免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Mirai V3G4僵尸网络利用13个漏洞针对物联网设备
Palo Alto Networks Unit 42研究人员报告称,在2022年7月至2022年12月期间,一种名为V3G4的Mirai变种试图利用多个漏洞感染物联网设备。威胁行为者的目标是感染尽可能多的系统,以组成可用于进行多种攻击(包括DDoS攻击)的僵尸网络。研究人员观察到三个不同的Mirai V3G4活动,该僵尸网络利用13个漏洞在易受攻击的设备上实现远程代码执行。成功利用后,恶意代码执行wget和curl实用程序,从攻击者的基础设施下载Mirai bot,然后执行它。与大多数Mirai变种不同,V3G4变种使用不同的XOR加密密钥进行字符串加密。
https://securityaffairs.com/142358/malware/mirai-v3g4-botnet.html
2 SAS航空公司遭到网络攻击导致网站和应用离线
2月14日,SAS航空公司遭到网络攻击,迫使该公司的网站和应用程序离线,乘客无法访问。据路透社报道,该航空公司敦促客户不要使用其移动应用程序,因为他们可能会收到不正确的信息。据报道,包括挪威客户在内的一些用户登录了错误的账户,访问了其他客户的数据。SAS的新闻负责人Karin Nyman表示,该问题现已得到解决。该航空公司没有提供有关这次攻击事件的细节。
https://www.hackread.com/sas-airlines-hit-by-cyber-attack/
3 安全厂商警告称黑客正在伪造其证书以入侵网络
网络安全公司Emsisoft警告,一名黑客正在使用伪造的代码签名证书冒充Emsisoft公司来瞄准使用其安全产品的客户,希望以此绕过他们的防御。这些假证书的名称似乎与可信赖的实体相关联,但实际上并不是有效证书。Emsisoft表示,威胁行为者可能通过暴力破解RDP或使用属于目标组织员工的被盗凭证获得了对受感染设备的初始访问权。一旦攻击者获得了对端点的访问权限,他们就会安装一个名为MeshCentral的开源远程访问应用程序。这个MeshCentral可执行文件是用一个伪造的Emsisoft证书签名的,当安全产品扫描该文件时,由于签名无效将其标记为“未知”并隔离。如果员工因数字签名名称而将此警告视为误报,他们可能会允许应用程序运行,从而使攻击者能够获得对设备的完全访问权限。
https://www.bleepingcomputer.com ... to-breach-networks/
Emsisoft says hackers are spoofing its certs to breach networks.pdf
(2.61 MB, 下载次数: 9)
4 ClamAV开源防病毒引擎中存在严重的RCE漏洞
思科推出了安全更新,以解决ClamAV开源防病毒引擎中报告的一个严重漏洞,该漏洞可能导致在易受感染的设备上远程执行代码。漏洞跟踪为CVE-2023-20032(CVSS 评分:9.8),与驻留在HFS+文件解析器组件中的远程代码执行有关。该漏洞影响版本1.0.0及更早版本、0.105.1及更早版本以及0.103.7及更早版本。思科Talos在一份报告中表示,攻击者可以通过提交一个精心制作的HFS+分区文件,让受影响设备上的ClamAV扫描来利用这个漏洞。成功利用该漏洞可能使攻击者能够以与ClamAV扫描进程相同的权限运行任意代码,或使进程崩溃,从而导致拒绝服务(DoS)情况。
https://thehackernews.com/2023/0 ... ity-discovered.html
5 Apache修复了Kafka中的远程代码执行漏洞
Apache解决了一个可能利用Kafka Connect发起远程代码执行(RCE)攻击的漏洞,漏洞被跟踪为CVE-2023-25194。该漏洞只有在访问Kafka Connect worker(一个逻辑工作单元组件)时才会触发,并且用户还必须能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议来创建或修改worker连接器。利用Kafka漏洞,经过身份验证的攻击者可以通过Aiven API或Kafka Connect REST API配置特定的连接器属性,从而迫使工作人员连接到攻击者控制的LDAP服务器。Apache Kafka版本2.3.0-3.3.2受到影响,该漏洞在3.4.0版本得到修复。
https://portswigger.net/daily-sw ... hed-in-apache-kafka
6 Atlassian表示数据泄露源于第三方供应商被攻击
2月14日,一个名为SiegedSec的黑客组织在Telegram上泄露了数据,声称是从澳大利亚软件公司Atlassian窃取的。黑客组织称他们窃取了数千份员工记录以及一些建筑平面图。这些员工记录包括电子邮件地址、电话号码、姓名以及更多的信息。Atlassian公司于2月16日证实,数据泄露是由他们用于办公室功能的第三方供应商Envoy遭到破坏造成的。并表示“Atlassian的产品和客户数据无法通过Envoy应用程序访问,因此没有风险”。然而,Envoy表示他们并不知道他们方面存在漏洞,并认为Atlassian员工的凭据被盗,从而允许威胁行为者能够访问Envoy应用程序内的数据。
https://www.bleepingcomputer.com ... -party-vendor-hack/
Atlassian says recent data leak stems from third-party vendor hack.pdf
(1.44 MB, 下载次数: 17)
|
发表于 2023-2-17 18:23