta实施，但攻击者尚未公开承认这一行为。

https://www.securityweek.com/5-6-million-impacted-by-ransomware-attack-on-healthcare-giant-ascension/

---

6 American Addiction Centers遭勒索软件攻击导致42.2万个人信息泄露

一家美国的医疗机构American Addiction Centers(AAC)最近发生了一起严重的数据泄露事件，影响了超过422000人的个人信息。数据泄露事件于9月26日被发现，但攻击者在此之前已窃取了部分数据，直到攻击发生后，Rhysida勒索软件团伙声称对该事件负责，并发布了约2.8TB的数据。在调查中，American Addiction Centers透露，此次泄露的信息包括姓名、地址、电话、出生日期、社会安全号码、健康保险信息以及医疗记录编号。目前，企业已开始向受影响的人员发送书面通知，提供12个月的信用文件变更提醒服务，以帮助保护个人信息安全。尽管尚未出现身份盗窃或诈骗的案例，但该事件仍引发了对数据安全的广泛关注。

https://www.securityweek.com/american-addiction-centers-data-breach-impacts-422000-people/

---